Die zunehmende Verbreitung von Homeoffice hat viele Unternehmer vor Herausforderungen gestellt. Der Geltungsbereich der europäischen Datenschutzgrundverordnung erstreckt sich auf alle Bereiche, in welchen personenbezogene Daten verarbeitet werden. Damit sind die Regelungen einzuhalten, unabhängig davon, ob ein Mitarbeiter vom Büro oder vom Homeoffice aus arbeitet. Der Art. 32 DSGVO schreibt Verantwortlichen und Auftragsverarbeitern zur Sicherheit der Verarbeitung personenbezogener Daten vor, bestehenden Risiken mit angemessenen Maßnahmen zu begegnen. Damit bleibt der Arbeitgeber auch bei Homeoffice für den Schutz der personenbezogenen Daten verantwortlich. Wird das Homeoffice sogar gänzlich ortsungebunden als „Mobile Office“ geplant, sind zusätzlich zu den folgenden Maßnahmen auch die möglichen Arbeitssituationen und die damit verbundenen Sicherheitsrisiken außerhalb der Wohnung zu berücksichtigen.
Analyse vor Einführung von Homeoffice
Grundsätzlich obliegt es dem Verantwortlichen eines Unternehmens, was im Homeoffice bearbeitet werden darf. Im Rahmen einer Risikoanalyse werden die Gefährdungen für die Rechte von Betroffenen betrachtet. Art, Umfang, Umstände sowie Zweck der Verarbeitung personenbezogener Daten können anhand dieser Analyse festgelegt werden. Der Verantwortliche hat angemessene und wirksame technische und organisatorische Maßnahmen zu treffen, welche in die einzelnen Prozesse integriert werden müssen. Verantwortliche müssen daher bereits bevor sie einem Mitarbeiter die Arbeit aus dem Homeoffice gestatten, entsprechende Vorarbeiten und Analysen leisten (Art. 5, 24, 25, 32 DSGVO).
Technische und organisatorische Maßnahmen
Im Vergleich zum betrieblichen Arbeitsplatz besteht im Homeoffice eine veränderte Gefährdungslage. Diese muss von den jeweiligen Unternehmen berücksichtigt werden. Die Verantwortlichen müssen sicherstellen, dass das Schutzniveau personenbezogener Daten auch im Homeoffice sichergestellt ist. Hierzu haben sie geeignete technische und organisatorische Maßnahmen zu treffen. Zu diesen gehören beispielsweise zentral administrierte Endgeräte, verschlüsselte Zugänge oder eine abgesicherte Verbindung (VPN). Eigene Endgeräte des Arbeitnehmers mit eingebautem Speichern wie Laptop, Scanner bzw. Drucker oder externe Speichermedien sollten nicht mehr zum Einsatz kommen. Vor Ort muss zudem ein geeigneter Arbeitsplatz eingerichtet werden, an welchem Dokumente mit personenbezogenen Daten sicher bearbeitet und aufbewahrt werden können. Oft reicht eine abschließbare Schublade, ein eigenes verschließbares Arbeitszimmer ist zumeist nicht erforderlich. Zu beachten ist auch, ob besonders sensible Daten (z. B. Gesundheitsdaten, Daten zu politischen oder weltanschaulichen Ansichten, vgl. Art. 9 DSGVO) verarbeitet werden sollen, dann ist das Schutzniveau entsprechend zu erhöhen. Es gibt eine Vielzahl möglicher Maßnahmen, welche eine sichere Verarbeitung von personenbezogenen Daten auch aus dem Homeoffice gewährleisten.
Sie benötigen Unterstützung bei der Umsetzung? Wir stehen Ihnen gerne mit Rat und Tat zur Seite. Weitere Informationen und Kontaktmöglichkeiten finden Sie unter https://kajo-datenschutz.de