Datenschutz im Homeoffice
Die Corona-Pandemie führte zu weitreichenden Veränderungen in der Gesellschaft. Die Art und Weise der täglichen Arbeit blieb davon nicht verschont. Während viele Menschen bereits mit dem „Ob“ hinsichtlich ihrer Arbeit konfrontiert werden (erhöhte Arbeitslosigkeit, Kurzarbeit), beschäftigt zumindest das „Wie“ wohl beinahe alle. Einzelbüros, Schichtarbeit oder auch die Maskenpflicht sind nur einige der Vorkehrungen, um der Pandemie Einhalt zu gebieten. Die populärste Maßnahme stellt jedoch das Homeoffice dar. Obgleich sich dort die Menschen in Sicherheit wiegen, bleibt es jedoch fraglich, wie es um die Sicherheit der Daten im Homeoffice steht.
Homeoffice verändert die Arbeitsweise
Die Menschen sind im Homeoffice – neben der Arbeit – vermehrt mit privaten Aktivitäten konfrontiert. Ebenfalls entfällt der kontrollierende Einfluss eines Vorgesetzten oder Kollegen. Deshalb ist es wichtig, dass durch vorbereitende Maßnahmen und klare Weisungen ein gesetzeskonformer Schutzstandard auch in den eigenen vier Wänden etabliert wird.
Vorbereitende Maßnahmen des Arbeitgebers
Vor der Aufnahme der Tätigkeit obliegt es dem Arbeitgeber, sich ein umfassendes Bild über die häuslichen Verhältnisse des Arbeitnehmers zu machen. Insoweit ist es wichtig zu erfahren, in welcher Art von Räumlichkeiten der Arbeitnehmer seine Leistung erbringt. Für den Datenschutz von Bedeutung ist dabei, ob ein gesonderter Raum für die Verrichtung der Arbeit zur Verfügung steht, ob die Arbeit in einem Einfamilienhaus oder einer Wohnung (mit ggf. dünnen Wänden) verrichtet wird oder ob der Arbeitsplatz (durch Fenster etc) von außen für Dritte einsehbar ist. Auch die Zahl der Mitbewohner (darunter zählen auch Familienmitglieder) besitzt eine datenschutzrechtliche Relevanz.
Praktische Umsetzung der Schutzmaßnahmen
Zunächst sei auf die Anschaffung und Anwendung entsprechender technischer Hilfsmittel hingewiesen. Darunter fallen die Beschaffung eines abschließbaren Behältnisses, ggf. Sichtschutzfolien und die datenschutzkonforme Konfiguration der zum Einsatz kommenden IT-Systeme einschließlich einer automatischen Sperrung der Systeme bei Inaktivität sowie der Einsatz von VPN-Zugängen.
Soweit der Arbeitgeber nicht allein lebt, sollte die Arbeit nach Weisung idealerweise in einem abschließbaren Raum erledigt werden. Ist das nicht möglich, so sind weitergehende Weisungen erforderlich, um den einschlägigen datenschutzrechtlichen Standards gerecht zu werden. Sobald die Standards nicht erreicht werden können und die Arbeit mit sensiblen personenbezogenen Daten weiterhin notwendig bleibt, ist die Arbeit im Homeoffice nicht zu gestatten.
Je nach Möglichkeit sollte darüber hinaus auf die Papierverwendung verzichtet werden. Zumindest sind sensible Dokumente für Dritte unzugänglich zu verwahren. Die Vernichtung von Dokumenten darf nicht im Hausmüll erfolgen.
Ein Datenschutzrisiko kann sich auch durch die Einrichtung des Arbeitnehmers direkt ergeben. Dabei ist insbesondere an Dinge des Internet of Things mit integrierten Sprachassistenten und Kameras zu denken. Ggf. sind diese Dinge zu entfernen.
Kontrolle der Maßnahmen
Die Kontrollmaßnahmen des Arbeitgebers sind beschränkt. Zwar ist es technisch möglich, eine Rundumüberwachung des Mitarbeiters zu installieren. Eine solch vollumfängliche Überwachung dürfte allerdings die ihrerseits bestehenden datenschutzrechtlichen Grenzen sprengen. Deshalb bleibt nur die Möglichkeit der punktuellen Überwachung etwa durch die Protokollierung von Zugriffen.
Häufig regeln die Arbeitgeber zur Überwachung ihrer angeordneten Maßnahmen ein Zutrittsrecht zur Wohnung des Arbeitnehmers. In der Praxis erweist sich eben das aber als rechtlich problematisch und letztlich auch nicht als zweckerfüllend hinsichtlich einer effektiven Kontrollmöglichkeit. Denn zum einen bedarf es der Zustimmung der Mitbewohner des Arbeitnehmers und zum anderen ist der Arbeitnehmer mit einer entsprechenden Ankündigungsfrist über das Zutrittsverlangen zu informieren.