Der Arbeitnehmerdatenschutz befindet sich im Wandel der Zeit. Die Technik macht es längst möglich, dass viele Arbeitnehmer mit dem Firmenlaptop und -Smartphone theoretisch von überall aus mobil agieren und weite Teile der Arbeit verrichten können. Mit zunehmender Gerätemobilität sowie dank Cloud-Lösungen und sinkender Kosten können E-Mails jederzeit verschickt, Dokumente erstellt bzw. geteilt und auch Präsentationen via Webcam abgehalten werden.
Da ist es nicht verwunderlich, dass nun auch die Juristen auf dem 71. Juristentag in Essen vor wenigen Tagen neue Modelle für Arbeitszeit und -Ort forderten und sich für ein Recht auf „Homeoffice“ aussprachen.
Längst wird die Heimarbeit in vielen größeren und familienfreundlichen Unternehmen toleriert oder gar gefördert. Nichtdestotrotz wurde die freie Wahl des Arbeitsortes durch das Arbeitsrecht und Risiken der IT-Sicherheit immer wieder ausgebremst. Schließlich gibt der Arbeitgeber die Arbeitsstätte und weitere maßgebliche Umstände für die Verrichtung der Arbeit vor, was auch den Fragen der Haftung, Kontrolle des Arbeitnehmers und der Organisation der Arbeitsabläufe geschuldet ist.
Der Datenschutz beim Homeoffice
Ferner lassen sich auch die datenschutzrechtlichen Bedenken gegenüber dem Homeoffice nicht von der Hand weisen. Denn kann der Angestellte von Zuhause aus auf personenbezogene oder gar besonders sensible Daten zugreifen, z.B. wenn bei Office Anwendungen oder im CRM (Customer Relationship Management) Mitarbeiter- oder Kundendaten verwaltet werden, bedarf es nach den Vorgaben aus dem Bundesdatenschutzgesetz (Vgl. § 9 BDSG i.V.m. der Anlage) eines angemessenen Schutzkonzeptes.
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) veröffentlichte vor einiger Zeit einen Prospekt als „Datenschutz-Wegweiser“ der Telearbeit (Homeoffice), der einige rechtliche und technische Voraussetzungen hierfür aufzeigt. Viele der aufgeführten Aspekte sind nicht wirklich neu, zeigen doch aber eine erste Tendenz der rechtskonformen Umsetzung in der Praxis.
So sollte der Arbeitnehmer in jedem Fall nur die ihm vom Arbeitgeber bereitgestellte Soft- und Hardware und eine geschützte Verbindung zum Firmennetzwerk via VPN verwenden. Selbstverständlich gilt es z.B. die 2-Faktor-Authentifizierung, Passwort-Richtlinien und verschlüsselte Hardware (Festplatten) wie auch eine strikte Trennung der beruflichen von der privaten Hard- und Software zu gewährleisten. Private Dateien oder persönliche Kontakte sind auf dem Firmenlaptop tabu! Gleiches gilt für den Einsatz von privaten USB-Sticks oder Festplatten.
Bei intelligenten Sicherheitskonzepten auf dem derzeitigen Stand der Technik ist es gar denkbar, dass ein besserer Datenschutz möglich ist als in einem Hinterzimmer-Büro einer kleineren Arztpraxis. Nicht zuletzt kann es auch in Großraumbüros passieren, dass sensible Dokumente auf dem Drucker vergessen oder Zugangsdaten unsicher aufbewahrt werden, so dass Informationen an Unbefugte gelangen können.
Doch auch die räumlichen Besonderheiten am heimischen Arbeitsplatz müssen entsprechend berücksichtigt werden: Familienmitglieder oder Gäste in der Wohnung sollten weder auf die Arbeitsgeräte zugreifen noch dem Arbeiter während der Heimarbeit über die Schulter gucken können. Am besten lässt sich dies dadurch gewährleisten, dass der Angestellte die Heimarbeit in einem extra dafür vorgesehenen und verschließbaren Raum ausführt und den Computer beim Verlassen des Raumes entsprechend durch ein Passwort sichert. Dokumente und sonstige Unterlagen mit personenbezogenen Daten sollten lediglich in digitaler Form auf dem Arbeitsgerät vorhanden sein, andernfalls in einem verschließbaren Schrank aufbewahrt und vor den Zugriffen und Blicken Dritter geschützt werden. Und während Telefon-Konferenzen sollte die Zimmertür geschlossen sein.
