Coronavirus: Informations- und Datenschutz im Home-Office

Informations- und Datenschutz im Home-Office

Homeoffice während CoronaBildquelle: Adobe Stock/@Alexander.Shelegov

Home-Office während der Corona-Krise

In der derzeitigen Krisensituation sind viele Unternehmen aufgrund Ihrer Fürsorgepflicht aber auch zur Aufrechterhaltung des Betriebs gehalten, Mitarbeiter zuhause im Home-Office arbeiten zu lassen. Wenngleich es sich um eine vorübergehende Ausnahmesituation handeln soll, begleitet die Mitarbeiter der dienstliche Datenschutz auch bis nach Hause. Während in Single-Haushalten in der Regel lediglich im Zusammenhang mit Gästen verstärkt auf den Datenschutz geachtet werden muss, ist der Datenschutz in Mehrpersonenhaushalten – insbesondere in der jetzigen Situation der geschlossenen Schulen – weitaus schwieriger zu gewährleisten. Um den Mitarbeitern einen schnellen Hinweis zur Gewährleistung des Datenschutzes zu Hause an die Hand zu geben, sollten sie per E-Mail über die folgenden Grundsätze informiert werden:

  • Bitte achten Sie auf den Schutz von dienstlichen Informationen im Home Office. Es gelten die gleichen Grundsätze wie am Arbeitsplatz. Dies betrifft nicht nur dienstliche Informationen über das Unternehmen, sondern auch den Schutz von personenbezogenen Daten von Mitarbeitern aber auch ihrer Kunden/Patienten/Klienten/Bewohnern.  [Für Unternehmen des Gesundheitswesens: Gesundheitsdaten zählen zu den besonderen personenbezogenen Daten und unterliegen damit ebenfalls besonderen Anforderungen bezüglich des Datenschutzes und ihrer Geheimhaltung]. Sie sind im Rahmen ihres bestehenden Arbeitsvertrages schriftlich auf das Datengeheimnis [Für Unternehmen des Gesundheitswesen: sowie die ärztliche Schweigepflicht gem. § 203 StGB] verpflichtet worden. Auch im Home-Office haben über alle betrieblichen und geschäftlichen Daten, über die sie im Rahmen ihrer Tätigkeit Kenntnis erlangen, Stillschweigen zu bewahren. Die gesetzlichen und betrieblichen Regelungen des Datenschutzes und der Datensicherheit sind grundsätzlich zu beachten und anzuwenden.
  • Für das Home-Office erforderliche Arbeitsunterlagen, die sich im Betrieb befinden, können nur mit Zustimmung mindestens in Textform (per E-Mail) des Vorgesetzten in das Home-Office verbracht werden. [Anmerkung des Verfassers: Ohne Zustimmung kann sich der Mitarbeiter im Falle eines Datendiebstahls ggf. erfolgreich darauf berufen, dass er die Daten zum Arbeiten im Home-Office seiner Ansicht nach benötigt hat]. Digitale Informationen auf USB-Sticks, Laptops oder mobilen Festplatten sind verschlüsselt, physische Daten wie Unterlagen in verschlossenen Behältnissen zu transportieren und dürfen nicht unbeaufsichtigt (z. B. im Fahrzeug) belassen werden.
  • Vertrauliche Daten, Informationen, Passwörter und dienstliche Unterlagen sind von den Mitarbeitern so zu schützen, dass Dritte – insb. auch im Haushalt der Mitarbeiter lebende Personen oder sonstige sich dort berechtigt aufhaltende Dritte wie Gäste etc. – weder Einsicht noch Zugriff nehmen können. Der häusliche Arbeitsplatz ist so zu wählen, dass Dritte nicht ohne Weiteres Einsicht in Unterlagen oder auf den Bildschirm nehmen können. Um die Verfügbarkeit der Daten zu gewährleisten, sollten Daten möglichst nicht lokal, sondern im entsprechenden Unternehmensnetzwerk gespeichert werden.
     
  • Private Endgeräte dürfen nur im Ausnahmefall genutzt werden und müssen von übrigen Informationen getrennt und gegen den Zugriff von Dritten besonders geschützt sein. Der Nutzung muss die Geschäftsführung mindestens in Textform (per E-Mail) zustimmen. [Sofern vorhanden: Das Nähere regelt die Bring-Your-Own-Device-Richtlinie.]
     
