Schulen und Kindergärten bleiben in Schleswig-Holstein und vielen anderen Bundesländern wegen des Coronavirus voraussichtlich bis nach den Osterferien geschlossen.
Folglich müssen kurzfristig nicht nur viele Familien die Kinderbetreuung zu Hause sicherstellen, auch Firmen sehen sich bereits vielfach gezwungen Mitarbeiter – insbesondere wenn diese aus gefährdeten Regionen zurückkehren – für einen gewissen Zeitraums zu Hause arbeiten zu lassen.
Die Einrichtung von Home-Office Arbeitsplätzen erlangt daher schlagartig eine große Bedeutung.
Was ist beim Arbeiten zu Hause zu beachten?
Generell ist Home-Office eine gute Lösung, um der aktuellen Situation – bei der ausdrücklich dazu aufgefordert wird, unnötige Sozialkontakte zu vermeiden – umzugehen.
Jeder, der einen Home-Office Arbeitsplatz einrichtet oder in Anspruch nehmen möchte, sollte sich allerdings zunächst fragen, ob dabei auch personenbezogene Daten verarbeitet werden. Das dürfte in den meisten Fällen, insbesondere bei Bürotätigkeiten, der Fall sein.
Werden personenbezogene Daten verarbeitet, muss das Home-Office auch datenschutzkonform eingerichtet werden. Zu empfehlen ist dringend ein separates, abschließbares Arbeitszimmer in der Wohnung. Unterlagen und Datenträger sollten sonst zumindest in einem abschließbaren Schrank verwahrt werden. Es ist darauf zu achten, dass die technische Ausstattung eines Home-Office Arbeitsplatzes (PC, Laptop, Telefon,..) nur für berufliche Zwecke genutzt wird.
Umgekehrt darf die private eigene technische Ausstattung nicht ohne weiteres für betriebliche Zwecke verwendet werden.
Es ist also darauf zu achten, dass die private und berufliche technische Ausstattung strikt getrennt sind.
Warum ist das so wichtig?
Wenn die vom Arbeitgeber zur Verfügung gestellte technische Ausstattung privat genutzt wird, ist es dem Arbeitgeber unter Umständen verwehrt, später auf die Geräte zuzugreifen, weil dort auch private Daten gespeichert sein könnten.
Speichert ein Arbeitnehmer also seine privaten E-Mails mit auf dem Laptop, welches von seinem Arbeitgeber zur Benutzung im Home-Office zur Verfügung gestellt wurde, kann der Arbeitgeber nicht einfach das Laptop herausverlangen und Einsicht nehmen. Das kann aber für Arbeitgeber zwingend notwendig sein. Etwa wenn der Arbeitnehmer in Home-Office erkrankt und ein Kollege die Arbeit fortsetzen muss.
Umgekehrt sind Arbeitgeber im Regelfall verpflichtet, dafür Sorge zu tragen, dass personenbezogene Daten des Unternehmens nicht „irgendwo“ gespeichert werden, sondern nur an klar definierten Stellen, die regelmäßig Verfahrensverzeichnis niedergelegt sind.
Nur so kann ein Arbeitgeber sicherstellen, dass er bei einer Inanspruchnahme aus der Datenschutzgrundverordnung, etwa auf Auskunft, Sperrung, Löschung oder Berichtigung von Daten auch weiß, wo diese Daten gespeichert sind.
Problematisch ist es dann, wenn ein Arbeitnehmer auf seinem privaten Gerät entsprechende Daten gespeichert hat. Unabhängig davon, dass auf solchen privaten Geräten auch eher laxe Sicherheitseinstellungen möglich sind – im Verlustfall droht eine meldepflichtige Datenpanne.
Schließlich ist es so, dass Unternehmen regelmäßig ausgewählte Dritte mit einer Auftragsdatenvereinbarung beauftragen.
Als einfaches Beispiel sei hier der Internet- und Telefonprovider genannt, bei denen personenbezogene Daten wie Telefonnummer etc. zumindest einen gewissen Zeitraum gespeichert werden.Das ist nur möglich, wenn eine schriftliche Vereinbarung über Auftragsdatenverarbeitung vorliegt.
Wenn jetzt der Arbeitnehmer mit seinem privaten Telefon Geschäftstelefonate führt, werden diese Daten hingegen bei dem Provider des Arbeitnehmers gespeichert und dem Zugriff und der Kontrolle des Arbeitgebers entzogen.
Um einen Home-Office arbeitsplatz rechtlich sicher auszugestalten, sind daher unbedingt schriftliche Vereinbarungen zwischen Arbeitgeber und Arbeitnehmer zu treffen.
Ganz besondere Vorsicht ist dann geboten, wenn der Arbeitgeber selbst Auftragsverarbeiter von Dritten ist.
Im Regelfall dürfte dann ein Vertrag zur Auftragsdatenverarbeitung zwischen dem Arbeitgeber und dem Dritten bestehen. Dieser enthält zwingend technische und organisatorische Maßnahmen zum Schutz der Daten.
Diese, unter Umständen vielfältigen technisch organisatorischen Maßnahmen müssen natürlich auch Verhältnis zwischen Arbeitgeber und Arbeitnehmer „durchgereicht“ werden.
Hat sich der Arbeitgeber etwa verpflichtet, seinem Auftraggeber jederzeit Zugang zu den datenverarbeitenden Stellen und Geräten einzuräumen, muss der Arbeitgeber dies auch im Innenverhältnis mit seinen Arbeitnehmer vereinbaren. Gängige Home-Office Vereinbarungen enthalten daher stets eine Regelung, dass der Arbeitgeber – unter Umständen gemeinsam mit dem zuständigen Datenschutzbeauftragten – auch den Home-Office Arbeitsplatz in der Wohnung des Arbeitnehmers besichtigen und inspizieren darf.
Nicht nur, um sich von der datenschutzkonformen Umsetzung des Home-Office Arbeitsplatzes zu überzeugen, sondern auch, um sicherzustellen, dass der Arbeitgeber als Auftragsverarbeiter seine Pflichten gegenüber Auftraggebern aus den mit diesen getroffenen Auftragsdatenverarbeitungen einhalten kann.
Wenn Sie unsicher sind, wie eine entsprechender Home-Office Vereinbarung auszusehen hat bzw. was in dieser konkret zu regeln ist sprechen Sie mich gerne an.