Viele Unternehmen schicken ihre Mitarbeiter derzeit ins Home Office. Dabei gilt es jedoch eine Vorgaben der europäischen Datenschutz-Grundverordnung – kurz DSGVO – zu beachten. Auf diese Faktoren und Aufgaben sollten sich Firmen konzentrieren.
Das Arbeiten von zu Hause erlebt in der aktuellen Zeit der Corona-Pandemie eine massive Verbreitung. Verwenden Mitarbeiter, die nun von zu Hause aus arbeiten, personenbezogene Daten, so müssen Unternehmen weiterhin datenschutzrechtliche Vorgaben einhalten.
Und Achtung: Dabei ist der einzelne Mitarbeiter nicht selbst verantwortlich. Datenschutzrechtlich bleibt der Arbeitgeber in der Pflicht. Daher ist es auch an ihm, für die Einhaltung der Vorgaben der europäischen Datenschutz-Grundverordnung (DSGVO) zu sorgen.
Neue Stellenangebote
Mitarbeiter*in (m/w/d) für Social Media, Öffentlichkeitsarbeit und Städtepartnerschaft (m/w/d) meinestadt.de in Sachsenheim |
||
Content Creator / Social Media / Marketing (m/w/d) Delitzscher Schokoladenfabrik GmbH in Delitzsch |
||
Content Creator / Social Media / Marketing (m/w/d) Halloren Schokoladenfabrik AG in Delitzsch |
Einhaltung der Vorgaben zur Datensicherheit
Hierbei sollten sich Unternehmen vor allem von den Vorgaben zur Sicherheit der Datenverarbeitung nach Artikel 32 DSGVO leiten lassen.
Er besagt, dass das Unternehmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung geeignete technische und organisatorische Maßnahmen treffen muss, um ein angemessenes Schutzniveau zu gewährleisten.
Oder anders formuliert: Unternehmen müssen dafür sorgen, dass auch bei der Arbeit im Home Office personenbezogene Daten geschützt sind.
In den letzten Wochen haben sich bereits einige deutsche Datenschutzbehörden mit Empfehlungen in diesem Bereich zu Wort gemeldet. So etwa die Landesbeauftragten aus Brandenburg, Schleswig-Holstein und Sachsen-Anhalt.
Spezifisch in Bezug auf die IT-Sicherheit lohnt sich auch ein Blick in die Tipps des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zum sicheren mobilen Arbeiten. Das BSI empfiehlt zum Beispiel:
- Durch eine Sicherheitsrichtlinie sollten Mitarbeiter sensibilisiert werden und Vorgaben zum sicheren Arbeiten erhalten. Denn der „Faktor Mensch“ ist gerade bei der Tätigkeit aus dem Home Office einer der wichtigsten Sicherheitsfaktoren.
- Verschlüsselung von Datenträgern
- Sicherer Remote-Zugriff – idealerweise VPN –, notfalls sichere Cloud-Lösungen mit Ende-zu-Ende-Verschlüsselung
- Entsorgung von vertraulichen Informationen
Besondere Auswirkungen auf die DSGVO-Pflichten?
Da viele Unternehmen den Betrieb – wenn auch eingeschränkt – fortführen, stellen sich in der Praxis nun oft Fragen. Benötigen zum Beispiel Auftragsverarbeitungsverträge (Artikel 28 DSGVO) mit Dienstleistern eine handschriftliche Unterzeichnung? Eventuell ist dies aktuell nicht immer möglich.
Das Gute: In Bezug auf diese Frage hat der europäische Gesetzgeber tatsächlich Pragmatismus bewiesen. Nach Artikel 28 Absatz 9 DSGVO ist der Vertrag zwar grundsätzlich schriftlich abzufassen. Dies kann aber auch in einem „elektronischen Format“ erfolgen.
Aktuell steht noch zur Diskussion, was konkret mit diesem elektronischen Format gemeint ist. Plausibel erscheint, den Vertrag per E-Mail-Austausch von PDF-Dokumenten oder auch über die Zustimmung auf einer Webseite abschließen zu können.
So geht etwa das Bayerische Landesamt für Datenschutzaufsicht davon aus, dass letztlich die Vertragspartner dafür sorgen müssen, dass der elektronische Vertragsabschluss für eigene Zwecke und für Kontrollzwecke der Datenschutzaufsichtsbehörden hinreichend und beweiskräftig dokumentiert ist.
