Das Arbeiten im Homeoffice bringt in vielerlei Hinsicht neue Herausforderungen mit sich. Auch im Umgang mit personenbezogenen Daten und anderen vertraulichen Informationen im Beschäftigungskontext sollten besondere Vorkehrungen getroffen werden, wenn außerhalb des Betriebs gearbeitet wird.
Für Arbeitgeber ergibt sich beim Homeoffice aus datenschutzrechtlicher Perspektive eine schwierige Situation. Einerseits gelten sie weiterhin als Verantwortliche für jede betriebliche Verarbeitung personenbezogener Daten nach Artikel 4 Absatz 7 DSGVO und sind somit dazu verpflichtet, alle möglichen organisatorischen und technischen Maßnahmen zu ergreifen um die Sicherheit und Integrität der Datenverarbeitung zu gewährleisten. Denn die DSGVO und das BDSG unterscheiden nicht, ob der Mitarbeiter mobil oder im Betrieb arbeitet. Andererseits haben sie jedoch nicht in jeder Hinsicht unmittelbare Kontrolle über das Geschehen im Homeoffice. Vor diesem Hintergrund ist es sehr wichtig, dass Arbeitgeber ihre Erwartungen an die Einhaltung der Vorschriften des Datenschutzes und hinsichtlich des Schutzes vertraulicher Informationen klar übermitteln und ihre Mitarbeiter auf die Einhaltung der diesbezüglichen betrieblichen Maßnahmen verpflichten.
Die Verantwortlichkeit von Arbeitsgebern ergibt sich daraus, dass sie entscheiden, auf welche Weise und zu welchem Zweck personenbezogene Daten im betrieblichen Kontext verarbeitet werden. Vor diesem Hintergrund sind Mitarbeiter in jeder Hinsicht an die diesbezüglichen Weisungen des Arbeitgebers gebunden. Da aufgrund der potenziell erhöhten Zugriffsmöglichkeiten Dritter – wie beispielsweise Familienangehöriger oder Besucher – auf sensible Daten im Homeoffice die infrastrukturelle Sicherheit, die in Büroräumen herrschen sollte, nicht in gleichem Maße gegeben ist, müssen durch den Arbeitgeber erweiterte Maßnahmen getroffen werden, um den Zugriff von Dritten zu unterbinden und ein adäquates Schutzniveau herzustellen. Zur Orientierung hat das Bundesamt für Sicherheit in der Informationstechnik Tipps für ein sicheres mobiles Arbeiten veröffentlicht welche hier abgerufen werden können.
Arbeitgeber sollten alle Mitarbeiter im Hinblick auf den Umgang mit personenbezogenen Daten einerseits sowie mit Betriebs- und Geschäftsgeheimnissen andererseits schulen und dabei insbesondere auch die Situationen einbeziehen, in denen entsprechende Daten mit Zustimmung des Arbeitgebers den geschützten betrieblichen Raum verlassen. Schulungen sind aus unserer Sicht nur dann effektiv, wenn sie regelmäßig wiederholt bzw. aufgefrischt werden. Es ist ferner ratsam, spezielle Homeoffice-Richtlinien bzw. Richtlinien zum mobilen Arbeiten zu erlassen und deren Einhaltung durch die Mitarbeiter verbindlich vorzuschreiben. Diese können auch in Form von Betriebsvereinbarungen abgeschlossen werden.
Keinesfalls sollten Arbeitgeber zulassen, dass Mitarbeiter für ihre Tätigkeit im Homeoffice eigene Geräte wie private Mobiltelefone und Computer nutzen. Ein angemessenes Datenschutzniveau kann nur dann erreicht werden, wenn betriebliche Daten ausschließlich auf Geräten verarbeitet werden, die von dem Arbeitgeber zur Verfügung gestellt werden. „BYOD“ („Bring Your Own Device“) ist spätestens nach Inkrafttreten der Datenschutzgrundverordnung aus unserer Sicht keine gute Idee mehr und sollte unterbleiben. Natürlich muss der Arbeitgeber sicherstellen, dass seine gesamte IT-Infrastruktur stets dem aktuellen Stand der Technik entspricht und regelmäßig gewartet und mit Updates versehen wird. Dies betrifft nicht nur die Server und Desktop-Rechner im Betrieb, sondern gleichermaßen auch Laptops und Mobiltelefone, die den Mitarbeitern zur dienstlichen Nutzung überlassen werden.
Es ist ferner Sache des Arbeitgebers, gesicherte Kommunikationswege aus dem Homeoffice in den Betrieb sicherzustellen. Hierzu gehört aus unserer Sicht zwingend eine sichere VPN-Verbindung vom Laptop zur Büro-Infrastruktur.
Da unbefugte Dritte außerhalb des Betriebes potenziell eher auf den Arbeitsplatz Zugriff haben können als dies üblicherweise im Büro der Fall ist, sind auch in Hinblick auf die Sicherung des Arbeitsplatzes durch den Arbeitgeber und den Mitarbeiter besondere Maßnahme zu ergreifen. In Betracht kommen hier beispielsweise Sichtschutzfolien, die der Arbeitgeber zur Verfügung stellen kann, um den Laptop vor Seitenblicken zu schützen. Die Verpflichtung zum Datenschutz bezieht sich auch auf das Verwahren der Materialien nach Feierabend und in Arbeitspausen. Hier muss der Mitarbeiter darauf achten, dass sämtliche betrieblichen Unterlagen sicher verschlossen werden, sodass relevante Informationen nicht eingesehen werden können. Sicherheitsvorkehrungen müssen natürlich ebenfalls beim Transport oder Entsorgen der Unterlagen eingehalten werden. Unterlagen und Datenträger sollten nur durch den Arbeitgeber entsorgt werden und sind zu diesem Zweck natürlich nicht in die private Tonne zu werfen, sondern sicher im Betrieb zu entsorgen.
Letztendlich gelten im Homeoffice selbstverständlich auch erhöhte Verpflichtungen für den Arbeitnehmer zum Umgang mit der Technik. Passwörter sind selbstverständlich auch Familienmitgliedern nicht mitzuteilen und das Sperren des Arbeitsgeräts bei Abwesenheit erlangt im Homeoffice eine besondere Bedeutung.
Zusammenfassend lässt sich sagen, dass Homeoffice grundsätzlich datenschutzkonform eingerichtet werden kann. Hier sind Arbeitgeber und Mitarbeiter gefordert, ihren Teil zum Gelingen beizutragen. Für den Schutz von Betriebs- und Geschäftsgeheimnissen allerdings empfehlen wir, besonders „wertvolle“ Daten nicht aus dem sicheren betrieblichen Umfeld hinauszubewegen.