Aufgrund von Corona wurde Home Office erstaunlich schnell und breitflächig umgesetzt. Jetzt ist die Zeit, die einzelnen Schritte konkret zu durchdenken. Denn die rechtlichen Rahmenbedingungen haben hier ein wichtiges Wort mitzureden. Stichwort Arbeitsrecht und Datenschutz.
Themen dieses Artikels: HomeOffice Arbeitsrecht |
⇒ Datenschutz ist auch und ganz besonders im Home Office wichtig
⇒ Technische Maßnahmen und klare Verhaltensregeln ⇒ Bring your own device und Home Office |
mehr Artikel: |
⇒ mehr Artikel zu Arbeitsrecht & Covid |
Corona hat die Digitalisierung in Österreich immens beschleunigt. War es vor dem Lock Down eher die Ausnahme als die Regel, hauptsächlich vom Home Office aus zu arbeiten, so waren plötzlich quasi über Nacht ganze Abteilungen und Betriebe im Home Office.
Unternehmen, die Home Office kritisch und skeptisch gegenüberstanden, sahen sich plötzlich in einer neuen Realität: Home Office funktioniert! Abseits der technischen Umsetzung sind aber rechtliche und organisatorische Rahmenbedingungen zu schaffen, auf die in der Hektik rund um den Lock Down oft vergessen wurde. Zu den rechtlichen Rahmenbedingungen gehören insbesondere die arbeitsrechtlichen (siehe auch den HRweb-Artikel „Zurück aus dem HomeOffice, aber rechtlich richtig | Arbeitsrecht & Covid“), aber auch die datenschutzrechtlichen Aspekte. Besonders vor dem Trend, Mitarbeiter auch nach dem Lock Down weiterhin zumindest teilweise im Home Office zu „lassen“, ist es spätestens jetzt höchste Eisenbahn, die rechtlichen Rahmenbedingungen zu schaffen und zu implementieren. Der folgende Beitrag informiert über einige wichtige Maßnahmen, die aus datenschutzrechtlicher Sicht zu treffen sind.
Datenschutz ist auch und ganz besonders im Home Office wichtig
Neben arbeitsrechtlichen Rahmenbedingungen, wie beispielsweise, dass eine arbeitsrechtliche Vereinbarung über den Einsatz der Mitarbeiter im Home Office zu schließen ist, welche insbesondere die Themen Arbeitszeit, Kostenersatz, Arbeitsmittel und Erreichbarkeit regeln sollten, müssen auch die Vorgaben der Datenschutz-Grundverordnung („DSGVO“) und des Datenschutzgesetzes („DSG“) beachtet werden.
Wichtig ist es, sich als Arbeitgeber insbesondere darüber bewusst zu sein, dass die Verpflichtungen nach der DSGVO auch weiterhin in Geltung bleiben, unabhängig davon, wo die Mitarbeiter ihre berufliche Tätigkeit ausüben. Es liegt daher in der Verantwortung des Arbeitgebers weiterhin seinen Pflichten nachzukommen.
Gemäß Artikel 32 DSGVO sind vom Arbeitgeber als datenschutzrechtlich Verantwortlichen alle technischen und organisatorischen Maßnahmen („TOMs“) zu treffen, die erforderlich sind, um „ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Diese Formulierung ist schwammig und muss in der Umsetzung mit „Leben gefüllt“ werden. Jedes Unternehmen muss sich daher die Frage stellen: Wie können die Vorgaben der DSGVO im Home Office umgesetzt und die Datensicherheit gewährleistet werden? Im Zusammenspiel zwischen Technik, Recht und Organisation müssen hier dann Maßnahmen beschlossen, umgesetzt, dokumentiert und regelmäßig überprüft werden.
Technische Maßnahmen und klare Verhaltensregeln
Der Arbeitgeber als datenschutzrechtlicher Verantwortlicher sollte sich stets darüber im Klaren sein, dass er trotz mangelnder Dispositionsmöglichkeiten über die IT-Infrastruktur der Mitarbeiter im Home Office trotzdem für die Datenverarbeitung und deren Sicherheit haftet.
Es ist daher wichtig, die technischen und organisatorischen Voraussetzungen für einen DSGVO-konformen Umgang mit Daten im Home Office zu schaffen und die Mitarbeiter zu einem datenschutzkonformen Verhalten anzuweisen. Beispiele sind:
- Vor unberechtigten Zugriffen geschützte Aufbewahrung der Endgeräte und der Geschäftsunterlagen – auch Familienmitglieder gelten als „unberechtigte“!
- „Clean Desk Policy“ auch im Home Office
- Fachgerechte Entsorgung von Geschäftsunterlagen (zB Shreddern statt Hausmüll)
- Datensicherheitskonforme Aufbewahrung von Passwörtern
- Verbindung ausschließlich über ein sogenanntes Virtual Private Network (VPN), keine Verwendung öffentlicher Netzwerke
- Verschlüsselung der Daten (Ende-zu-Ende-Sicherheit) inkl. Ablageverschlüsselung auf dem mobilen Gerät
- Sperrung von USB-Zugängen und anderen Anschlüssen
- Keine Anbindung von Druckern und anderen Geräten
- Regelmäßige Schulung / Fortbildung der Mitarbeiter zum datensicheren und datenschutzgerechten Umgang mit mobilen Geräten
- Einschränkung von verwendeten Diensten (zB Sperre von Youtube, WhatsApp, Facebook, …) und Inhalten (Content Filter)
Ziel dieser Maßnahmen sollte es stets sein, jederzeit die Vertraulichkeit (Schutz gegen unbefugten Zugriff), Verfügbarkeit (jederzeitige Abrufbarkeit der Daten) und Integrität (Schutz gegen Verfälschung) der Datenverarbeitung sicherzustellen.
Die Anweisung an die Mitarbeiter, wie im Home Office „Gefahrenquellen“ für die Sicherheit von personenbezogenen Daten und vertraulichen Informationen zu beseitigen und sich datenschutzkonform zu verhalten ist, kann beispielsweise über eine unternehmensinterne Richtlinie festgelegt werden, die den Mitarbeitern kommuniziert wird.
Bring your own device und Home Office
Manche Unternehmen erlauben es Ihren MitarbeiterInnen privates Equipment für Ihre Tätigkeit im Home Office zu verwenden, insbesondere Netbooks und Smartphones. Dies wird in der Praxis unter dem Schlagwort „Bring your own device“, kurz BYOD, verstanden (siehe auch den HRweb-Artikel „Was Sie schon immer über BYOD wissen wollten | BYOD: Definition & Arbeitsrecht“). Oftmals wird dabei aber vergessen, dass auch bei BYOD klare Regeln aufzustellen sind – immerhin haftet der Verantwortliche auf weiterhin für den Schutz und den sicheren Umgang mit personenbezogenen Daten, auch wenn die Mitarbeiter ihre eigenen Endgeräte verwenden. Der Arbeitgeber als Verantwortlicher tritt bei BYOD in das Spannungsfeld zwischen rascher, kosteneffektiver Umsetzung und den gesetzlichen Verpflichtungen nach der DSGVO, geeignete technische und organisatorische Sicherheitsmaßnahmen zu treffen. Auch aus arbeitsrechtlicher Sicht bringt BYOD zahlreiche Schwierigkeiten. Beispielsweise darf der Arbeitgeber nicht einfach auf die Endgeräte der Mitarbeiter zugreifen oder den Einsatz kontrollieren, was bei der Zurverfügungstellung von Arbeitsmitteln durch den Arbeitgeber und Ausschluss der Privatnutzung sehr wohl möglich ist. Verwenden die Mitarbeiter ihre eigenen Geräte zur Arbeitserbringung, dann „verliert“ der Arbeitgeber Kontrolle darüber, ob die Datensicherheitsmaßnahmen eingehalten werden oder auch nicht – in der Haftung ist er als datenschutzrechtlicher Verantwortlicher aber dennoch.
Es ist daher aus datenschutzrechtlicher Sicht, wenngleich kosten-/ressourcenintensiver, jedenfalls ratsam, als Arbeitgeber geeignete Hardware bzw. IT-Infrastruktur bereitzustellen und BYOD zu verbieten. Die datenschutzkonforme Einrichtung der IT-Infrastruktur muss das erforderliche Maß an Datensicherheit gewähren und gemäß den Pflichten eines Verantwortlichen auch dokumentiert werden.
Privatnutzung von Arbeitsmittel im Home Office
Werden die Arbeitsmittel bzw. das Equipment für die Arbeitsleistung im Home Office vom Arbeitgeber bereitgestellt (was der Regelfall ist und unserer Ansicht nach auch sein sollte), müssen sich Arbeitgeber die Frage stellen, ob und in welchem Ausmaß eine Nutzung zu privaten Zwecken erlaubt wird. Dabei spielt die Frage der Kosten für die private Nutzung eine geringere Rolle als wichtige Fragen wie zum Beispiel, ob und wie der Arbeitgeber bei länger andauernder Abwesenheit des Arbeitnehmers auf die geschäftlichen Daten zugreifen darf. Haben die Mitarbeiter nämlich die Endgeräte zu privaten Zwecken genutzt und sind mangels Vereinbarung oder Anweisung hierüber persönliche Daten nicht gesondert gekennzeichnet, dann kann der Zugriff des Arbeitgebers möglicherweise ungerechtfertigt sein. Wichtig ist daher, klare Regelungen zur Privatnutzung zu treffen, beispielsweise, dass auch im Home Office private Daten gesondert zu kennzeichnen sind.
Sowohl aus arbeitsrechtlichen als auch aus datenschutzrechtlichen Gründen ist es aus Sicht der Unternehmen empfehlenswert, die Privatnutzung auszuschließen – dies erleichtert im Nachgang, auch bei Rückgabe der Endgeräte, den Zugriff auf die Daten bzw. deren Löschung.
Zusammenfassung
Auch im Home Office müssen die Anforderungen an eine sichere, DSGVO-konforme Datenverarbeitung sichergestellt werden. Dies ist insbesondere unter dem Blickwinkel, dass der Arbeitgeber als datenschutzrechtlicher Verantwortlicher auch dann für die Einhaltung der gesetzlichen Bestimmungen haftet, wenn er – wie im Home Office – keine Disposition über die IT Infrastruktur und das Verhalten der Mitarbeiter mehr hat, zu beachten. Es ist daher wichtig, bereits im Vorfeld alle erforderlichen geeigneten technischen und organisatorischen Maßnahmen zu treffen und Verhaltensanweisungen zu erlassen, um das Risiko allfällig vermeidbarer „Datenschutzpannen“ und sonstiger DSGVO-Verstöße zu reduzieren.
Home Office & Arbeitsrecht | Datenschutz und Datensicherheit im Home Office aus rechtlicher Sicht