Corona, „Home-Office“ und der Datenschutz

Jetzt bewerten!

Nach wie vor bestimmt die Corona-Pandemie das aktuelle Tagesgeschehen in allen öffentlichen Stellen und Unternehmen. Die, wenn auch bereits etwas sinkende Zahl der Infektionen verlangt vom Arbeitgeber oder Dienstherren, im Rahmen seiner Fürsorgepflicht geeignete Maßnahmen zum Schutz der Beschäftigten zu treffen und dabei datenschutzrechtliche Regelungen zu berücksichtigen.

1. Datenschutzstandard im „Home-Office“

Die in diesem Kontext bestehende Unsicherheit veranlasste das Bundesarbeitsministerium den sog. Arbeitsschutzstandard Covid 19 zu veröffentlichen. Eine der dort genannten Maßnahmen ist die Verlagerung der Erfüllung dienstlicher Pflichten in das „Home-Office“. Die schon vor Veröffentlichung des Arbeitsschutzstandards erfolgte massenhafte Verschiebung des Leistungsortes forderte nicht nur einen organisatorischen Kraftakt der Verantwortlichen, sondern auch der Beschäftigten selbst. Wie im Arbeitsschutz das Bundesarbeitsministerium, so sind auch im Datenschutz die Datenschutz-Aufsichtsbehörden aktiv geworden und haben hilfreiche Orientierungshilfen veröffentlicht, welche im Folgenden kurz vorgestellt werden.

2. Anforderungen an den Arbeitgeber bzw. Dienstherrn

Eine klare gesetzliche Regelung für die datenschutzrechtliche Zulässigkeit von Telearbeit und mobilem Arbeiten existiert nicht. Aus diesem Grund sollte einzelfallabhängig unter Berücksichtigung der Art der zu verarbeitenden Daten und ihres Verwendungszusammenhangs differenziert geprüft werden, ob die Wahrnehmung der jeweiligen Tätigkeiten in dieser Form datenschutzrechtlich vertretbar ist. Die Entscheidung muss der Arbeitgeber oder Dienstherr als datenschutzrechtlich Verantwortlicher treffen und entsprechend gem. Art. 32 DSGVO technische und organisatorische Maßnahmen zur Risikominimierung ergreifen.

Als Grundlage hierfür dient unter anderem eine Vereinbarung zu mobiler Arbeit, welche die Beschäftigten idealerweise zur Umsetzung der folgenden Minimalanforderungen verpflichtet:

  • Verbot, Dritten Passwörter oder sonstige Zugangsmöglichkeiten zu betrieblichen Anwendungen mitzuteilen oder zugänglich zu machen;

  • Verbot, Dritten (z. B. Familienmitgliedern, sonstigen Mitbewohnern, Besuchern) Zugriff auf die dienstliche EDV und/oder dienstliche Unterlagen zu gewähren;

  • Verbot, dienstliche Daten auf anderen als vom Arbeitgeber / Dienstherr zugelassenen Speichermedien zu speichern (private Endgeräte, USB-Sticks, Computer);

  • Verbot der Verarbeitung dienstlicher Daten mit privaten Geräten (Abruf des dienstlichen E-Mail-Accounts mit einem privaten Computer, Smartphone), wenn der Arbeitgeber / Dienstherr dienstliche Geräte zur Verfügung gestellt hat;

  • Verbot der Deaktivierung oder Umgehung von Sicherheitsmaßnahmen oder der Vornahme technischer Veränderungen an denen durch den Arbeitgeber zur Verfügung gestellten Geräten. Software darf nur durch die IT-Abteilung installiert werden;

  • SichereVernichtungvonUnterlagenmit dienstlichen Informationen.

3. Anforderungen an die Beschäftigten

Neben eventuell in der Corona-Ausnahmesituation geltenden Ausnahmeregelungen bestehen einige ganz grundlegende Aspekte, die Beschäftigte im „Home-Office“ berücksichtigen müssen.

Es empfiehlt sich, die Beschäftigten ganz konkret noch einmal auf die wichtigsten Pflichten hinzuweisen und damit zumindest eine Grundsensibilisierung in dieser Ausnahmesituation, für die keine gesonderte Schulungsmaßnahme getroffen werden konnte, zu schaffen.

Achtung, Vorgaben für IuK gelten auch zuhause!

Wenn betriebliche Vorgaben für den Einsatz von Informations- und Kommunikationstechnik (IuK) existieren, gelten diese grundsätzlich auch zu Hause. Während der aktuellen Corona-Krise können insbesondere für die Nutzung privater Telefone Ausnahmeregelungen getroffen werden.

Achtung, der Nachbar hört mit!

Die Beschäftigten sollten bei Telefongesprächen auf Vertraulichkeit achten. Beispielsweise eignet sich der Balkon in den wenigsten Fällen für dienstliche Telefonate, auch wenn schönes Wetter dazu einladen mag. Je nach Lage sollte auch daran gedacht werden, Fenster zu schließen - die Nachbarn sind derzeit zumeist (auch) zu Hause und hören, möglicherweise unfreiwillig, mit.

