‚Remote Work’ ist für manche Arbeitnehmer Alltag. Für Mitarbeiter im Außendienst zum Beispiel, die den Großteil ihrer Zeit von Kunde zu Kunde unterwegs sind. Für IT-Spezialisten oder Entwickler, die auf einen Systemzugang, nicht aber auf die Büro-Infrastruktur in der Firma angewiesen sind. Für Webdesigner, Buchhalter oder Übersetzer, denen die Flexibilität wichtiger ist als die Nähe zu den Kollegen. In diesen Fällen findet die Arbeit überwiegend außerhalb der Firma statt.
Noch verbreiteter ist das gelegentliche oder regelmäßige Arbeiten im Homeoffice, zum Beispiel an bestimmten Wochentagen. Im Unterschied zum ‚Remote Work’ verfügen die Mitarbeiter hier über einen festen Arbeitsplatz in der Firma, auf dem sie auch oft anzutreffen sind. Gemeinsam ist diesen und anderen dezentralen Arbeitsmodellen, dass die Firma diese geplant und eingerichtet hat, im beiderseitigen Interesse und entsprechend den rechtlichen Rahmenbedingungen. Dieser letzte Punkt ist in der aktuellen Ausnahmesituation nicht unbedingt gegeben. Die Pandemie hat für viele Schreibtischarbeiter einen Wechsel ins Homeoffice erzwungen, quasi über Nacht und ohne sorgfältige Vorbereitung.
Das ist mit Risiken verbunden. Im Hinblick auf ergonomische Faktoren, die eine gesunde Arbeitssituation sicherstellen müssen. Im Hinblick auf Führungsverhalten, das Klarheit über Ziele, Aufgaben und Zusammenarbeit herstellen muss. Und im Hinblick auf die Belange des Datenschutzes, für die auch in Krisenzeiten keine Kompromisse vorgesehen sind.
Besondere Sorgfalt ist zwingend erforderlich, wenn personenbezogene Daten verarbeitet und damit die Persönlichkeitsrechte Dritter tangiert sind. Die folgenden fünf Maßnahmen tragen dazu bei, das Risiko von DSGVO-Verstößen auch in einer Ausnahmesituation zu minimieren.
1. Klare Vorgaben an die Mitarbeiter
Auch wenn das Thema Homeoffice in diesem Frühjahr über viele Firmen plötzlich und unerwartet hereingebrochen ist: Die Mitarbeiter müssen wissen, was von ihnen an ihrem Heimarbeitsplatz im Hinblick auf Datenschutz erwartet wird.
Unter normalen Umständen würde diese Einweisung sorgfältig vorbereitet sein. Unter der Regie des Datenschutzbeauftragten wären Leitfäden entwickelt, abgestimmt, geprüft und verteilt worden, womöglich sogar unterstützt durch Workshops oder Informationsveranstaltungen.
Für die Kür lässt die Krise keine Zeit – aber Pflicht bleibt Pflicht. Arbeitgeber sollten ihren Mitarbeitern deshalb die wesentlichen Erfordernisse des Datenschutzes am heimischen Arbeitsplatz in Form einer Richtlinie schriftlich an die Hand geben. Ein Beispiel für eine solche Richtlinie stellt der Rechtsanwalt und Fachanwalt für IT-Recht Stephan Hansen-Oest hier zur Verfügung.
2. Ausschließlich offizielle Hard- und Software
Auch wenn in Krisenzeiten Improvisation gefragt ist: Im Homeoffice ist sorgfältig zwischen privaten und dienstlichen Geräten und Anwendungen zu unterscheiden. So dürfen personenbezogene Daten und firmeninterne Informationen nur auf der von der Firma bereitgestellten Hard- und Software verarbeitet und gespeichert werden.
Im Regelfall haben Mitarbeiter hierfür über einen VPN-Zugang Zugriff auf die firmeneigene IT-Infrastruktur, so dass Daten gar nicht erst lokal abgespeichert werden. Wo das auf die Schnelle nicht möglich ist, sollten lokal gespeicherte Daten verschlüsselt und baldmöglichst auf firmeneigene Rechner übertragen werden.
Für den Umgang mit personenbezogenen Daten gibt es spezielle Versionen gängiger Anwendungen und Tools, die ein Höchstmaß an Datensicherheit gewährleisten. Im Bereich der Chat-Programme ist ownChat ein solches Tool, das eigens für sensible Inhalte konzipiert wurde.
Gleichzeitig gilt, dass dienstliche Hard- oder Software nur dann für private Zwecke genutzt werden darf, wenn dies von der Firma ausdrücklich erlaubt ist. Damit dürften private E-Mails oder privates Surfen am Home-Arbeitsplatz tabu sein.
3. Unbefugtes Mitlesen verboten
Was im Büro recht leicht zu gewährleisten ist, erfordert im Home Office Sorgfalt und Disziplin. Denn die DSGVO legt fest, dass unbefugte Dritte keinen Zugang zu personenbezogenen Daten haben dürfen.
Das bedeutet, dass der Arbeitsplatz zuhause in einem Teil der Wohnung eingerichtet sein sollte, der abschließbar ist und weder von Familienmitgliedern noch von Freunden und Gästen frequentiert wird. Schriftliche Unterlagen und Datenträger gehören – genauso wie im Büro – außerhalb der Arbeitszeit in einen verschließbaren Schrank. Bleibt der Arbeits-PC oder -Laptop vorübergehend unbeaufsichtigt, sollten sie ausgeschaltet werden oder zumindest ein Bildschirmsperre aktiviert sein.
4. Ausdrucke nur in zwingenden Ausnahmefällen
Was für ein Mitlesen auf dem Schirm gilt, gilt umso mehr für bedrucktes Papier. Grundsätzlich sollten Ausdrucke, die sensible Informationen beinhalten, im Homeoffice auf ein absolut unvermeidbares Minimum beschränkt sein. Auf keinen Fall dürfen derartige Dokumente mit dem normalen Haus- oder Papiermüll entsorgt oder anderweitig zweckentfremdet werden. Stattdessen sollten sie bei der ersten Gelegenheit entweder zuhause geschreddert oder mit in die Firma genommen werden und dort ihren offiziellen Weg gehen.
5. Fragen stellen, Vorfälle melden
Zur eigenen Sicherheit und insbesondere zur Absicherung der Firma ist es unerlässlich, offensiv und transparent mit dem Thema Datenschutz umzugehen. Bei Unklarheiten und insbesondere bei möglichen Konflikten mit den Bestimmungen der DSGVO sind der Vorgesetzte und/oder der Datenschutzbeauftragte die richtigen Ansprechpartner. Nur so kann sichergestellt werden, dass die Situation korrekt beurteilt wird und eventuelle Maßnahmen getroffen werden.
Der Schutz von Persönlichkeitsrechten ist im Zeitalter der allumfassenden digitalen Informationsverarbeitung ein fundamentales Gebot. Deshalb ist der Datenschutz gesetzlich geregelt. Innerhalb der Firmen sollten die Erfordernisse klar verstanden und umgesetzt sein. Mit einigen wenigen grundlegenden Maßnahmen lässt sich die firmeninterne Sensibilität und Sorgfalt auch auf die Arbeit im Homeoffice übertragen.