· Fachbeitrag · Datenschutz
Wichtige Hinweise zum Datenschutz für Mitarbeiter im Homeoffice
von RAin Ina Jähne, Hannover, www.jaehne-guenther.de
| Am 25.1.21 ist die Corona-Arbeitsschutzverordnung in Kraft getreten. Die Arbeitgeber sind gehalten, Mitarbeiter im Homeoffice arbeiten zu lassen, soweit dem nicht zwingende betriebliche Gründe entgegenstehen. Auch Kanzleien bemühen sich seither (wieder) verstärkt um jedenfalls hybride Lösungen („alternierende Telearbeit“), bei denen die Mitarbeiter zumindest tageweise aus dem Homeoffice arbeiten. Dafür mussten in vielen Kanzleien zunächst die arbeitsorganisatorischen Voraussetzungen geschaffen werden. Doch auch aus Sicht des Datenschutzes gilt es, wichtige Punkte zu beachten. |
Die Krux mit der Verarbeitung besonders sensibler Daten
Eine Vielzahl von in der Kanzlei klassischerweise anfallenden Arbeiten lässt sich auch weiter nur vor Ort erbringen, so z. B. die Bearbeitung der ein- und ausgehenden Post. Angesichts von zunehmend digitalisierten Akten und einer wachsenden digitalisierten Kommunikation mit den Mandanten nimmt aber der prozentuale Anteil derjenigen Arbeiten zu, die auch von zu Hause aus erbracht werden können.
Ein besonderes Problem ergibt sich dabei u. a. für Kanzleien aus der Frage des Datenschutzes. Aufgrund des föderalen Systems in Deutschland bietet jedes Bundesland einen eigenen Landesdatenschutzbeauftragten auf. Zusätzlich gibt es einen Bundesbeauftragten für Datenschutz. Dieser äußerte in einer Empfehlung, dass von der Verarbeitung besonders sensibler Daten im Homeoffice grundsätzlich abgesehen werden sollte. Dem folgend wäre es Kanzleien im Wesentlichen verwehrt, ihre Mitarbeiter ins Homeoffice zu entsenden, weil bei dem überwiegenden Teil der anfallenden Arbeiten gleichermaßen sensible Daten verarbeitet werden. Dies kann im Ergebnis nicht richtig sein, obwohl wir auch in anderen Bereichen derzeit vielfach erleben, dass der Datenschutz offenbar selbst dem Gesundheitsschutz vorzustehen scheint ‒ denkt man an all die kontroversen Diskussionen um die Corona-App.
Letztlich bietet die Empfehlung den Kanzleien eine Argumentationshilfe, die ihren Mitarbeitern die Tätigkeit im Homeoffice verwehren wollen. Im Übrigen ist sie im Licht einer sich verändernden Arbeitswelt und der zunehmenden Erwartungshaltung von Mitarbeitern, jedenfalls teilweise auch aus dem Homeoffice arbeiten zu können, realitätsfremd.
Beachten Sie | Gleichwohl liegt damit die Messlatte der datenschutzrechtlichen Anforderungen für die Kanzleiarbeit aus dem Homeoffice wegen der verarbeiteten Daten sicherlich besonders hoch und es ist denkbar, dass Verstöße rigoros sanktioniert werden.
Der Arbeitgeber als datenschutzrechtlich „Verantwortlicher“
Der Arbeitgeber hat als datenschutzrechtlich Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO dafür Sorge zu tragen, dass die datenschutzrechtlichen Leitlinien der Kanzlei auch beim Arbeiten außerhalb der Kanzleiräume gewahrt werden. Es obliegt ihm, nicht dem Arbeitnehmer, dafür Sorge zu tragen, dass alle Maßnahmen ergriffen werden, die erforderlich sind, um diesen Anforderungen zu genügen.
Beachten Sie | Es müssen demnach dieselben Datenschutzmechanismen und -niveaus, die sonst in der Kanzlei gelten, für die Arbeit im Homeoffice gewährleistet sein.
Umgang mit Mandantenunterlagen
Mitarbeiter müssen daran denken, Unterlagen mit personenbezogenen Daten oder Geschäfts- bzw. Betriebsgeheimnissen nicht einfach dem Ehepartner, den Kindern oder Besuchern (bspw. Handwerkern) zeigen bzw. zugänglich zu machen.