Achtung, Mitleser!

Ebenso sollten Beschäftigte auf geeigneten Zutritts- oder Zugriffsschutz achten: Hierzu gehören die Bildschirmsperre bei Verlassen des Arbeitsplatzes und das Verschließen von Unterlagen, auch von Fehldrucken. Schließlich gilt auch gegenüber Familienangehörigen der Datenschutz.

Tipp: Achten Sie auf die Auswahl Ihres Home-Office-Arbeitsplatzes – mit dem Rücken zur Wand platziert blickt niemand unbemerkt über die Schulter oder durchs Fenster.

Achtung, Geräteverlust!

Wenn von der Ausnahmeregelung der Nutzung privater Endgeräte Gebrauch gemacht werden muss, sollte nach Möglichkeit der Einrichtung verschlüsselter Speicherbereiche geschaffen werden – hierzu sollte Hilfestellung durch die zuständige IT-Abteilung angeboten werden, um im Fall des Geräteverlusts die Vertraulichkeit der Daten gewähren zu können.

Achtung, Datenverlust droht!

Nicht zuletzt kann es hilfreich sein, die Beschäftigten auf die erhöhten Gefahren des Privathaushalts aufmerksam zu machen: Mobile Geräte fallen leichter vom Tisch als stationäre. Auch sind bei Kindern oder Haustieren im Haushalt lokal gespeicherte Daten nicht immer sicher vor einem Verlust der Verfügbarkeit aufgrund der Beschädigung von Hardware, weil z.B. Kaffee oder sonstige Flüssigkeiten verschüttet werden können. Abseits der Datensicherheitsthemen können so unnötige Aufwände und Ausfallzeiten vermieden werden.

4. Datenschutz bei Videokonferenzen

Je nach Anwendungsbereich lassen sich verschiedene Tools für die vernetzte Kommunikation von zu Hause aus einsetzen.  Die Produkte der verschiedenen Hersteller eignen sich in Abhängigkeit der Größe des Online-Meetings, der Vertraulichkeit und der Einfachheit der Bedienung in unterschiedlichem Maße. So ist beispielsweise zu hinterfragen, ob der Initiator eines Online-Meetings tatsächlich die Daten der Teilnehmer sehen muss oder ob auf eine Registrierung der Teilnehmer verzichtet werden kann.

Zudem können die Bereiche Meldewesen, Steuern, Personal, Gesundheits- oder Sozialwesen neben den Regelungen der DSGVO auch solchen des nationalen Fachrechts unterliegen, welche im Rahmen des beabsichtigten Einsatzzwecks berücksichtigt werden müssen.

Tipp
Eine Aufstellung zu der Frage welche Kommunikationsplattformen sich für welche Art der Kommunikation eignen, findet sich beispielsweise auf der Seite der Stabsstelle Informationssicherheit bayerischer Hochschulen und Universitäten.

Für vertrauliche Gespräche in sensiblen Bereichen wie bspw. in Sachen Personal(rats)angelegenheiten empfehlen sich Ende-zu-Ende-verschlüsselte Videokonferenzlösungen, die auf eigenen Systemen gehostet werden.

Weiter gilt zu beachten: Jedweder Einsatz von nicht selbstgehosteten Tools stellt in der Regel ein Auftragsverarbeitungsverhältnis dar.

Gut zu wissen
Wichtige Kriterien für die Auslagerung von IT-Systemen, die es vor der Auslagerung von IT-Systemen und -Diensten zu berücksichtigen gilt, hat beispielsweise der BayLfD in seiner Veröffentlichung des aktuellen Tätigkeitsberichts am 25.5.2020 angeführt.

Zudem stimmt die Aufsichtsbehörde derzeit mit dem Bayerischen Staatsministerium des Innern, für Sport und Integration, dem Bayerischen Kommunalen Prüfungsverband, dem Bayerischen Landesamt für Sicherheit in der Informationstechnik sowie dem Bayerischen Städtetag und dem Bayerischen Gemeindetag einen einheitlichen Katalog über einzuhaltende Anforderungen zur IT-Sicherheit wie auch Kriterien für die Einhaltung der Rechenschaftspflichten und zwingend in kommunaler Hand vorzuhaltende IT-Kompetenzen ab.

Sensibilisierung für den Einsatz von Webkonferenz-Tools

Wie auch bei den Vorgaben für die Arbeit im „Home-Office“ gilt beim Einsatz von Webkonferenz-Tools: Soviel wie möglich an Einstellmöglichkeiten zentral über technische Maßnahmen steuern, der Rest sollte über verbindliche Anweisungen bzw. Mitarbeitersensibilisierung abgedeckt werden.

