Datenschutz und Datensicherheit im Homeoffice

6. Juli 2020

Die Welt befindet sich im Wandel. Die Auswirkungen der Corona-Pandemie haben unseren Alltag fest im Griff. Viele Menschen arbeiten derzeit von zu Hause aus und das Thema Homeoffice rückt wieder stärker in den Vordergrund. Bundesarbeitsminister Hubertus Heil (SPD) will das Recht auf Arbeit von zu Hause aus sogar gesetzlich verankern. Alles deutet darauf hin, dass das Homeoffice auch nach der Pandemie für viele Unternehmen noch von hoher Bedeutung sein wird.

Doch besonders bei der Arbeit in den eigenen vier Wänden, spielt der Umgang mit geschäftlichen- und personenbezogenen Daten eine wichtige Rolle. Denn überall wo Daten fließen, gelten die Anforderungen an die Datensicherheit und den Datenschutz. Die Grundsätze der Datenschutzgrundverordnung (DSGVO), wie die Einhaltung der Vertraulichkeit und Integrität personenbezogener Daten, müssen auch im Homeoffice eingehalten werden. So müssen personenbezogene Daten gemäß Art. 5 Abs. 1 lit. f) DSGVO vor unbefugter und unberechtigter Verarbeitung sowie vor unbeabsichtigtem Verlust und unbeabsichtigter Zerstörung geschützt werden. Der Arbeitgeber trägt hier die Verantwortung zur Sicherstellung, die angemessenen technischen und organisatorischen Maßnahmen zu treffen.

Vor diesem Hintergrund gilt es für Mitarbeiter folgende grundlegende Regeln zu beachten:

  • Verwenden einer VPN-Software, sofern der heimische Internetanschluss geschäftlich genutzt wird
  • Ausschließliche Nutzung der vom Arbeitgeber bereitgestellten Hard- und Software
  • Entsorgung ausgedruckter geschäftlicher Unterlagen nicht mit dem Hausmüll, sondern datenschutzkonform per Aktenvernichter. Der Aktenvernichter sollte mindestens über die Sicherheitsstufe 3 verfügen.
  • Der Raum, in dem Homeoffice betrieben wird, ist vor dem Zugang unbefugter Dritter zu schützen. Dazu gehören auch Familienangehörige und Ehepartner. Die direkte Einsichtnahme in Daten ist zu verhindern. Dies beinhaltet bspw. die Sperrung des Bildschirms bei Verlassen des Raumes, oder das Aufbewahren von Unterlagen in einem abschließbaren Schrank.
  • Datenschutzverstöße sind dem Arbeitgeber unverzüglich zu melden (siehe Art. 33 DSGVO)
  • Der Arbeitgeber sollte seine Mitarbeiter bezüglich der Verhaltensweisen im Homeoffice schulen. In einzelnen Fällen kann zudem eine Datenschutzfolgeabschätzung  notwendig sein, bevor Mitarbeiter ins Homeoffice entlassen werden.

Neben diesen grundlegenden Verhaltensweisen stellt sich vor allem für Arbeitgeber die Frage, welche Anbieter von Kommunikationsdienstleistungen und Speicherlösungen geeignet sind, um eine sichere und datenschutzkonforme Verarbeitung von Daten zu gewährleisten. Denn immer wenn die Verarbeitung von Daten in fremde Hände gegeben wird, bestehen potenzielle Sicherheits- und Haftungsrisiken. Im Folgenden sollen deshalb die wichtigsten Kriterien bei der Auswahl von VPN-Anbietern, Cloud-Anbietern und Anbietern von Videokonferenzsoftware aufgezeigt werden, deren Einhaltung es zu beachten gilt.

Videokonferenzen

Videokonferenzen, Onlinemeetings und Webinare bilden zurzeit für viele Unternehmen die einzige Alternative zu den ansonsten üblichen physischen Besprechungen. Doch auch bei der Wahl des jeweiligen Onlinedienstes, müssen die Vorgaben der DSGVO eingehalten werden. Im Folgenden soll daher eine kurze Übersicht über die wesentlichen Punkte gegeben werden, die bei der Auswahl eines Dienstanbieters beachtet werden müssen.

Serverstandorte

Grundsätzlich sind Anbieter zu wählen, die ihren Standort in der EU haben. Bei Anbietern aus Drittländern muss durch Zertifikate oder den Abschluss von EU-Standardschutzklauseln sichergestellt werden, dass sie ein angemessenes Datenschutzniveau erfüllen. Eine Liste verschiedener Anbieter mit Angabe des Standorts und den entsprechenden Zertifizierungen finden Sie hier.

