Auch bei der Arbeit im Homeoffice muss der Datenschutz gewährleistet bleiben. Die durch die Distanz entstehenden datenschutzrechtlichen Anforderungen, lassen sich inzwischen jedoch durch technische Maßnahmen erfüllen.
In der Praxis lassen sich die Kontrollpflichten gem. der Anlage zu § 9 BDSG durch technische Vorkehrungen erfüllen, da über die elektronischen Übertragungswege eine ständige Kontrolle des Arbeitsmittels und der verarbeiteten Daten auch ohne reale Anwesenheit möglich ist. Um den Anforderungen gerecht zu werden, sind prozessuale und technische Schutzvorkehrungen nötig. Zu den Schutzmaßnahmen gehört:
– die Nutzung eines abschließbaren, räumlich getrennten Arbeitsplatzes (Zutrittskontrolle),
– die Authentifizierung über biometrische Daten mittels Live-Video-Stream und dessen Abgleich mit einem Referenzbild des vereinbarten Arbeitsplatzes (Zugangskontrolle),
– die individuelle Rechte-Profil-Verwaltung jedes Mitarbeiters (Zugriffskontrolle)
– die Anbindung des Arbeitsplatzes an den Unternehmensserver über verschlüsselte Übertragungswege (Weitergabekontrolle),
– die Nutzung eines Secure Desktop und Protokollierungssoftware, um copy-and-paste-Funktionen, die Erstellung von Screenshots, die Ausführung von Keyloggern, die Ausführung
von anderen Programmen und die Ausführung von Fernwartungsprogrammen etc. zu verhindern und Eingaben speichern zu können (Eingabekontrolle),
– eine Vereinbarung zur Auftragsdatenverarbeitung mit selbständig tätigen Mitarbeitern (Auftragskontrolle),
– der Einsatz aktueller ITK einschließlich regelmäßiger Updates, Virenschutz, Firewall und Datensicherung (Verfügbarkeitskontrolle) und
– die Bereitstellung von Hardware oder die Verpflichtung zur ausschließlich Nutzung der eingesetzten Geräte zu dienstlichen Zwecken (Trennungsgebot).
Es bietet sich an, grundlegende Vereinbarungen bereits im Arbeitsvertrag oder einer entsprechenden Anlage zu regeln. Hierzu gehören die Anforderungen an den Arbeitsplatz, Erklärungen zum Datenschutz, Weisungsbefugnisse und ggf. Präsenzzeiten in der betrieblichen Arbeitsstätte.
Ist der Arbeitgeber bereits selbst im Rahmen einer Auftragsdatenverarbeitung für einen Dritten tätig, sieht das BDSG gemäß § 11 noch einige darüber hinausgehende Pflichten für den Auftraggeber vor.
Werden personenbezogenen Daten im Auftrag bearbeitet, muss gewährleistet sein, dass die Daten auch am Telearbeitsplatz nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Der Auftraggeber als verantwortliche Stelle ist gesetzlich verpflichtet, eine datenschutzkonforme Datenverarbeitung durch den Auftragnehmer zu gewährleisten. Daraus ergibt sich zum einen die Verpflichtung zur datenschutzkonformen Vertragsgestaltung zwischen den Vertragsparteien im Geschäftsbesorgungsvertrag und der Vereinbarung über die Auftragsdatenverarbeitung. Zum anderen besteht in diesem Fall auch eine Kontrollverpflichtung des Auftraggebers gegenüber dem Auftragnehmer vor und während der Datenverarbeitung und damit im Ergebnis auch beim Telearbeiter.
Aus diesem Grund Bedarf es regelmäßig einer Ergänzung der bestehenden Vereinbarungen zur Auftragsdatenverarbeitung, sobald Mitarbeiter im Homeoffice tätig werden und Zugriff auf personenbezogene Daten des Auftraggebers haben. In einer solchen Ergänzung lassen sich auch wirksame Vereinbarungen treffen, um die Kontrollpflichten des Auftraggebers auf den Auftragnehmer zu übertragen, denen er im Wesentlichen ja bereits ohnehin selbst nachkommen muss.
Sofern die vertraglichen Bedingungen und die prozessualen und technischen Voraussetzungen erfüllt sind, steht einem Mitarbeitereinsatz im Homeoffice aus datenschutzrechtlicher Sicht nichts entgegen.
– Felix Prömel (Junior Berater)
junokai