Job-Mobilität macht´s möglich
Insgesamt sind die Anforderungen an die Sicherheitsvorkehrungen bei der Teleheimarbeit selbstverständlich daran zu bemessen, ob und welche Art der personenbezogenen Daten bei der Arbeit im Homeoffice berührt werden. Mithin ist die Umsetzbarkeit des mobilen Arbeitsplatzes auch abhängig von der Art der Tätigkeit, denn nicht wenige Berufe lassen sich auch weiterhin nur vor Ort und mit tatkräftigem Anpacken im Werk oder beim Kunden erledigen. Dies räumten auch die Juristen jüngst ein, die ihre Forderungen nur auf „mobilisierbare Tätigkeiten“ beziehen.
Klar ist allerdings auch, dass der Datenschutz längst nicht mehr dem Homeoffice unüberwindbare Hürden in den Weg stellt, sondern sogar gute und zeitgemäße Lösungsansätze parat hält, mit welchen auf individuelle Bedürfnisse des Einzelnen eingegangen und zukünftig immer mehr Arbeitgeber von neuen Arbeitsplatzmodellen überzeugt werden können – ganz zur Freude der Angestellten.
Anonymous
21. September 2017 @ 13:17
Die Bundesbeauftragte für den Datenschutz ist für den öffentlichen Bereich zuständig und nicht, wie der Artikel irreführend impliziert, für private AG und AN. Für diese sind die Aufsichtsbehörden der Länder zuständig.
Conrad Conrad
21. September 2017 @ 13:55
Guten Tag,
vielen Dank für Ihren klarstellenden Kommentar. In der Tat ist die Bundesbeauftragte für den Datenschutz nicht zuständig für privatwirtschaftliche Unternehmen. Vielmehr sollte der Verweis auf das offizielle Handout der Bundesbehörde nur als Indiz und Hilfestellung dienen mangels vergleichbarer offizieller Vorgaben der jeweiligen Landesbehörden.
Mit freundlichen Grüßen
dsb1973
26. Januar 2017 @ 17:23
Interessanter und angenehm positiver Beitrag. Leider liefert der Wegweiser des BfDI aum brauchbare Hinweise auf real umsetzbare Datenschutzmaßnahmen im Home Office. So dürfte es z.B. nahezu unmöglich sein einen Internetanbieter zu finden, der für eine private Mietwohnung eine zweite physisch getrennte Internetanbindung zur betrieblichen Nutzung bereit stellt. Geschweige denn einen AG, der die immensen Kosten dafür tragen würde. Auch die geplante Verordnung des Arbeitsministeriums Telearbeitsplätze nach der Arbeitsstättenverordnung zu bewerten (AG muss z.B. 500 Lux Beleuchtung sicher stellen), führt sicher nicht zur Förderung weiterer Home Office Plätze. Sämtliche Auftragsdatenverarbeitunsgverträge, die mir als Datenschützer im Betrieb vorgelegt werden, enthalten den Passus, der Telearbeit des Auftragnehmers grundsätzlich untersagt. Es ist durchaus fraglich, ob Telearbeit in Deutschland derzeit auch praktisch wirklich BDSG-konform realisiert werden kann, oder nur mit einigen Einschränkungen, die viele Auftraggeber nicht hinnehmen möchten.
Conrad Conrad
27. Januar 2017 @ 9:48
Sehr geehrter Leser,
vielen Dank für Ihren ausführlichen Kommentar. Die Zeit wird zeigen, inwieweit sich neue Homeoffice-Modelle datenschutzkonform zeitnah umsetzen lassen.
An dieser Stelle sei ein kurzer Hinweis auf unseren neuesten Artikel gegeben, der sich mit den technischen und rechtlichen Fragen zum mobilen Arbeiten (betrifft auch das Homeoffice) noch tiefergehend befasst: https://www.datenschutz-notizen.de/mobiles-arbeiten-datenschutzkonzepte-und-das-arbeitsrecht-1817129/