Abschluss eines Auftragsverarbeitungsvertrags

Da Anbieter von Onlinemeeting-Tools personenbezogene Daten „im Auftrag“ des Nutzers verarbeiten, ist der Abschluss eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO notwendig. Viele Anbieter, wie Blizz oder Zoom, bieten solche Verträge bereits von Haus aus an. Außerdem ist der Nutzer gemäß Art. 32 DSGVO dazu verpflichtet, die Angaben zu den technischen und organisatorischen Maßnahmen des Anbieters zu prüfen. Hier geht es bspw. um die Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Verfügbarkeit und Belastbarkeit von Systemen etc.

Datenschutzfreundliche Voreinstellung

Wichtig ist auch, dass Sie darauf achten, dass die Meeting-Software datenschutzfreundliche Voreinstellungen nutzt (Art. 25 DSGVO). Damit soll verhindert werden, dass personenbezogene Daten ohne Eingreifen der betroffenen Person verarbeitet/veröffentlicht werden. Das bedeutet, dass bestimmte Einstellungen, per default, ausgeschaltet sein müssen. Es wird daher folgendes empfohlen:

  • Ausschalten der Funktion über die Aufnahme- und Speicherung von Videokonferenzen
  • Deaktivierung von Social-Media-Plugins
  • Ausschalten der Trackingfunktion, die anzeigt, ob Teilnehmer der Konferenz aktiv zuhören

Die Verwendung eines Passwortschutzes oder eines Warteraums, in dem sich Teilnehmer vor Teilnahme an der Konferenz aufhalten und auf Anweisung des Moderators zugeschaltet werden können, ist dringend zu empfehlen. Im Zweifel ist bei Verwendung von zusätzlichen Funktionen die Prüfung der Erforderlichkeit dieser Funktionen notwendig. Die Stiftung Warentest hat hierzu kürzlich verschiedene Anbieter von Videokonferenztools, auch hinsichtlich des Schutzes personenbezogener Daten, getestet.

Hinweise zum Datenschutz

Den Verantwortlichen treffen unter Einhaltung der Art. 12, 13 DSGVO, weitreichende Informationspflichten. Diese verpflichten den Nutzer, die Kommunikationsteilnehmer vor Beginn einer Konferenz über die Zwecke, Arten und den Umfang der Verarbeitung personenbezogener Daten zu informieren. Damit Sie diese Informationen nicht jedem einzelnen Teilnehmer schicken müssen, empfiehlt es sich, diese in die Datenschutzerklärung mit aufzunehmen und vor Beginn des Meetings auf diese hinzuweisen. Falls Sie diese Anpassung nicht selbst vornehmen möchten, helfen wir Ihnen hierbei gerne weiter.
Des Weiteren empfiehlt es sich, den eingesetzten Videokonferenzdienst in das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) mit aufzunehmen.

VPN

Die Verwendung eines VPN-Tunnels (VPN: Virtual Private Network) hat zwei entscheidende Vorteile. Zum einen kann eine direkte Verbindung zum Firmennetzwerk aufgebaut und somit der Zugriff auf die unternehmenseigenen Server gewährleistet werden. Zum anderen wird die Datenübertragung im VPN-Netzwerk verschlüsselt. Technisch gesehen wird dem VPN-Nutzer (VPN-Client), der eine Verbindung zum Server des VPN-Anbieters aufbaut, eine neue IP-Adresse verliehen – nämlich die des VPN-Anbieters. Der VPN-Nutzer surft nun über die IP-Adresse des VPN-Anbieters. Auf diese Weise wird der eigentliche Nutzer verschleiert und die übermittelten Daten sind für Außenstehende nicht mehr einsehbar. Nichtsdestotrotz gibt es bei der Nutzung von VPN-Netzwerken einige Fallstricke zu beachten, um einen sicheren Umgang zu garantieren.

