Spätestens seit der Corona-Pandemie arbeiten Beschäftigte immer häufiger im Home Office. Auch im Home Office muss die Einhaltung datenschutzrechtlicher Vorgaben sichergestellt sein. Dies erfordert besondere Maßnahmen der verantwortlichen Unternehmen.
Haben Beschäftigte im Rahmen ihrer Tätigkeit Zugriff auf personenbezogene Daten, sind die Grundsätze der Datenschutz-Grundverordnung (DSGVO) im Umgang mit diesen Daten einzuhalten. Wichtig ist insbesondere, dass die Daten vor dem Zugriff unbefugter Dritter geschützt werden.
Bei der Tätigkeit der Beschäftigten im Home Office stehen Unternehmen dabei teils besonderen Herausforderungen gegenüber. Die Daten sind vor dem Zugriff von Familienangehörigen oder Mitbewohner*innen zu schützen. Zudem können die Verwendung lokaler Speicherorte oder privater Speichermedien sowie die Art des Zugangs zum Firmennetzwerk datenschutzrechtliche Lücken darstellen.
Um einen Datenverlust zu vermeiden, sollten Beschäftigte im Home Office ausschließlich die vom Unternehmen zur Verfügung gestellten technischen Endgeräte nutzen. Die Nutzung privater Endgeräte stellt ein zusätzliches Risiko dar.
Einem Datenschutzverstoß können die Beschäftigten insbesondere vorbeugen, indem sie die technischen Endgeräte mit einem Passwort versehen und bei Verlassen ihres Bildschirms diesen sperren. Beschäftigte sollten zum Schutz vor einem Datenverlust zudem das Ausdrucken vertraulicher Daten vermeiden.
Arbeitgebenden ist zu raten, die Beschäftigten umfassend über die erforderlichen Schutzmaßnahmen aufzuklären und ihnen die Risiken aufzuzeigen, die sich durch das Arbeiten im Home Office ergeben. Auch sollten Beschäftigte ausdrücklich auf ihre Verpflichtung hingewiesen werden, einen Datenverlust oder Datenschutzverstoß unverzüglich zu melden.
Die Arbeitgebenden sind die datenschutzrechtlichen Verantwortlichen. Sie trifft nach Art. 5 Abs. 2 DSGVO die Pflicht, die Einhaltung datenschutzrechtlicher Vorgaben sicherzustellen und nachzuweisen.
Die Verlagerung des Tätigkeitsschwerpunkts in das Home Office erschwert Arbeitgebenden die Kontrolle der Einhaltung datenschutzrechtlicher Vorgaben. Die Beschäftigten sind der direkten Überwachung des Umgangs mit personenbezogenen Daten weitgehend entzogen. Es stellt sich daher die Frage, wie Arbeitgebende gleichwohl die Einhaltung datenschutzrechtlicher Vorgaben sicherstellen können.
In Betracht kommen insbesondere umfassende Policies und Schulungen zum Umgang mit Hard- und Software im Home Office. Darüber hinaus haben Arbeitgebende das Recht, die Wohnung der Beschäftigten zur Überprüfung der Einhaltung der datenschutzrechtlichen Vorgaben zu betreten, um ihrer Pflicht nach Art. 5 Abs. 2 DSGVO nachzukommen.
Der Einsatz technischer Überwachungsmaßnahmen (z.B. in Form sog. Spionagesoftware) ist nur in Einzelfällen und in sehr engen Grenzen zulässig. Derartige Maßnahmen stellen einen erheblichen Eingriff in das Recht auf informationelle Selbstbestimmung nach Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG dar. Sie sind daher nur in besonderen Einzelfällen, beispielsweise beim dringenden Verdacht einer Straftat, zulässig. Der Einsatz solcher Maßnahmen unterliegt zudem der Mitbestimmung des Betriebsrats gemäß § 87 Abs. 1 Nr. 6 BetrVG.
Die von einem Unternehmen verarbeiteten Daten sind bei einer Tätigkeit der Beschäftigten im Home Office besonders gefährdet. Arbeitgebenden ist daher zu raten, durch Aufklärung und Kontrolle die Einhaltung datenschutzrechtlicher Vorgaben sicherzustellen.