Social DIstancing im Homeoffice – Corona vs. DSGVO
« NewsübersichtAuf Grund der aktuellen globalen Coronavirus Sars-CoV-2 Pandemie ermöglichen viele Unternehmen den Mitarbeitern ihren Tätigkeiten im Homeoffice nachzugehen.
Die aktuelle Krise stellt uns alle - Unternehmer und Verbraucher - vor neue rechtliche und insbesondere datenschutzrechtliche Herausforderungen.
Bereits in unserem Beitrag vom 19.03.2020 hatten wir auf datenschutzrechtliche Probleme bezüglich der Arbeitstätigkeit im Homeoffice hingewiesen. Die datenschutzkonforme Umsetzung erfordert gerade bei der technischen Umsetzung, beispielsweise der Einrichtung von Videokonferenzen, besonderes Augenmerk. Hierbei sollten insbesondere die technisch-organisatorischen Maßnahmen festgelegt bzw. überprüft werden.
Arbeitgeber haben auch während des Homeoffice das gleiche Sicherheitsniveau wie am regulären Arbeitsplatz zu gewährleisten.
Eine Pflicht besteht in der Absicherung der genutzten Geräte mit Passwort- und Virenschutz sowie durch regelmäßige Updates und Backups. Möglichst sollte ein Zugriff mit VPN (virtual private network) eingerichtet werden. Bei der privaten Nutzung von Geräten sollte auf eine strikte Trennung zum beruflichen Bereich erfolgen, beispielsweise durch eine ausschließlich beruflich genutzte Partition mit getrenntem Betriebssystem.
Zudem müssen Zugriffs- und Kontrollrechte sowie im Verlustfall eine Fernlöschung durch den Arbeitgeber ermöglicht werden.
Weiterhin sollten Beschäftigte, wenn nicht bereits geschehen, über die aktuellen Herausforderungen aus datenschutzrechtlicher Sicht informiert und geschult werden. Gegebenenfalls muss auch eine Einwilligung eingeholt werden.
Datenschutz und Telefon-/Videokonferenzen
Für ein effizientes Arbeiten im Homeoffice und das aufrechterhalten des sozialen Betriebsklimas ermöglichen viele Arbeitgeber ihren Beschäftigten die Nutzung von Telefon- und Videokonferenzen von zuhause aus. Hierbei gibt es jedoch auch datenschutzrechtlich einiges zu beachten.
Zu unterscheiden sind unternehmenseigene Software und Dienste durch externe Anbieter (sogenannte Software as a service). Hierbei sollte wenn möglich bei beiden Varianten auf die teilweise erhältliche Business-Variante zurückgegriffen werden, welche regelmäßig erhöhte Sicherheitsstandards bietet. Weiterhin ist darauf zu achten, wo das Tool gehostet wird. Nicht EU-Länder bzw. unsichere Drittstaaten sind hierbei zu vermeiden (Datenschutzfolgeabschätzung erforderlich). Zudem stellen Dienstleister regelmäßig Auftragsverarbeiter i.S.d. Art. 28 DSGVO dar. Es sind daher vertragliche Regelungen mittels eines Auftragsverarbeitungsvertrages (AVV) zu treffen.
Auch auf Seiten des Beschäftigtendatenschutzes gibt es einiges zu beachten. So darf der Arbeitgeber nicht die Informationspflichten in Form der Datenschutzerklärung sowie ggf. Einwilligungserklärung gegenüber den Beschäftigten vernachlässigen. Hierbei fehlt oft eine entsprechende Klausel zum Bereich des Homeoffice und Unternehmenskommunikation (Videokonferenz).
Neben den rechtlichen Aspekten sollte man den Fokus auch hier wieder auf die technische Ausgestaltung legen. Neben den allgemeinen Standards sind bei Videokonferenzen nachfolgende technisch-organisatorische Aspekte besonders zu berücksichtigen.
- Datenübertragung sollte verschlüsselt erfolgen
- Aufbewahrung der Daten anhand von Löschfristen überprüfen und ggf. anpassen
- Einladungen und Zugriffsberechtigungen sind zu überprüfen bzw. festzulegen
Auch beim Screensharing muss darauf geachtet werden, dass nur relevante Informationen und Daten sichtbar sind.
Im Zweifel sollte jedoch jedes Tool vor der unternehmensweiten Nutzung einer datenschutzrechtlichen Überprüfung unterzogen worden sein. Die Nutzung nicht erforderlicher Tools (z.B. Videochat statt Chat, E-Mail oder Telefonat) sollte vermieden werden.
Das Corona-Virus führt verständlicherweise zu einer anderweitigen Priorisierung, jedoch sollte auch in Zeiten der Krise der Datenschutz nicht außer Acht gelassen werden. Dafür sprechen die nach wie vor bestehenden erheblichen Bußgelder.
Den Anforderungen des Datenschutzes sollte daher umgehend nachgekommen werden. Wir als Datenschutzteam haben bereits entsprechende Muster vorbereitet. Die genaue Umsetzung ist jedoch immer im Einzelfall zu beurteilen. Hierbei haben wir als spezialisierte Datenschutzbeauftragte, sowohl rechtlich als auch technisch, umfangreiche Kompetenz auf Abruf.
Gern unterstützen wir Sie bei Ihrer datenschutzrechtlichen Umsetzung auch in diesen schweren Zeiten.
Sie können sich jederzeit gern an uns wenden.