Zunächst muss einem klar sein, dass der Datenverkehr zwar theoretisch gegen äußere Eingriffe geschützt ist, der Anbieter der VPN-Lösung aber mitunter Daten auf eigenen Servern speichert. Diese aus datenschutzrechtlicher Sicht nicht unumstrittene Speicherung von Daten geschieht aufgrund sogenannter Log-Files (Aktivitäts-Logs). Diese zeichnen Aktivitäten des Nutzers auf und speichern sie, gegebenenfalls sogar ohne das Wissen des Betroffenen. Dies ist besonders prekär, wenn die Anbieter der Server in Drittländern sitzen (EU-Ausland), in denen die DSGVO keine Anwendung findet. Hier besteht die Gefahr, dass die Anbieter sogar staatlich dazu verpflichtet sind, Daten herauszugeben. Insofern gilt es bei der Auswahl des VPN-Anbieters auf Folgendes zu achten:

  • Auswahl eines Anbieters, der auf die Speicherung durch Aktivitäts-Logs verzichtet
  • Der Serverstandort des Anbieters sollte in der EU liegen. Bei einigen VPN-Anbietern kann zwischen mehreren Länderstandorten ausgewählt werden.
  • Die VPN-Software, der VPN-Server sowie Verschlüsselungs- und Authentifizierungstechniken müssen auf dem neusten technischen Stand sein.
  • Der Anbieter sollte bekannt sein und  es sollten ausreichend Testberichte zur Verfügung stehen.

Welche Verschlüsselungs- und Authentifizierungstechniken für Ihr Unternehmen Sinn ergeben, muss im Zweifel individuell geklärt werden. Zudem sei an dieser Stelle noch einmal angemerkt, dass auch der beste VPN-Anbieter keinen 100%igen Schutz gewährleisten kann.

Cloud Computing

Unter Cloud Computing versteht man das Speichern von Daten in einem Online-Netz (also die Auslagerung von Daten auf externe Server), bzw. das Anmieten von Rechenleistung oder Anwendungssoftware über das Internet. Der Vorteil für Unternehmer liegt darin, dass für die Speicherung von Daten kein eigenes Rechenzentrum mehr betrieben werden muss und die jeweiligen Dienstleistungen und Kapazitäten, je nach Bedarf, in Anspruch genommen werden können. Cloud-Lösungen gewinnen gerade in Zeiten der Corona-Krise an Bedeutung, da in vielen Firmen die Unternehmens-IT so umstrukturiert werden muss, dass alle Mitarbeiter im Homeoffice arbeiten können.

Aus Sicht des europäischen Datenschutzrechts gilt Cloud Computing als Auftragsdatenverarbeitung (ADV) gemäß Art. 28 DSGVO. Das bedeutet auch, dass der Cloud-Dienst-Nutzer prüfen muss, ob der Anbieter die Datenschutzbestimmungen einhält. Viele Anbieter von Cloud-Lösungen verfügen hierzu über geeignete Zertifikate, die gemäß Art. 42 DSGVO nachweisen, dass sie die Datenschutz- und Datensicherheitsbestimmungen einhalten. Ein solches Zertifikat trägt z. B. den Namen „Trusted Cloud“, das vom Bundesministerium für Wirtschaft und  Energie in Zusammenarbeit mit der Stiftung Datenschutz geschaffen wurde. Nutzer von Cloud-Lösungen sollten sich durch solche Zertifikate absichern. Zusätzlich sollte darauf geachtet werden, dass der ADV-Vertrag Regelungen bezüglich der Beauftragung von Subunternehmern, der Möglichkeit eines Anbieterwechsels und der Datenportabilität, der Löschung der Daten nach Auftragsbeendigung sowie des Eigentums der Daten enthält.

Befinden sich die Rechenzentren der Anbieter im EU-Ausland ist besonders darauf zu achten, dass sie das europäische Datenschutzniveau einhalten. Andererseits könnten Daten vom jeweiligen Staat beschlagnahmt werden. Falls Sie dennoch vorhaben mit Anbietern aus dem EU-Ausland zu kooperieren, achten Sie auf den Abschluss von EU-Standardvertragsklauseln.

Hinsichtlich der sicheren Nutzung von Cloud-Speicherdiensten gilt es zudem, je nach Verwendungszweck, einige Dinge zu beachten:

  • Verwenden geeigneter Verschlüsselungs- und Authentisierungsverfahren (VPN)
  • Kontinuierliches Monitoring
  • Backup-Optionen des Anbieters prüfen
  • Notfallpläne falls der Cloud-Dienst vorübergehend nicht funktioniert
  • Organisatorische Sicherheit des Rechenzentrums
  • uvm.