  • Sofern betriebliche Endgeräte zur Verfügung gestellt werden, sollten diese nicht privat oder von Familienmitgliedern genutzt werden.
  • Sofern ein separater Raum für das Home-Office vorhanden sein sollte, ist dieser auch bei kurzer Abwesenheit (und sei es nur zur Toilette) zu verschließen und vor dem Betreten Dritter zu schützen.
  • Sofern kein separater Raum zur Verfügung steht, sollte auch bei kurzer Abwesenheit (und sei es nur zur Toilette) sichergestellt sein, dass Dritte weder dienstliche Informationen oder Akten einsehen oder darauf zugreifen können, es sei denn der Mitarbeiter ist allein zu Hause. Dies bedeutet insbesondere, dass
    • der verwendete Computer gesperrt werden muss, so dass bei Rückkehr zumindest die Eingabe des Passwortes erforderlich ist;
    • betriebliche Unterlagen, gleich ob Papier-Akten oder auf Ausdrucken, in einem Schrank oder in einer Aktentasche verschlossen werden;
    • ein ggf. genutztes Zugangsmedium (z. B. Chipkarte, Transponder) vom Computer entfernt wird.
  • Berufliche Telefonate mit sensiblen Inhalten sollten nur geführt werden, wenn ein Mithören Dritter ausgeschlossen werden kann.
     
  • Die Weiterleitung geschäftlicher E-Mails an das private Postfach muss auch im Home-Office untersagt bleiben.
     
  • Eine Entsorgung von dienstlichen Unterlagen mit sensiblen Informationen darf nicht im Hausmüll sondern nur auf vorgeschriebene Weise im Betrieb geschehen. Daher sind zu vernichtende Unterlagen in der Zwischenzeit geschützt, also in abschließbaren Schränken oder Aktentaschen, aufzubewahren.

Fazit: Informations- und Datenschutz im Home-Office

Diese Grundsätze sind als Minimum der Informationssicherheit und Datenschutz zur Gewährleistung des Rechenschaftsprinzips zu betrachten und stellen lediglich provisorische Vorgaben dar, die nicht sämtlichen Bedürfnissen des Schutzes von dienstlichen Informationen und personenbezogenen Daten gerecht werden. Je länger die derzeitige Situation andauert, desto eher wird es jedoch erforderlich sein, eine umfassende Home-Office-Richtlinie zu erlassen, in der u.a. auch dienstliche Kontroll- und Zugangsregelungen ins Home-Office und Sanktionen zu regeln sind. Darüber hinaus sollten weitere technische und organisatorische Maßnahmen ergriffen werden, um die Informationssicherheit und den Datenschutz sicherzustellen. Sofern die Nutzung von privaten Endgeräten unvermeidbar ist, sind strenge Regelungen im Rahmen einer sogenannten Bring-Your-Own-Device-Richtlinie erforderlich, sodass dienstliche Informationen und personenbezogene Daten dem Einflussbereich des Arbeitgebers nicht entzogen werden.

Kontakt
Ihre Ansprechpartner an unseren Standorten:
Münster
RA
Alexander Gottwald, EMBA, externer Datenschutzbeauftragter (GDDcert. EU)
+49 (0)251 48261-173
 

Solidaris Rechtsanwaltsgesellschaft mbH

Gottwald

Alexander Gottwald, geboren 1983

  • Studium der Rechtswissenschaft in Frankfurt am Main und Münster
  • seit 2016 Rechtsanwalt
  • 2016 EMBA – Executive Master of Business Management, Betriebswirtschaftliches Masterprogramm der Westfälischen Wilhelms-Universität Münster
  • seit 2016 bei der Solidaris
  • 2017 – Ausbildung zum zertifizierten Datenschutzbeauftragten bei der Gesellschaft
    für Datenschutz und Datensicherheit (GDDcert. EU)

Aktivitäten

  • Lehrauftrag an der Hochschule FOM in Münster u.a. in dem Bachelor-Studiengang Wirtschafts-Informatik

Schwerpunkte

  • Gesellschafts-, Vereins- und Stiftungsrecht 
  • Steuer- und Gemeinnützigkeitsrecht 
  • Individual- und Kollektivarbeitsrecht 
  • Allg. Zivilrecht und Vertragsrecht 
  • IT-Recht und Datenschutz
  • Externer Datenschutzbeauftragter

Veröffentlichungen in der Fachpresse
2019

  • Erstmalig hohes Bußgeld: Health&Care Management, 2/2019, S.56.
  • Die Tücken der E-Mail-Verschlüsselung: BRAK Magazin, 1/2019, S. 6.
  • Datenschutz - ein Perspektivwechsel: PflegeManagement, 4-5/2019, S. 14-15.
  • Datenschutz im MVZ: Health & Care Management, 12/2019, S. 60


Veröffentlichungen in der Fachpresse
2018

  • Kirchen beschließen Novellierung des Datenschutzes: Health&Care Management Newsletter, 1/2018
  • Datenschutz erhält mehr Gewicht: neue caritas, 2/2018, S. 24.
  • Richtlinie kurzfristig umsetzen: Wohlfahrt intern, 6/2018, S. 39.

Veröffentlichungen in der Fachpresse
2017

  • Neue Regeln für Befristungen: Sozialwirtschaft, 6/2017, S. 30-31.
  • Freifunk für alle: Sozialwirtschaft, 9-10/2017, S. 36-37.