Beispiele für Hinweise auf datenschutzkonforme Webkonferenztools finden Sie unter dem Link in der Box „Tipp“ oben. Abhängig davon, welche Voreinstellungen durch Ihr Haus bereits getroffen wurden, sollten Sie die Benutzungs-Hinweise für Ihre Beschäftigten um folgende Punkte ergänzen:

  • Automatische Stummschaltung des Mikrofons und der Kamera bei Betreten eines Videokonferenz-Raums.

  • Vor Einschaltung der Kamera: Vorherige Überprüfung des eigenen Videobildes auf unbeabsichtigte Objekte im Hintergrund.

  • Wahl einer möglichst kryptischen Meeting-ID bzw. Meeting-URL - sprechende IDs und URLs (z.B.: Name oder Telefonnummer) sollten vermieden werden.

  • Passwortvergabe als Notwendigkeit für Betreten des Meeting-Raums.

  • Weitergabe der Meeting-Zugangsdaten nur an die geplanten Teilnehmer.

  • Teilnehmer-Beobachtung durch Moderator und sofortige Reaktion bei Erscheinen nicht eingeladener Teilnehmer.

  • Stete Aktualisierung der Videokonferenz-Software (bzw. Browser)

  • Im Falle beabsichtigter Aufzeichnungen einer Videokonferenz sind die Teilnehmer vorab darüber zu informieren. Aus diesem Grund müssen Teilnehmer zunächst stummgeschalten und die Kamera ausgeschaltet sein. Die Information kann folgendermaßen lauten:

„Die Videokonferenz wird in Bild und Ton aufgezeichnet, um sie später online zur Verfügung stellen zu können. Soweit Sie mit Ihrer Aufzeichnung nicht einverstanden sind, schalten Sie Kamera und Mikrofon nicht ein. Fragen können Sie in diesem Fall über Chat stellen“

  • Wenn parallel zur Videokonferenz in der Software ein Chat-Kanal benutzt wird, sollten die Beschäftigten darauf hingewiesen sein, dass auch eine versehentliche Veröffentlichung des Chats keinen Schaden für den Beschäftigten oder die Dienststelle nach sich zieht.

  • Abstimmung der Konferenz-Inhalte im Vorfeld: Die zu erwartenden Inhalte der Konferenz müssen für den Kommunikationskanal geeignet sein. Insbesondere im Personalbereich (z.B. Vorstellungsgespräche, Mitarbeitergespräche), kann dies per Videokonferenz nur bedingt zulässig sein.

  • In Zweifelsfällen empfiehlt sich die Abstimmung mit dem Datenschutzbeauftragten.

Tipp
Viele Datenschutzaufsichtsbehörden haben Empfehlungen und Best-Practice-Handreichungen veröffentlicht.

Empfehlungen finden sich bspw.

  • beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA )
  • beim Bayerischen Landesbeauftragten für den Datenschutz (BayLfD) für den Bereich Medizin
  • beim Bundesamt für Sicherheit in der Informationstechnik (BSI),
  • beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI)
  • bei der Berliner Beauftragten für den Datenschutz und die Informationsfreiheit (BlnBDI),
  • und beim Unabhängigen Landeszentrum für Datenschutz (ULD).


Bernhard Schlett, rehm Datenschutz GmbH


Lesen Sie auch diese interessanten Beiträge:

Mein Kommentar
Sie sind nicht eingeloggt
Bitte benachrichtigen Sie mich bei neuen Kommentaren.
Ihr Kommentar erscheint unter Verwendung Ihres Namens. Weitere Einzelheiten zur Speicherung und Nutzung Ihrer Daten finden Sie in unserer Datenschutzerklärung.

Sicherheitskontrolle: Bitte rechnen Sie die Werte aus und tragen Sie das Ergebnis in das dafür vorgesehene Feld ein. *

0 Kommentare zu diesem Beitrag

Wählen Sie unter 14 kostenlosen Newslettern!

Mit den rehm Newslettern zu vielen Fachbereichen sind Sie immer auf dem Laufenden.

Login
 
Wie können wir Ihnen weiterhelfen?
Kostenlose Hotline: 0800-2183-333
Kontaktformular

Gerne können Sie auch unser Kontaktformular benutzen und wir melden uns bei Ihnen.

Kontaktformular
Beste Antworten. Mit den kostenlosen rehm Newslettern.
Jetzt aus zahlreichen Themen wählen und gratis abonnieren  

Kundenservice

  • +49 0800-2183-333
  • Montag - Donnerstag:    8-17 Uhr
  • Freitag:                           8-15 Uhr
  • Sie können uns auch über unser Kontaktformular Ihre Fragen und Anregungen mitteilen.

Verlag und Marken

Unsere Themen und Produkte

 

Service

 

Rechtliches

Ihre Vorteile

Folgen Sie uns

       

Zahlungsarten 

Rechnung Bankeinzug   MastercardVisa

PayPal Giropay Sofortüberweisung