Ein eigener (abschließbarer) Arbeitsraum sorgt für (Daten-)Sicherheit, auch vor spielenden Kindern oder Besuchern. Besonders dann, wenn es einen solchen abschließbaren Raum für die tägliche Arbeit nicht gibt, ist es wichtig, keine Dokumente offen herumliegen zu lassen. Diese sind in einem abschließbaren Schrank zu verwahren, den der Arbeitgeber zur Verfügung zu stellen hat. Außerdem ist ggf. durch Anbringung von Sichtschutzfolie an den Fenstern dafür zu sorgen, dass von außen kein Einblick auf den Arbeitsplatz möglich ist.
Hat der Arbeitnehmer keinen abschließbaren Arbeitsraum im Homeoffice, dann sollte der Arbeitgeber den Mitarbeiter anweisen, seinen Arbeitsplatz stets „clean“ zu hinterlassen, sodass in den Pausen und zum Ende der Arbeitszeit keine Unterlagen auf dem Schreibtisch liegen.
PRAXISTIPP | Der Arbeitgeber ist dazu berechtigt, den Arbeitnehmer über die Rahmenbedingungen zu befragen, die bei ihm zu Hause vorherrschen, um die geeigneten Maßnahmen zu treffen, die einen Schutz der Unterlagen auch in den eigenen vier Wänden des Mitarbeiters ermöglichen, also z. B. einen abschließbaren Schrank und Sichtschutzfolie zur Verfügung zu stellen. |
Umgang mit dem PC/Laptop
Der Arbeitgeber hat anzuordnen, dass der PC in Pausen gesperrt wird, wenn er sich nicht in einem Raum befindet, der außerhalb der Arbeitszeit verschlossen werden kann. Parallel gibt es auch die Möglichkeit, den Mitarbeiter anzuweisen, den PC so einzustellen, dass sich nach kurzer Abwesenheit automatisch ein Bildschirmschoner aktiviert, der nur durch erneutes Anmelden deaktiviert werden kann.
Außerdem ist durch den Arbeitgeber auf einen geeigneten Passwortschutz hinzuwirken, um sicherzustellen, dass sich Unbefugte nicht anmelden bzw. auf die auf dem PC gesicherten Daten zugreifen können.
Daneben ist darauf zu achten, dass stets eine gesicherte Verbindung zu den Servern des Arbeitgebers (zumeist über VPN) und ein gesichertes WLAN genutzt werden. Auch USB-Sticks und Festplatten und andere externe Datenträger sollten Arbeitnehmer verschlüsseln.
Vernichtung von Mandantenunterlagen
Aber auch bei der Vernichtung von Unterlagen sind die betrieblichen Datenschutzstandards zu beachten. Unterlagen und Notizen, die nicht mehr gebraucht werden, dürfen nicht im heimischen Papiermüll landen. Sofern diese personenbezogene Daten oder auch Geschäfts- oder Betriebsgeheimnisse enthalten, müssen sie geschreddert werden oder wieder mit in die Kanzlei genommen und dort in die Datentonne geworfen werden. Der Arbeitgeber hat also entweder einen Schredder im Homeoffice zur Verfügung zu stellen oder den Mitarbeiter anzuweisen, den „Papiermüll“ mit in die Kanzlei zu bringen.
Audio Kommunikation
Es ist zudem durch den Arbeitgeber darauf hinzuwirken und dies mit entsprechender Weisung zu untermauern, dass Telefonate oder Videokonferenzen nur aus verschlossenen Räumen geführt werden und sicherzustellen, dass Dritte nicht mithören. So ist auch nicht aus dem Garten oder vom Balkon mit Mandanten zu telefonieren. Fenster sollten geschlossen sein.
Beachten Sie | Bei Nutzung von Siri oder Alexa im Haushalt ist sicherzustellen, dass die Geräte keine Gespräche aufzeichnen.
Außerdem sollten Mitarbeiter nicht ihre privaten Endgeräte verwenden, sondern mit Prepaid Handys oder Kanzleihandys ausgestattet werden. Es ist zwingend zu vermeiden, dass die privaten Handy-Nummern von Mitarbeitern an Mandanten und sonstige Vertragspartner weitergeben werden, weil diese „im Homeoffice“ sind.
FAZIT | Gerade wegen der besonders sensiblen Daten, mit denen Mitarbeiter aus Kanzleien umgehen, ist das Haftungsrisiko bei Datenschutzverstößen in diesem Bereich hoch. Die Entsendung von Mitarbeitern ins Homeoffice sollte daher von Kanzleien in besonderem Maße geplant werden und es sollte stets auf die Einhaltung der datenschutzrechtlichen Anforderungen hingewiesen und hierfür sensibilisiert werden. Außerdem sollten sich Arbeitgeber im Rahmen der mit den Mitarbeitern abzuschließenden Homeoffice Vereinbarung ein Zutrittsrecht zum häuslichen Arbeitsplatz vorbehalten. |