4
Jul
2019

Arbeiten 4.0 – Part 8: Datenschutzrechtliche Aspekte

Der Datenschutz spielt überall eine wichtige Rolle. Auch im Arbeitsrecht und ganz besonders bei Home-Office und mobilem Arbeiten. Die DS-GVO und das reformierte BDSG sehen drastische Bußgelder und Schadensersatzansprüche bei Datenschutzverstößen vor. Erst jüngst wurden substantielle Bußgelder verhängt.

Home-Office, mobile Arbeit und Datenschutz

Unternehmen haben stets personenbezogene Daten zu schützen – unabhängig davon, wo der Arbeitnehmer arbeitet. Entscheidend ist, dass es um die Verarbeitung personenbezogener Daten geht. Der Arbeitgeber ist auch bei Home-Office und mobiler Arbeit der datenschutzrechtlich Verantwortliche (vgl. Art. 4 Nr. 7 DS-GVO). Deshalb hat auch der Arbeitgeber vor dem Einführen von Home-Office und mobiler Arbeit zu checken, ob und wie er den Schutz personenbezogener Daten auch im Rahmen von Home-Office und mobilen Arbeiten gewährleisten kann. Besonderheiten ergeben sich daraus, dass die Kontrollmöglichkeiten des Arbeitgebers außerhalb des Betriebs beschränkt sind. Der Zugriff Dritter hingegen ist erweitert, indem die IT-Nutzung außerhalb des Betriebs erfolgt. Denn oftmals lebt der Arbeitnehmer nicht allein in seiner Wohnung und ganz sicher sitzt er nicht alleine im Flugzeug oder in der Bahn.

Verarbeitung personenbezogener Daten

Der Schutz personenbezogener Daten geht zurück auf das allgemeine Persönlichkeitsrecht. Dieses grundgesetzlich geschützte Recht umfasst auch das Recht auf informationelle Selbstbestimmung und das Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (Art. 8 GRCh bzw. Art. 1 i.V.m. Art. 2 GG). Deshalb dürfen personenbezogene Daten auch nur mit Einwilligung des Betroffenen verarbeitet werden oder wenn dies gesetzlich zulässig ist (vgl. Artt. 6, 9 DS-GVO). Im Rahmen eines Arbeitsverhältnisses spielt der Schutz personenbezogener Daten aus zwei verschiedenen Gesichtspunkten eine Rolle: im Hinblick auf den Beschäftigtendatenschutz und auf den Schutz personenbezogener Daten Dritter.

Beschäftigtendatenschutz

Der Arbeitgeber kann personenbezogene Daten des Beschäftigten bei Fehlen einer Einwilligung nur verarbeiten, wenn dies etwa für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder im Anschluss daran für dessen Durchführung oder Beendigung erforderlich ist bzw. der Aufdeckung von Straftaten dient (Art. 88 Abs. 1 DS-GVO i.V.m. § 26 BDSG). Der Erlaubnistatbestand des Arbeitnehmerdatenschutzes ist im Wesentlichen der vorherigen Regelung (§ 32 BDSG a.F) nachgebildet. Wir empfehlen daher weiterhin, die von der bisherigen Rechtsprechung entwickelten Grundsätzen zur Erforderlichkeit und Verhältnismäßigkeit der Datenverarbeitung anzuwenden.

Im Bereich des Home-Office und der mobilen Arbeit ergeben sich keine Unterschiede zu den Verarbeitungsmodalitäten, die für einen Arbeitsplatz im Betrieb gelten, so dass insoweit dieselben Vorgaben zu beachten sind. Zwar mag das Bedürfnis für Überwachungsmaßnahmen bei mobiler Arbeit für den Arbeitgeber größer sein, da der Arbeitnehmer der unmittelbaren, ansonsten im Betrieb möglichen Kontrolle des Arbeitgebers entzogen ist. Dieser Umstand alleine rechtfertigt jedoch keine (weitreichenderen) Überwachungsmaßnahmen, so dass sich insoweit für die mobile Arbeit keine Besonderheiten ergeben. Eine „Überwachung“ des Arbeitnehmers ist nur unter Berücksichtigung des allgemeinen Persönlichkeitsrechtes des Arbeitnehmers und innerhalb der Grenzen des Beschäftigtendatenschutz (vgl. § 26 BDSG) möglich.

 Schutz personenbezogener Daten Dritter

Daneben muss der Arbeitgeber auch den Schutz personenbezogener Daten Dritter gewährleisten. Der Arbeitgeber hat auch beim Home-Office und mobilen Arbeiten dafür zu sorgen, dass die datenschutzrechtlichen Vorgaben eingehalten werden, indem er geeignete technische und organisatorische Maßnahmen trifft (vgl. Art. 32 DS-GVO bzw. § 64 BDSG).

Datensicherung

Arbeitgeber haben daher bei Home-Office und mobiler Arbeit insbesondere Sicherungsvorkehrungen zu treffen, um den Zugriff unberechtigter Dritte auf personenbezogene Daten zu verhindern. Arbeitgeber haben mit Hilfe eines Datenschutz-/IT-Sicherheitskonzepts zu gewährleisten, dass die Datensicherheit sichergestellt ist. Arbeitgeber sollten zudem für eine entsprechende Qualifikation des Arbeitnehmers im Umgang mit Soft- und Hardware sorgen. Die Einrichtung des Home-Offices (z.B. abschließbarer Aktenschrank) und die zur Verfügung gestellte Soft- und Hardware müssen die Einhaltung der Datenschutzbestimmungen (z.B. Passwort und Verschlüsselung) gewährleisten.

