Datenschutz im Homeoffice

Mit Beginn der Pandemie zogen zahlreiche Arbeitnehmer ins Homeoffice um. Auch nach der Verpflichtung wollen Viele nach wie vor von zuhause arbeiten. Auch wenn sich der Arbeitsort ändert, ist dennoch der Arbeitgeber verantwortlich, dass der Datenschutz sorgfältig eingehalten wird. Das bedeutet:

Mitarbeiter sollten an einem ordentlichen Arbeitsplatz, idealerweise in einem abschließbaren Raum arbeiten. Zumindest sollten Unterlagen und Dokumente weggeschlossen werden, um sie vor unbefugtem Zugriff zu schützen.

Private Geräte dürfen nicht für die Arbeit genutzt werden und umgekehrt. Im Falle einer Cyberattacke sind sonst nicht nur Unternehmens- und Kundendaten gefährdet, sondern auch sensible private Daten wie Banking-Zugänge, Chats und Fotos der Mitarbeiter.

Arbeitsgeräte müssen mit einem sicheren Passwort, Antiviren-Software und Firewall gesichert sein. Außerdem sollte überprüft werden, mit welchen Geräten der Laptop im Netzwerk verknüpft ist und wie gut das WLAN geschützt ist.

Ist das Homeoffice ein vertraglich vereinbarter Arbeitsort, haben Sie als Arbeitgeber nach schriftlicher Vereinbarung (Klausel im Arbeitsvertrag) das Recht, die Einhaltung zu überprüfen.

Gerade beim Homeoffice befürchten viele Arbeitgeber einen Kontrollverlust und wollen diesen auf verschiedene Weise wiederherstellen. Überwachung per Video oder Software (besonders, wenn dies heimlich erfolgt) ist jedoch grundsätzlich nur mit einer Genehmigung durch den Betriebsrat erlaubt.

Videoüberwachung am Arbeitsplatz

Apropos Videoüberwachung: Auch im Büro darf diese nicht ohne Weiteres erfolgen. Zunächst einmal ist – wie bei jeder Datenerhebung – ein triftiger Grund nötig. Also in diesem Fall:

  • Sie wollen Ihr Hausrecht durchsetzen, Angestellte oder Ware schützen
  • Sie wollen berechtigte Interessen oder bestimmte Aufgaben erfüllen

In jedem Fall sollten Sie Ihre Mitarbeiter darauf hinweisen, dass Sie sie per Video überwachen. Das fordert nicht nur das Recht auf Privatsphäre, sondern auch Art. 13 DSGVO. Ausgeschlossen sind dabei Bereiche wie Pausenräume, Umkleideräume, Behandlungszimmer und selbstverständlich Toiletten. Die Videoüberwachung darf nicht in Kombination mit Tonaufnahmen erfolgen.

Bringen Sie dabei jedoch klare Hinweisschilder vor und in den überwachten Räumen an. Verstecken Sie die Kameras nicht, sondern hängen Sie sie gut sichtbar auf. Ein umfassendes Informationsblatt fasst zusammen:

  • Wer für den Datenschutz verantwortlich ist
  • Wie Betroffene (Mitarbeiter und Kunden) den Verantwortlichen erreichen können
  • Auf welcher Rechtsgrundlage die Überwachung erfolgt
  • Wie lange das Material gespeichert wird

Videoüberwachung ist ein heikles Thema, das viele Fallen birgt. Gehen Sie hier besonders sorgfältig vor!

3G am Arbeitsplatz datenschutzkonform kontrollieren

Kehren Mitarbeiter wieder ins Büro zurück, wartet hier schon die nächste Herausforderung in Sachen Arbeitnehmerdatenschutz: Die Überprüfung der 3G-Regel.

Verantwortlich ist hierbei wieder der Arbeitgeber – und zwar für Kontrolle und Datenschutz gleichermaßen. Achtung: Bei der 3G-Kontrolle handelt es sich um Verarbeitung (oder Auftragsverarbeitung, sofern Sie Dritte beauftragen) von Gesundheitsdaten. Diese sind in der DSGVO als besonders sensibel eingestuft und sollten entsprechend sorgfältig erhoben und gespeichert werden.

Beauftragen Sie Dritte mit der Kontrolle, empfehle ich Ihnen, sich mit den Anforderungen der Auftragsverarbeitungsvereinbarung sowie der vertraulichen Verarbeitung auseinanderzusetzen.

Nach spätestens vier Wochen müssen die Daten gelöscht werden, da dann die Aufbewahrungsfrist abläuft. Es bietet sich hierbei an, die Informationen nach dem Datum der Erhebung zu sortieren, um die Fristen schnell überprüfen zu können.

Datenschutz im Krankheitsfall

Trotz 3G kann es natürlich vorkommen, dass einer Ihrer Mitarbeiter an Corona oder einer anderen Krankheit erkrankt – die gibt es ja schließlich auch noch.

Auch hier stellt sich die Frage, was der Arbeitgeber in dieser Situation datenschutzrechtlich beachten muss. Dürfen Kollegen informiert werden? Andere Geschäftsstellen?