Eine bestimmte strenge Form, wie die handschriftliche Unterzeichnung oder der Einsatz von qualifizierter elektronischer Signatur, ist dabei aber nicht zwingend.
Im besonderen Fokus: Videokonferenz-Systeme
Im Zuge der Verlagerung vieler Tätigkeiten in das Home Office erleben auch Videokonferenz-Dienste einen wahren Boom. Zwar sind diese Tools auch schon vor der Corona-Pandemie zum Einsatz gekommen. Doch die Nachfrage schnellte in den letzten Wochen merklich nach oben.
Möchten Unternehmen auf Videokonferenz-Systeme wie etwa Skype, Zoom, Nextcloud, Microsoft Teams, Go To Meeting oder Wire zurückgreifen, sind natürlich auch in diesem Zuge datenschutz- und IT-sicherheitsrechtliche Vorgaben zu beachten.
Aus Sicht der DSGVO-Compliance sollte man mindestens folgende Themen abhaken, wenn man einen externen Videokonferenz-Anbieter einsetzen möchte:
- Welche Rolle nimmt der Dienstleister ein? Auftragsverarbeiter oder eigener Verantwortlicher?
- Informieren sie ihre Nutzer über die stattfindende Datenverarbeitung – zum Beispiel über eine eigene Datenschutzerklärung?
- Ist der Einsatz des Dienstleisters oder der Software entsprechend im eigenen Verzeichnis der Verarbeitungstätigkeiten aufgenommen?
- Wann werden Daten, die im Zuge des Einsatzes anfallen – zum Beispiel Registrierungsdaten von Teilnehmern einer Videokonferenz – gelöscht?
- Sind Voreinstellungen der Software so gewählt, dass nur jene Funktionen aktiviert und damit nur solche personenbezogenen Daten verarbeitet werden, die wirklich erforderlich sind, um den Dienst zu erbringen? (Privacy by Default)
Daneben sollten Unternehmen auf jeden Fall daran denken, einen Vertrag zur Auftragsverarbeitung nach Artikel 28 DSGVO mit dem Dienstleister abzuschließen, wenn dieser im Rahmen des Auftrages personenbezogene Daten verarbeitet.
Zudem sollten Unternehmen daran denken, ihre Geschäfts- und Betriebsgeheimnisse, aber auch die Kommunikation mit Kunden, zu schützen. Hierfür sollten sie etwa darauf achten, dass die Datenverbindung verschlüsselt erfolgt. Eine Transportverschlüsselung ist in diesem Zusammenhang der Minimalstandard.
Datenschutzrechtlich zu empfehlen sind daher Dienste, die daneben eine Ende-zu-Ende-Verschlüsselung der Gespräche und der Inhalte anbieten, wie etwa Wire oder Nextcloud.
Ein DSGVO-FAQ für die Corona-Krise
Der Datenschutzbeauftragte aus Hamburg hat in einem umfassenden FAQ rund um das Thema „Datenschutz und Corona“ unter anderem auch eine Art Checkliste zum Einsatz von Tools und Software zur Kommunikation über das Internet veröffentlicht. Die Datenschutzbehörde empfiehlt, folgende Prüffragen zu klären:
- Wird ein Konto benötigt oder stehen Gastzugänge zur Verfügung?
- Wird Analytics eingesetzt, wertet der Betreiber des Dienstes die Daten der Nutzerinnen und Nutzer aus und verwendet sie kommerziell?
- Ist die eingesetzte Software quelloffen und / oder frei?
- Findet die Kommunikation verschlüsselt statt?
- Wird der Dienst auf Servern in der EU betrieben?
Der Datenschutzbeauftragte aus Hamburg hebt zudem positiv hervor, wenn Dienste mit quelloffener Software angeboten werden. Weitere Hinweise gibt der Landesbeauftragte aus Baden-Württemberg.
Fazit
Auch in der aktuellen Ausnahmesituation sollten Unternehmen an den Schutz personenbezogener Daten und auch von Betriebs- und Geschäftsgeheimnissen denken, wenn Mitarbeiter aus dem Home Office tätig sind.
Praktisch betrachtet, bringen entsprechende Schutzmaßnahmen gegebenenfalls einen gewissen Mehraufwand mit sich. Der hierfür erforderliche Aufwand dürfte, im Vergleich zu den Schutzinteressen an den personenbezogenen Daten oder betriebsinternen Informationen, für jedes Unternehmen jedoch gut handhabbar sein.
Auch interessant: