Kostenlose Hotline: 0049 0800-2183-333 Versandkostenfrei
Menü schließen
Die in diesem Kontext bestehende Unsicherheit veranlasste das Bundesarbeitsministerium den sog. Arbeitsschutzstandard Covid 19 zu veröffentlichen. Eine der dort genannten Maßnahmen ist die Verlagerung der Erfüllung dienstlicher Pflichten in das „Home-Office“. Die schon vor Veröffentlichung des Arbeitsschutzstandards erfolgte massenhafte Verschiebung des Leistungsortes forderte nicht nur einen organisatorischen Kraftakt der Verantwortlichen, sondern auch der Beschäftigten selbst. Wie im Arbeitsschutz das Bundesarbeitsministerium, so sind auch im Datenschutz die Datenschutz-Aufsichtsbehörden aktiv geworden und haben hilfreiche Orientierungshilfen veröffentlicht, welche im Folgenden kurz vorgestellt werden.
Eine klare gesetzliche Regelung für die datenschutzrechtliche Zulässigkeit von Telearbeit und mobilem Arbeiten existiert nicht. Aus diesem Grund sollte einzelfallabhängig unter Berücksichtigung der Art der zu verarbeitenden Daten und ihres Verwendungszusammenhangs differenziert geprüft werden, ob die Wahrnehmung der jeweiligen Tätigkeiten in dieser Form datenschutzrechtlich vertretbar ist. Die Entscheidung muss der Arbeitgeber oder Dienstherr als datenschutzrechtlich Verantwortlicher treffen und entsprechend gem. Art. 32 DSGVO technische und organisatorische Maßnahmen zur Risikominimierung ergreifen.
Als Grundlage hierfür dient unter anderem eine Vereinbarung zu mobiler Arbeit, welche die Beschäftigten idealerweise zur Umsetzung der folgenden Minimalanforderungen verpflichtet:
Verbot, Dritten Passwörter oder sonstige Zugangsmöglichkeiten zu betrieblichen Anwendungen mitzuteilen oder zugänglich zu machen;
Verbot, Dritten (z. B. Familienmitgliedern, sonstigen Mitbewohnern, Besuchern) Zugriff auf die dienstliche EDV und/oder dienstliche Unterlagen zu gewähren;
Verbot, dienstliche Daten auf anderen als vom Arbeitgeber / Dienstherr zugelassenen Speichermedien zu speichern (private Endgeräte, USB-Sticks, Computer);
Verbot der Verarbeitung dienstlicher Daten mit privaten Geräten (Abruf des dienstlichen E-Mail-Accounts mit einem privaten Computer, Smartphone), wenn der Arbeitgeber / Dienstherr dienstliche Geräte zur Verfügung gestellt hat;
Verbot der Deaktivierung oder Umgehung von Sicherheitsmaßnahmen oder der Vornahme technischer Veränderungen an denen durch den Arbeitgeber zur Verfügung gestellten Geräten. Software darf nur durch die IT-Abteilung installiert werden;
Neben eventuell in der Corona-Ausnahmesituation geltenden Ausnahmeregelungen bestehen einige ganz grundlegende Aspekte, die Beschäftigte im „Home-Office“ berücksichtigen müssen.
Es empfiehlt sich, die Beschäftigten ganz konkret noch einmal auf die wichtigsten Pflichten hinzuweisen und damit zumindest eine Grundsensibilisierung in dieser Ausnahmesituation, für die keine gesonderte Schulungsmaßnahme getroffen werden konnte, zu schaffen.
Wenn betriebliche Vorgaben für den Einsatz von Informations- und Kommunikationstechnik (IuK) existieren, gelten diese grundsätzlich auch zu Hause. Während der aktuellen Corona-Krise können insbesondere für die Nutzung privater Telefone Ausnahmeregelungen getroffen werden.
Die Beschäftigten sollten bei Telefongesprächen auf Vertraulichkeit achten. Beispielsweise eignet sich der Balkon in den wenigsten Fällen für dienstliche Telefonate, auch wenn schönes Wetter dazu einladen mag. Je nach Lage sollte auch daran gedacht werden, Fenster zu schließen - die Nachbarn sind derzeit zumeist (auch) zu Hause und hören, möglicherweise unfreiwillig, mit.
Ebenso sollten Beschäftigte auf geeigneten Zutritts- oder Zugriffsschutz achten: Hierzu gehören die Bildschirmsperre bei Verlassen des Arbeitsplatzes und das Verschließen von Unterlagen, auch von Fehldrucken. Schließlich gilt auch gegenüber Familienangehörigen der Datenschutz.
Tipp: Achten Sie auf die Auswahl Ihres Home-Office-Arbeitsplatzes – mit dem Rücken zur Wand platziert blickt niemand unbemerkt über die Schulter oder durchs Fenster.
Wenn von der Ausnahmeregelung der Nutzung privater Endgeräte Gebrauch gemacht werden muss, sollte nach Möglichkeit der Einrichtung verschlüsselter Speicherbereiche geschaffen werden – hierzu sollte Hilfestellung durch die zuständige IT-Abteilung angeboten werden, um im Fall des Geräteverlusts die Vertraulichkeit der Daten gewähren zu können.
Nicht zuletzt kann es hilfreich sein, die Beschäftigten auf die erhöhten Gefahren des Privathaushalts aufmerksam zu machen: Mobile Geräte fallen leichter vom Tisch als stationäre. Auch sind bei Kindern oder Haustieren im Haushalt lokal gespeicherte Daten nicht immer sicher vor einem Verlust der Verfügbarkeit aufgrund der Beschädigung von Hardware, weil z.B. Kaffee oder sonstige Flüssigkeiten verschüttet werden können. Abseits der Datensicherheitsthemen können so unnötige Aufwände und Ausfallzeiten vermieden werden.