Zunächst einmal ist festzuhalten, dass auch beim Datenschutz im Krankheitsfall Bedingungen erfüllt sein müssen, bevor Gesundheitsdaten erhoben werden dürfen:

  • Es ergeben sich rechtliche Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit, dem Sozialschutz oder einem Infektionsschutzgesetz
  • Das Datenschutz-Interesse des erkrankten Mitarbeiters wiegt nicht stärker

Rechtliche Pflichten aus Arbeitgeber-Sicht sind vor allem Fürsorgepflichten gegenüber den Angestellten – insbesondere die Gesundheitsvorsorge. Die schreibt vor, dass der Arbeitgeber sämtliche vermeidbare Schäden an seinen Mitarbeitern abzuwenden hat. Ist ein Mitarbeiter also an einer schweren, übertragbaren Krankheit erkrankt, liegt es ganz im Interesse des Arbeitgebers und der Kollegen, diese Information zu erfahren bzw. weiterzugeben.

Natürlich verlangt die DSGVO, dass der erkrankte Mitarbeiter als Betroffener darüber informiert wird. Das gilt auch, wenn der Arbeitgeber laut Anordnung eine Behörde über die Erkrankung unterrichten muss.

Eine Besonderheit ergibt sich im Coronafall. Dann müssen nämlich alle Kollegen informiert werden, die zuletzt mit dem Erkrankten Kontakt hatten. Im Regelfall kümmert sich der Erkrankte selbst oder das Gesundheitsamt darum. Übernehmen Sie diese Aufgabe, müssen Sie im Rahmen der Kontaktverfolgung beim Betroffenen die Daten aller Kontaktpersonen erheben. In dem Fall ist eine Information nach Art. 14 DSGVO angebracht.

E-Mails an mehrere Empfänger versenden

Noch eine Situation, in der sowohl Sie als auch Ihre Mitarbeiter die Augen offenhalten sollten: E-Mails, die an mehrere Empfänger gehen. Innerhalb des Teams mag das nicht von besonderer Relevanz sein, weil hier jeder die E-Mail-Adresse und den Namen des Anderen kennt.

Sobald jedoch Kunden, Lieferanten oder anderweitige Externe in die Empfängerliste wandern, ist Vorsicht geboten. Massenmails führen schnell zu einer Massen-Datenpanne, wenn dabei nicht diese Punkte beachtet werden:

  • Nutzen Sie ein professionelles E-Mail-Tool, das ein und dieselbe Mail an getrennte Empfänger senden kann, ohne dass diese voneinander erfahren.
  • Sobald eine E-Mail an mehr als zehn Empfänger verschickt wird, sollte vor dem Versand ein Kollege die E-Mail prüfen. Technisch sollte der E-Mail-Versand jedoch besser so konfiguriert sein, dass Nachrichten gar nicht erst an einen größeren Kreis von Kontakten aus dem E-Mail-Verteiler verschickt werden kann. Das kann nämlich dazu führen, dass Ihre Adresse von Ihrem oder dem E-Mail-Programm des Empfängers als Spam eingestuft wird.
  • Sie können nicht auf ein professionelles Tool zurückgreifen? Dann achten Sie zumindest darauf, das richtige Feld für die Empfänger auszuwählen. Damit die E-Mail-Adressen anderer Personen nicht eingesehen werden können, setzen Sie Ihre eigene Adresse in das „An:“-Feld und die restlichen Empfänger ins BCC. In CC gehören nur Empfänger, die am selben Projekt arbeiten bzw. die die E-Mail-Adressen ohnehin kennen oder kennen müssen.

Aufsichtsbehörden schauen sich im Pannenfall genau an, wer da geklickt hat. Und wenn der Mitarbeiter, trotz Schulung, Richtlinien und klaren Vorgaben, Auslöser des Fehlversands war, muss auch er mit einem Bußgeld rechnen.

Mit einer guten Schulung in Ihre Mitarbeiter investieren

„Schulung“ ist ein gutes Stichwort, auf das ich in diesem Beitrag abschließend eingehen möchte. Häufigste Ursache für Datenschutz-Verstöße ist nämlich Unwissenheit auf Seiten der Angestellten. Mit einer soliden, praxisnahen Datenschutzbelehrung unterstützen Sie Ihre Mitarbeiter in ihrem Arbeitsalltag.

Datenschutz-Schulungen können inhouse, online, live oder aufgezeichnet stattfinden. Welche Form Sie wählen, bleibt Ihnen überlassen. Damit sich die Unterweisung jedoch lohnt, sollte sie in jedem Fall anschaulich und verständlich gestaltet sein. Regelmäßige Wiederholungen helfen, das Gelernte zu festigen und informieren über wichtige Neuerungen.

Ein gutes Datenschutz-Training erkennen Sie an diesen Punkten:

  • Es schärft das Bewusstsein für das wichtige Thema Datenschutz.
  • Es schafft ein grundlegendes Verständnis der DSGVO.
  • Das Training erhöht das Wissen über IT-Sicherheit
  • Es ist praxisnah
  • Es schließt mit einem Test bzw. Zertifikat ab, um sicherzugehen, dass Ihre Mitarbeiter wirklich etwas daraus mitnehmen.

Gehen Sie nicht allein nach dem Preis – in eine gute Datenschutzschulung ist das Geld ganz klar besser investiert als in ein Bußgeld.