Praxistipps

Wir empfehlen, dass der Arbeitgeber den Arbeitnehmer bzgl. der aktuellen datenschutzrechtlichen Bestimmungen unterweist. Daneben sollten Unternehmen mindestens jährliche Datenschutz- und Datensicherungsschulung anbieten. Denn für die Einhaltung des Datenschutzes bleibt der Arbeitgeber verantwortlich – auch wenn er dies an seine Arbeitnehmer delegiert.

Wir raten dazu, die Arbeitnehmer zu sensibilisieren und zur Einhaltung folgender Punkten zu verpflichten:

  • Einräumung eines Zutrittsrechts zum Home-Office für Arbeitgeber/Datenschutzbeauftragte(n) sowie staatlichen Aufsichtsbehörde: Aufgrund des grundrechtlich geschützten Bereichs der Wohnung (Art. 13 GG) sollte sich der Arbeitgeber ein Zutrittsrecht einräumen lassen, um die Einhaltung der datenschutzrechtlichen Bestimmungen kontrollieren zu können;
  • Bestmögliche Absicherung von vertraulichen Akten oder Datenträgern insbesondere auch bei deren Transport (z.B. abschließbarer Aktenschrank, Aktenvernichter oder ausschließliche Vernichtung der Akten im Betrieb, Nutzung verschlüsselter Datenträger; Zustimmung des Vorgesetzen vor Transport von Akten/Daten);
  • Sicherstellung des erforderlichen Datenschutzes bei Nutzung elektronischer Kommunikationsmittel (z.B. Datenübertragungsverschlüsselung, Nutzung von VPN- oder Tunnellösungen; sichere Aufbewahrung von Passwörtern; Sichtschutz auf Laptops);
  • Sicherstellung, dass Familienangehörige oder Besucher keinen Zugang zu vertraulichen Daten haben (z.B. separates und abschließbares Arbeitszimmer, Bildschirm-Sperrung, Schutz von Passwörtern);
  • Regelmäßige Schulungen zum Thema Datenschutz/Home-Office/Mobiles Arbeiten.

Neben den erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten empfehlen wir, den Arbeitnehmer auch auf das Datengeheimnis zu verpflichten, um ihn für den Umgang mit Datengeheimnissen zu sensibilisieren.

Betriebliche Daten

Daneben ist sicherzustellen, dass die betrieblichen Daten, vor dem fremden Zugriff Dritter optimal geschützt sind. Das BSDG schützt nämlich sensible betriebliche Daten nicht, sondern lediglich personenbezogene Daten. Da die Risiken des Zugriffs Dritter sich insbesondere im Rahmen des Home-Office oder bei mobiler Arbeit ebenfalls wie für personenbezogene Daten stellen, empfehlen wir, eine gesonderte arbeitsvertragliche Vereinbarung dazu abzuschließen. Unsere Mandanten haben gute Erfahrungen mit einer entsprechenden Richtlinie zur Nutzung von Laptops (und Diensthandys) gemacht.

Einbindung des betrieblichen Datenschutzbeauftragten

Last but not least … binden Sie bei der Planung von Home-Office und mobilem Arbeiten neben dem Betriebsrat ihren betrieblichen Datenschutzbeauftragten frühzeitig ein – zum einen bei der Frage, ob und in welchem Umfang Home-Office und mobiles Arbeiten datenschutzrechtlich in Betracht kommt und zum anderen, welche datenschutzrechtlichen Schutzmaßnahmen im Einzelnen zu treffen sind.

Fazit

Der Schutz von personenbezogenen Daten und Datensicherung bleibt ein brisantes Thema insbesondere auch im Arbeitsrecht.

Speziell für den Bereich des Home-Offices gilt es, bereits im Home-Office-Vertrag die dargestellten Sicherheitsmaßnahmen zu regeln. Da sich in der Praxis oft zeigt, dass der Arbeitnehmer das eigentliche Sicherheitsrisiko darstellt, da häufig trotz entsprechender Verpflichtungen die Sicherheitsstandards nicht immer hinreichend beachtet werden, sollte zudem ein besonderes Augenmerk auf verpflichtende und regelmäßige datenschutzrechtliche Schulungen der Arbeitnehmer gelegt werden. Um die Sensibilität der Arbeitnehmer hierfür zu verstärken, müssen ihnen kontinuierlich Möglichkeiten der Risikominimierung aufgezeigt werden.

Verwandte Artikel:

Arbeiten 4.0 – Part 1: Digitalisierung verändert Arbeit; Arbeiten 4.0 – Part 2: Wer bestimmt, wie und wo ich arbeite?; Arbeiten 4.0 – Part 3: Arbeitsschutz bei mobiler Arbeit; Arbeiten 4.0 – Part 4: Wie passen Arbeitszeitgesetz und neue Arbeitsmodelle zusammen?; Arbeiten 4.0 – Part 5: Wie können Unternehmen mobiles Arbeiten rechtssicher beenden?; Arbeiten 4.0 – Part 6: Die Rolle des Betriebsrats; Arbeiten 4.0 – Part 7: Zuweisung von Home-Office gegen den Willen der Mitarbeiter?