Kategorien
Neueste Beiträge
Homeoffice-Herausforderungen schrittweise meistern
Auch in der datenschutzrechtlichen Diskussion wird das Thema Corona-Pandemie sehr intensiv behandelt. Um die neuen Herausforderungen wie den Sicherheitsabstand (von 1,5 Metern) zu meistern, gibt es Ansätze wie das Homeoffice. Wir wollen Ihnen schrittweise diese Möglichkeit und die dazugehörigen Herausforderungen von Homeoffice während dieser Zeit unter dem Aspekt Datenschutz näher bringen.
Wird Homeoffice wirklich benötigt?
Diese Frage sollten Sie sich am Anfang stellen. Denn schnell wird Ihnen klar, dass Sie nicht alle Beschäftigten während der Pandemie nach Hause schicken können. Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA BB) hat zum Thema Corona-Pandemie: Datenschutz und Heimarbeit einige Eckpunkte veröffentlicht. Wenn Sie also
- eine Notwendigkeit einer Anordnung (soweit arbeitsrechtlich zulässig) oder Genehmigung von Heimarbeit sehen (Ansatz: Um Abstand zwischen den Beschäftigten zu gewähren),
- andere arbeitsorganisatorische Möglichkeiten (bspw. flexible Arbeitszeitverteilung; Erbringung der Arbeitsleistung an einem anderen Standort) einsetzen können,
- nur bestimmte abzugrenzende Aufgaben für das Homeoffice infrage kommen,
- Beschäftigtengruppen (bspw. Risikogruppe; Sorgeberechtigte mit Kinderbetreuung) – gegebenenfalls mit Einbindung des Betriebsrates – definiert werden können,
- IT-Ausstattung für den Heimarbeitsplatz bereitstellen können (bspw. Laptops und dazugehörige Peripherie),
- weiteren Maßnahmen zur Einhaltung der Schutzbedarfe für die personenbezogenen Daten treffen können,
dann haben Sie einen ersten wichtigen Schritt getan und können weiterlesen.
Einhaltung der Rechte
Es ist nicht nur wichtig, dass bei der Verarbeitung von personenbezogenen Daten auf die Datenschutzgrundverordnung geschaut wird, sondern auch die Grundrechte der Beschäftigten beachtet und Eingriffe unterlassen werden. Es greifen auch weitere Gesetze wie das Arbeitsschutzgesetz sowie das Gesetz zum Schutz von Geschäftsgeheimnissen.
Verarbeitungstätigkeit sowie technische und organisatorische Maßnahmen (TOM)
Da sich die Aufgaben der Beschäftigten im Homeoffice ändern (können), ist es zu empfehlen, dies im Verzeichnis von Verarbeitungstätigkeiten zu ergänzen. Hierzu müssen technische und organisatorische Maßnahmen (TOM) zum Schutz der Daten gleich mit dokumentiert werden.
Wenn die Arbeitsleistung Ihrer Mitarbeiter (idealerweise) komplett digital von einem Laptop aus dem Homeoffice bewerkstelligt werden soll, dann muss entsprechend dokumentiert werden, welche
- technischen Anforderungen an dem Laptop,
- verschlüsselte Verbindung zu dem Firmennetzwerk oder zu den Daten in einer Cloud und
- Anpassungen innerhalb der Firmen-IT-Infrastruktur
benötigt werden. Des Weiteren sollten auch die IT-Systeme dahingehend administriert sein, dass die Sicherheit bei der Verarbeitung gewährleistet ist.
Alles, was nicht technisch umgesetzt werden kann, muss organisatorisch geregelt werden.
Wenn die Arbeiten nicht komplett digital erbracht werden können, also papierhafte Geschäftspost, Unterlagen, Angebote, Akten etc. physisch bearbeitet werden müssen, ist einiges zu beachten.
Zusatzvereinbarung
Hierzu wird dem Beschäftigten eine (freiwillige) Vereinbarung angeboten, mit der die vorgegebenen technischen Maßnahmen für das Homeoffice mitgeteilt, aber auch die organisatorischen Maßnahmen geregelt werden. In dem Zuge kann der Beschäftigte auch „zum Datenschutz und zur Geheimhaltung verpflichtet“ werden, sofern nicht bereits ohnehin schon geschehen, um die vorherige Verpflichtung zum Datengeheimnis nach dem alten Bundesdatenschutzgesetz abzulösen.
Es kann bei einem bestehenden Betriebsrat auch eine Rahmenvereinbarung/Betriebsvereinbarung geschlossen werden – die Verpflichtungen (siehe vorherigen Absatz) sollten trotzdem mit den einzelnen Beschäftigten, die eine Zusatzvereinbarung für Homeoffice angeboten bekommen, schriftlich festgehalten werden, da damit eine Änderung des Arbeitsvertrages verbunden ist und Kontrollrechte in der Wohnung gegebenenfalls mit Zustimmung der Mitbewohner geregelt werden müssen.
Last but not least: Datenschutz-Folgenabschätzung
Wenn auch personenbezogene Daten besonderer Kategorie (bspw. Gesundheitsdaten) verarbeitet werden und dabei voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen entsteht, muss eine Risikoanalyse in Form einer Datenschutz-Folgenabschätzung durchgeführt werden. Hier sollte der Datenschutzbeauftragte beratend unterstützen. Sollten die Risiken selbst durch den Einsatz von Maßnahmen weiterhin hoch sein, muss die Datenschutzaufsichtsbehörde konsultiert werden.
Sollten Sie Fragen haben oder bei den oben genannten Schritten Unterstützung benötigen, würden wir uns freuen, wenn Sie uns kontaktieren.