Hier sollte zunächst genau geprüft werden, welche Risiken es zu vermeiden gilt und mit welchen technischen Anforderungen diesen entgegengewirkt werden kann. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt bspw. einen Leitfaden für die sichere Nutzung von Cloud-Diensten zur Verfügung. Eine gute Übersicht und Orientierungshilfe hinsichtlich sicherer Cloud-Dienstleister, bietet auch die Seite des Bundesministeriums für Wirtschaft und Energie https://www.trusted-cloud.de/de.

Haftungsfragen im Homeoffice

Schließlich stellt sich die Frage, wer für Schäden oder Vergehen, zum Beispiel Datenmissbräuche, Unfälle oder Diebstähle, im Homeoffice verantwortlich gemacht werden kann. Im Folgenden soll daher auf drei typische Fragestellungen eingegangen werden, die sich bei der Arbeit im Betrieb normalerweise nicht stellen:

  1. Wer ist verantwortlich und haftet, wenn sich bei der Verarbeitung von personenbezogenen Daten (Namen, Adressen von Kunden/Mandanten/Mitarbeitern etc.) Risiken für die Persönlichkeitsrechte der betroffenen Personen durch Datenmissbrauch oder eine unbefugte Einsichtnahme der Daten durch Dritte verwirklichen?
  2. Wer ist verantwortlich und übernimmt die Kosten, wenn ein Mitarbeiter sich im Rahmen des Homeoffice bspw. den Finger in der Schreibtischtür klemmt oder beim Kaffee holen stolpert und sich ein Bein bricht?
  3. Wer haftet, wenn der Laptop aus dem Homeoffice gestohlen wird, ein Brand/Wasserschaden das Arbeitsmittel beschädigt/untauglich macht oder es durch Stolpern über das Kabel herunterfällt?

Zu 1.: Für die Frage, wer im Homeoffice für Datenpannen oder Datenmissbrauch und damit für Verstöße gegen die DSGVO verantwortlich ist und haftet, gilt zusätzlich zu den arbeitsrechtlichen Grundsätzen Art. 82 DSGVO. Es ist einerseits entscheidend, ob es sich um einen Freien Mitarbeiter oder einen Angestellten des Unternehmens handelt und andererseits wer die Zwecke und Mittel der Datenverarbeitung bestimmt (Art. 4 Abs. 7 DSGVO) und damit Verantwortlicher i. S. d. Art 82 DSGVO ist.

Bei einem Angestellten bestimmt immer der Arbeitgeber die Zwecke und Mittel der Datenverarbeitung, weshalb die Verantwortung für Datenpannen und -missbrauch grundsätzlich beim Arbeitgeber liegt. Verhängt die Datenschutzbehörde also ein Bußgeld wegen Verstoßes gegen die DSGVO, so trifft es das Unternehmen selbst. Der Angestellte haftet nicht im Außenverhältnis. Im Innenverhältnis kommt es bei der Haftung nach den Grundsätzen der eingeschränkten Arbeitnehmerhaftung auf den Verschuldensgrad an. Der Arbeitnehmer haftet dem Arbeitgeber voll, wenn sich der Vorsatz auf die Pflichtverletzung und den Schaden bezieht oder grobe Fahrlässigkeit vorliegt. Eine anteilige Haftung besteht, wenn der Arbeitnehmer mit mittlerer Fahrlässigkeit die Pflichtverletzung und den Schaden herbeigeführt hat. Bei leichter Fahrlässigkeit haftet der Arbeitnehmer gar nicht.

Der Freie Mitarbeiter wird aufgrund eines Werk- oder Dienstvertrags tätig. Der Auftraggeber bestimmt den Zweck und die Mittel der Verarbeitung und ist insoweit Verantwortlicher i. S. d. Art. 82 DSGVO. (Etwas anderes gilt nur, wenn der Freie Mitarbeiter eine eigene Fachleistung erbringt, bei der die Datenverarbeitung kein Kernbestandteil der Arbeit ist.) Da der Freie Mitarbeiter die Daten grundsätzlich im Auftrag des Auftraggebers verarbeitet, ist es notwendig, dass Auftraggeber und Auftragnehmer (Freier Mitarbeiter) einen Vertrag über die Auftragsdatenverarbeitung i. S. d. Art. 28 DSGVO schließen. Der Auftraggeber bleibt Verantwortlicher und haftet insoweit für Datenpannen. Der Auftragsverarbeiter (Freier Mitarbeiter) hat die nach der DSGVO vorgesehenen Verpflichtungen zu erfüllen, insbesondere ein Verfahrensverzeichnis zu führen (Art. 30 Abs. 2 DSGVO).

