Home-Office ist aus der deutschen Arbeitswelt nicht mehr wegzudenken. Arbeitnehmer fordern es ein und Unternehmen, die es nicht anbieten, obwohl es möglich wäre, haben es schwer Fachkräfte zu finden. Neben dem Arbeitsschutz ist der Datenschutz eines der zentralen rechtlichen Minenfelder, dass ein Unternehmen beachten muss.
Dabei gilt: Der Arbeitgeber ist Verantwortlicher für die Datenverarbeitung und daher für Datenschutzverstöße, die im Home-Office passieren, haftbar.
Wir beraten Mandanten regelmäßig bei der Gestaltung von Home-Office Vereinbarungen und der Umsetzung des entsprechenden Konzepts, dabei stellen wir immer wieder fest, dass man sich über die Problemkreise kaum oder zu wenig Gedanken macht.
Erste Überlegung: Die IT-Sicherheit
Ob im normalen Büro oder im Home-Office. Die Anforderungen an den technischen Datenschutz bzw. die IT-Sicherheit sind identisch. Das Unternehmen hat als Verantwortlicher für die Datenverarbeitung die Datensicherheit mittels technischer und organisatorischer Maßnahmen nach dem aktuellen Stand der Technik sicherzustellen.
Nutzt der Mitarbeiter die Unternehmenshardware muss z.B. sichergestellt sein, dass die Verbindung vom Gerät aus sicher ist und dass auch keine Schadsoftware vom Netzwerk des Mitarbeiters auf das Unternehmen überspringen kann.
Wenn Mitarbeiter im Home-Office keine unternehmenseigene Hardware nutzen (können) sondern ihre eigenen privaten Geräte nutzen, sind die Problem vorprogrammiert. Denn dann muss der Arbeitgeber dafür Rechnung tragen, dass diese Geräte ebenfalls dasselbe Schutzniveau aufweisen wir die unternehmenseigenen Geräte.
Dabei können existierende Lösungen wie Mobile Device Management Systeme helfen, diese geraten jedoch schnell dort an die Grenze, wo Privatdaten des Arbeitnehmers betroffen sind.
Besser ist es daher, von Anfang an auf Containerlösungen oder browserbasierte Lösungen zu setzen, bei denen Mitarbeiter Daten nicht auf ihre lokalen PCs herunterladen müssen.
Das kann z.B. bereits der Einsatz eines Webmailers anstatt eines lokalen E-Mail-Programms sein.
Auch die physische Datensicherheit im Blick behalten
Neben der IT-Sicherheit sollte dabei auch der weitere Schutz der Daten beachtet werden. Mitarbeiter dürfen Unterlagen nicht einfach in der Wohnung rumliegen lassen oder gar einfach in den Hausmüll entsorgen. Der GAU für ein Unternehmen dürfte wohl sein, wenn der querulantische Nachbar des Mitarbeiters Vertragsentwürfe in der Papiertonne findet und damit zur Datenschutzbehörde rennt.
Die Unternehmensdaten müssen auch vor neugierigen Blicken von Mitbewohnern oder Familienmitgliedern geschützt sein.
Daten beauskunften und löschen
Schließlich muss das Unternehmen sicherstellen, dass es weiß, welche Daten wo gespeichert sind, um Datenauskunftsanfragen beantworten zu können bzw. diese auf Verlangen oder bei Zweckwegfall löschen zu können.
Erlaubt der Arbeitgeber die Nutzung von privaten Geräten, muss er daher sicherstellen, dass er stets Zugriff auf die Unternehmensdaten auf den privaten Geräten hat, um sie beauskunften oder löschen zu können.
Nur mit vertraglicher Lösung
Ohne vertragliche klare Regelung wird man Mitarbeitern kein Home-Office anbieten können. Nicht nur müssen die Verpflichtungen des Mitarbeiters klar benannt werden, auch die Kontrollrechte des Unternehmens müssen gewahrt bleiben.