Die DSGVO sieht vor, dass nur Mitarbeiter während ihrer Arbeit auf personenbezogene Daten zugreifen können. Viele Unternehmen schicken ihre Mitarbeiter zurück ins Home-Office. Doch auch beim Arbeiten von zu Hause müssen Beschäftigte die Datenschutzanforderungen der DSGVO erfüllen. Welche Vorkehrungen muss der Arbeitgeber treffen, um den Datenschutz beim Remote-Arbeiten zu gewährleisten?
Die DSGVO verlangt Datenschutz auch im Home-Office
Aufgrund der aktuellen Situation kehren derzeit viele Beschäftigte ins Home-Office zurück. Wenn ein Arbeitgeber einen Mitarbeiter jedoch in sein Heimbüro schickt, muss er geeignete technische und organisatorische Maßnahmen ergreifen, um mögliche Datenschutzverletzungen zu verhindern. Bei der Arbeit von zu Hause aus muss die vertrauliche Behandlung personenbezogener Daten stets gewährleistet sein. Personenbezogene Daten müssen gemäß Artikel 5 Absatz 1 der DSGVO vor unbefugter Verarbeitung und vor versehentlichem Verlust, Beschädigung oder Zerstörung geschützt werden.
Ausschließlich die vom Arbeitgeber bereitgestellte Hard- und Software darf für die Arbeit im Home-Office verwendet werden. Dies gilt nicht nur für Laptops und PCs, die von Mitarbeitern zu Hause verwendet werden, sondern vor allem für die Speicherung der erstellten Dokumente. Dieser Vorgang darf unter keinen Umständen auf privaten Festplatten oder unsicheren USB-Speichern ausgeführt werden, sondern nur auf dem Server oder der Hardware des Arbeitgebers.
Mitarbeiter müssen also auch von zu Hause aus die IT-Infrastruktur des Arbeitgebers nutzen können (z. B. über einen VPN-Zugang). Wenn dies nicht möglich ist und die Daten nur lokal gespeichert werden können, müssen personenbezogene Daten verschlüsselt abgespeichert werden. Darüber hinaus sieht der Gesetzgeber vor, dass diese lokal gespeicherten Daten so schnell wie möglich an das System des Arbeitgebers übermittelt werden.
Personenbezogene Daten nur im Notfall ausdrucken
Die Anzahl der gedruckten Dokumente im Home-Office sollte auf das Mindestmaß begrenzt werden. Das gedruckte Dokument muss außerdem sofort zerstört werden, nachdem es nicht mehr verwendet wird. Wenn der Mitarbeiter im Home-Office kein Aktenvernichtungsgerät besitzt, das den Datenschutzanforderungen entspricht (was selten vorkommt), muss er die sensiblen Ausdrucke gemäß dem Datenschutzgesetz bei nächster Gelegenheit zur Vernichtung ins Unternehmen bringen. Es ist strengstens untersagt, den Ausdruck mit personenbezogenen Informationen im Hausmüll zu entsorgen.
DSGVO und Home-Office: Kein Zugriff durch unbefugte Dritte!
Auch im Heimbüro muss sichergestellt sein, dass nur Mitarbeiter Zugriff auf arbeitsrelevante personenbezogene Daten haben. Familienmitglieder, Mitbewohner oder andere Personen dürfen nicht auf die zu schützenden Daten zugreifen können. Daher sollten Mitarbeiter nach Möglichkeit aufgefordert werden, in Räumen zu arbeiten, in die Dritte nicht frei eintreten können. In jedem Fall sollte die Platzierung des Bildschirms sicherstellen, dass Personen, die den Raum betreten, ihn nicht direkt einsehen. Wenn Mitarbeiter den Raum, in dem sie ihre Home-Office-Arbeit ausführen, vorübergehend verlassen, müssen sie den Laptop oder PC ausschalten oder zumindest eine kennwortgeschützte Bildschirmsperre einschalten.
Richtlinien für den Umgang mit personenbezogenen Daten
Um den erforderlichen Datenschutz im Home-Office sicherstellen zu können, müssen Mitarbeiter über die Einzelheiten der richtigen Verarbeitung personenbezogener Informationen informiert werden. Abhängig von der Vertraulichkeit der Daten können Arbeitgeber auch verpflichtet sein, eine Datenschutz-Folgenabschätzung durchzuführen, bevor sie den Arbeitnehmer ins Home-Office schicken.
Unternehmen müssen Datenschutzvorfälle im Home-Office melden
Gerade das unbefugte Einsehen personenbezogener Daten durch Dritte muss dem Datenschutzbeauftragten des Unternehmens mitgeteilt werden. Der Datenschutzbeauftragte entscheidet dann, ob er verpflichtet ist, den Datenschutzvorfall der Datenschutzbehörde sowie den betroffenen Personen zu melden.