Zu 2.: Bei Unfällen ist zu differenzieren: Der Angestellte auf dem Weg zur Betriebsstätte/Kunden/Mandanten ist gleichermaßenwie während der Arbeitszeit in der Betriebsstätte/beim Kunden/Mandanten versichert. In diesen Fällen ersetzt bspw. die gesetzliche Unfallversicherung die Behandlungskosten.

Im Homeoffice ist zu unterscheiden: Während die Tätigkeit am konkreten Home-Arbeitsplatz (zum Beispiel am Schreibtisch) unfallversichert ist und die gesetzliche Unfallversicherung eintritt, wenn der Arbeitnehmer sich bspw. beim Aufschließen des Schreibtischschranks zum Herausholen des Laptops die Finger einklemmt, gilt dies abseits des konkreten Arbeitsorts (Schreibtisches) nicht. Wenn der Angestellte beim Kaffee holen auf dem Flur ausrutscht und sich ein Bein bricht, tritt nicht mehr die gesetzliche Unfallversicherung des Arbeitgebers ein. Es handelt sich um eine sogenannte „eigenwirtschaftliche Tätigkeit“ (BSG, Urt. v. 5.7.16, B 2 U 5/15). Die Behandlung wird über die Krankenversicherung oder ggf. eine (freiwillige) private Unfallversicherung des Angestellten abgedeckt.

Der Freie Mitarbeiter hat sich grundsätzlich selbst zu versichern (Kranken- und Unfallversicherung).

Zu 3.: Für Beschädigungen am Firmenlaptop/-Handy durch Brand- oder Wasserschäden oder beim Abhandenkommen durch Diebstahl im Homeoffice kann es passieren, dass die private Versicherungen wie die Hausratversicherung des Arbeitnehmers die Haftung bzw. die Anerkennung als Versicherungsfall ablehnt, weil es sich nicht um den klassischen „Hausrat“ handelt. Dies hängt zum einen von der Ausgestaltung der Versicherung des Arbeitnehmers ab.

Zum anderen kommt es bei Beschädigungen am Firmenlaptop/-Handy durch z. B. Herunterfallen oder Verschütten von Kaffee darauf an, ob Homeoffice vereinbart ist oder der Arbeitnehmer freiwillig die Arbeit von zu Hause aus erledigt. In letzterem Fall soll grundsätzlich der Arbeitnehmer für den Schaden aufkommen. Allerdings kommt es stets auf die Details des Einzelfalls an.

Ebenso sollte der Arbeitgeber mit seiner Betriebshaftpflichtversicherung und der jeweiligen Berufsgenossenschaft klären, unter welchen Bedingungen er Schäden an Körper und Sachen im Homeoffice zusätzlich versichern kann. Sollte das Bundesarbeitsministerium demnächst ein Gesetz zum Anspruch auf Homeoffice vorlegen, so finden sich dort evtl. auch Antworten auf all diese Fragen.

Handlungsempfehlung

Auch bei der Arbeit im Homeoffice sind sämtliche Regelungen zum Datenschutz, zur Arbeitszeit und zur Arbeitssicherheit einzuhalten. Überprüfen Sie daher am besten bereits vor der Nutzung von etwaigen Onlineservices, ob Sie die Anforderungen erfüllen. Wer auf Nummer sicher gehen will, wählt am besten einen Anbieter, der seinen Standort in der EU hat.

Hinsichtlich der Datensicherheit empfiehlt es sich auf Anbieter zu setzen, die ihre organisatorische und technische Funktionsfähigkeit durch entsprechende Zertifizierungen nachweisen können. Wie tiefgreifend diese technischen Maßnahmen für Ihr Unternehmen sein müssen, muss im Zweifel individuell geklärt werden. Auch die Haftungs- und Versicherungsfragen für evtl. (Daten-)Schäden sind vorab zu klären.

Falls Sie Hilfe bei der rechtskonformen Gestaltung Ihrer Homeoffice Maßnahmen benötigen, nehmen Sie gerne Kontakt zu uns auf. Gerne prüfen wir auch in Form eines „Quick-Checks“, ob Sie die gesetzlichen Anforderungen für Mitarbeiter im Homeoffice erfüllen.