Je nach Anwendungsbereich lassen sich verschiedene Tools für die vernetzte Kommunikation von zu Hause aus einsetzen. Die Produkte der verschiedenen Hersteller eignen sich in Abhängigkeit der Größe des Online-Meetings, der Vertraulichkeit und der Einfachheit der Bedienung in unterschiedlichem Maße. So ist beispielsweise zu hinterfragen, ob der Initiator eines Online-Meetings tatsächlich die Daten der Teilnehmer sehen muss oder ob auf eine Registrierung der Teilnehmer verzichtet werden kann.
Zudem können die Bereiche Meldewesen, Steuern, Personal, Gesundheits- oder Sozialwesen neben den Regelungen der DSGVO auch solchen des nationalen Fachrechts unterliegen, welche im Rahmen des beabsichtigten Einsatzzwecks berücksichtigt werden müssen.
Tipp
Eine Aufstellung zu der Frage welche Kommunikationsplattformen sich für welche Art der Kommunikation eignen, findet sich beispielsweise auf der Seite der Stabsstelle Informationssicherheit bayerischer Hochschulen und Universitäten.
Für vertrauliche Gespräche in sensiblen Bereichen wie bspw. in Sachen Personal(rats)angelegenheiten empfehlen sich Ende-zu-Ende-verschlüsselte Videokonferenzlösungen, die auf eigenen Systemen gehostet werden.
Weiter gilt zu beachten: Jedweder Einsatz von nicht selbstgehosteten Tools stellt in der Regel ein Auftragsverarbeitungsverhältnis dar.
Gut zu wissen
Wichtige Kriterien für die Auslagerung von IT-Systemen, die es vor der Auslagerung von IT-Systemen und -Diensten zu berücksichtigen gilt, hat beispielsweise der BayLfD in seiner Veröffentlichung des aktuellen Tätigkeitsberichts am 25.5.2020 angeführt.
Zudem stimmt die Aufsichtsbehörde derzeit mit dem Bayerischen Staatsministerium des Innern, für Sport und Integration, dem Bayerischen Kommunalen Prüfungsverband, dem Bayerischen Landesamt für Sicherheit in der Informationstechnik sowie dem Bayerischen Städtetag und dem Bayerischen Gemeindetag einen einheitlichen Katalog über einzuhaltende Anforderungen zur IT-Sicherheit wie auch Kriterien für die Einhaltung der Rechenschaftspflichten und zwingend in kommunaler Hand vorzuhaltende IT-Kompetenzen ab.
Wie auch bei den Vorgaben für die Arbeit im „Home-Office“ gilt beim Einsatz von Webkonferenz-Tools: Soviel wie möglich an Einstellmöglichkeiten zentral über technische Maßnahmen steuern, der Rest sollte über verbindliche Anweisungen bzw. Mitarbeitersensibilisierung abgedeckt werden.
Beispiele für Hinweise auf datenschutzkonforme Webkonferenztools finden Sie unter dem Link in der Box „Tipp“ oben. Abhängig davon, welche Voreinstellungen durch Ihr Haus bereits getroffen wurden, sollten Sie die Benutzungs-Hinweise für Ihre Beschäftigten um folgende Punkte ergänzen:
Automatische Stummschaltung des Mikrofons und der Kamera bei Betreten eines Videokonferenz-Raums.
Vor Einschaltung der Kamera: Vorherige Überprüfung des eigenen Videobildes auf unbeabsichtigte Objekte im Hintergrund.
Wahl einer möglichst kryptischen Meeting-ID bzw. Meeting-URL - sprechende IDs und URLs (z.B.: Name oder Telefonnummer) sollten vermieden werden.
Passwortvergabe als Notwendigkeit für Betreten des Meeting-Raums.
Weitergabe der Meeting-Zugangsdaten nur an die geplanten Teilnehmer.
Teilnehmer-Beobachtung durch Moderator und sofortige Reaktion bei Erscheinen nicht eingeladener Teilnehmer.
Stete Aktualisierung der Videokonferenz-Software (bzw. Browser)
„Die Videokonferenz wird in Bild und Ton aufgezeichnet, um sie später online zur Verfügung stellen zu können. Soweit Sie mit Ihrer Aufzeichnung nicht einverstanden sind, schalten Sie Kamera und Mikrofon nicht ein. Fragen können Sie in diesem Fall über Chat stellen“
Wenn parallel zur Videokonferenz in der Software ein Chat-Kanal benutzt wird, sollten die Beschäftigten darauf hingewiesen sein, dass auch eine versehentliche Veröffentlichung des Chats keinen Schaden für den Beschäftigten oder die Dienststelle nach sich zieht.
Abstimmung der Konferenz-Inhalte im Vorfeld: Die zu erwartenden Inhalte der Konferenz müssen für den Kommunikationskanal geeignet sein. Insbesondere im Personalbereich (z.B. Vorstellungsgespräche, Mitarbeitergespräche), kann dies per Videokonferenz nur bedingt zulässig sein.
In Zweifelsfällen empfiehlt sich die Abstimmung mit dem Datenschutzbeauftragten.
Tipp
Viele Datenschutzaufsichtsbehörden haben Empfehlungen und Best-Practice-Handreichungen veröffentlicht.
Empfehlungen finden sich bspw.
Bernhard Schlett, rehm Datenschutz GmbH
Lesen Sie auch diese interessanten Beiträge:
Gerne können Sie auch unser Kontaktformular benutzen und wir melden uns bei Ihnen.
KontaktformularKundenservice
Verlag und Marken
Unsere Themen und Produkte
Service
Rechtliches
Partner der
Welt
