Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.
Das ortsunabhängige Arbeiten ist für die meisten Online Unternehmer längst selbstverständlich und spätestens seit der Corona Pandemie ist jedenfalls das Home Office im Oktober 2021 auf dem besten Weg, sich in der Mitte der Gesellschaft dauerhaft zu etablieren. So weit so gut, aber vielleicht ahnst Du es schon: Auch in diesem Bereich macht die DSGVO Vorgaben, die von Unternehmen umzusetzen sind. Dafür solltest Du mit den Beschäftigten Deiner Unternehmens eine Home Office – Richtlinie vereinbaren. Ein Muster dafür stellen wir Dir am Ende des Artikels kostenlose zur Verfügung.
Was ist eine Home Office Richtlinie?
Was sind Home Office und Telearbeit?
Zunächst sollten wir klären, was „Home Office“ eigentlich genau bedeutet. Neben der Arbeit im Home Office, gibt es dann auch noch die Telearbeit. Beide Begriffe sollen letztlich Formen des mobilen Arbeitens beschreiben; die Arbeit wird, meist ermöglicht durch digitale Kommunikationsformen, nicht in den Geschäftsräumen des Arbeitgebers erbracht, sondern „remote“.
Home Office bedeutet, wie der Name schon andeutet, dass der Arbeitnehmer oder Freelancer von zu Hause aus arbeitet.
Der Begriff Telearbeit meint darüber hinausgehend, dass die Arbeit nicht notwendigerweise zu Hause, sondern allgemein per Fernkommunikationsmittel erbracht wird. Der Arbeitsort kann dabei grundsätzlich frei wählbar sein, aber auch vertraglichen Beschränkungen unterworfen sein, z.B. kann verlangt werden, dass der Arbeitsort in Deutschland sein muss. Dabei kann es, im Unterschied zum Home Office auch möglich sein, z.B. vom Café oder auch von Coworking Spaces aus zu arbeiten.
Dieser Beitrag konzentriert sich auf das Home Office und beschränkt sich hinsichtlich der Telearbeit auf einige Hinweise.
Datensicherheit in der DSGVO
Die DSGVO gewisse Sicherheitsvorkehrungen für die Datenverarbeitung vor (s. insbesondere Art. 32 DSGVO), die auch im Home Office gelten. Doch was genau musst Du dabei beachten? Ausgangspunkt bildet der allgemeine Gedanke der Datensicherheit, wonach personenbezogene Daten nach Art. 5 Abs. lit. f DSGVO
„in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen“
Die Datensicherheit ist damit also als wesentlicher Grundsatz in der DSGVO festgehalten. In Art. 32 DSGVO wird das noch etwas näher konkretisiert: Als Verantwortlicher oder Auftragsverarbeiter musst Du danach „geeignete technische und organisatorische Maßnahmen“ treffen, um ein Deiner Situation angemessenes Schutzniveau zu gewährleisten.
Dabei geht es unter anderem darum, dass Du die „Integrität und Vertraulichkeit“ der Datenverarbeitung sicherstellen musst (Art. 32 Abs. 1 lit. b DSGVO). Du musst mithin Daten, die in Deinem Unternehmen verarbeitet werden, z.B. vor dem Zugriff unbefugter Personen schützen. Vertraulichkeit bedeutet vor allem, dass wichtige Informationen nicht unbefugten Personen (z.B. Mitbewohnern oder Besuchern) oder Prozessen zugänglich gemacht werden. Außerdem sind gewisse Mindeststandards an die Verschlüsselung und Pseudonymisierung einzuhalten (Art. 32 Abs. 1 lit. a DSGVO).
Auch wenn Du Auftragsverarbeiter bist, trifft Dich diese Pflicht, denn dann trägst Du Deinem Vertragspartner, für den Du die Daten verarbeitest gegenüber die Verantwortung dafür, dass in Deinem Unternehmen die Bestimmungen der DSGVO eingehalten werden (vgl. Art. 28 Abs. 1 DSGVO).
Sinn der Home Office Richtlinie
In diesem Zusammenhang kann eine Home Office Richtlinie empfehlenswert sein. Wenn Deine Beschäftigten im Home Office sind oder Telearbeit erbringen, statt in Deinen Räumen tätig zu werden, hast Du selbst keine unmittelbare Kontrolle mehr über den Prozess der Datenverarbeitung. Deine Beschäftigten sind dann umso stärker in der Verantwortung, das von der DSGVO geforderte Maß an Datensicherheit zu gewährleisten.
Die Home Office Richtlinie dient also dazu, die Beschäftigten Deines Unternehmens zur Einhaltung der Datensicherheit nach der DSGVO zu verpflichten.
Daneben können dort auch arbeitsrechtliche Vorgaben gemacht werden, wie Regelungen zur Höchstarbeitszeit, Ruhepausen etc., aber darauf soll hier nicht eingegangen werden (einen Überblick dazu erhaltet ihr hier).
Was soll ich also in der Home Office Richtlinie regeln?
Das klingt immer noch abstrakt, doch keine Sorge, was diese Grundsätze in der Praxis bedeuten, wollen wir uns jetzt anschauen.
Kein Zugang für unbefugte Dritte
Damit die Vertraulichkeit der Datenverarbeitung gewährleistet wird und Dritte keine Kenntnis von den Daten bekommen, die Deine Beschäftigten verarbeiten, sollten die Beschäftigten den Zugang dieser Personen zu den Daten einschränken.
Am besten wäre es also, wenn Dritte gar kein Zugang zum Home Office Deiner Beschäftigten haben können und die Beschäftigten entsprechende Räume einfach abschließen, wenn sie nicht da sind. Wenn das nicht praktikabel ist, sollte die Hardware, auf der personenbezogene Daten verarbeitet werden, möglichst eingeschlossen sowie gegen unbefugten Zugang gesichert werden. Deine Beschäftigten sollten dafür z.B. in Pausen den Bildschirm sperren und ausgedruckte Dokumente nicht offen liegen lassen.
Umgang mit Soft- und Hardware
Auch die Benutzung der Soft- und Hardware selbst muss DSGVO-konform erfolgen. Wichtig zur Sicherung der Vertraulichkeit der Datenverarbeitung ist dabei, dass betriebliche Soft- und Hardware nicht privat genutzt wird: Betriebliche Systeme müssen von privaten Systemen strikt getrennt werden. Das heißt vor allem, dass die Beschäftigten keine betrieblichen Daten auf privaten Systemen speichern und umgekehrt.
Verschlüsselung
Wenn Deine Beschäftigten in öffentlichen Netzwerken arbeiten, darf das wegen des Grundsatzes der Verschlüsselung der Datenverarbeitung nur per VPN-Client oder SSL – Verschlüsselung geschehen. Außerdem müssen sie sicherstellen, dass Dritte (nicht nur) im öffentlichen Raum das Display nicht einsehen können. Zudem müssen Videokonferenzen stets verschlüsselt werden.
Speicherung von Daten und Ausdrucke
Nach dem Grundsatz der Datensparsamkeit in der DSGVO dürfen Daten nur so lange gespeichert werden, wie es der Zweck der Datenverarbeitung erfordert. Auch Papier ist übrigens ein Speichermedium. Aus diesem Grund muss der Beschäftige auch Ausdrucke vernichten, wenn sie nicht mehr benötigt werden. Achte dabei bitte darauf, dass die Ausdrucke, die personenbezogene Daten enthalten, nicht über den Hausmüll entsorgt werden, denn dabei können die Daten von Dritten gelesen werden. Derartige Ausdrucke sollte der Beschäftigte bitte einem Aktenvernichter bearbeiten.
Um diesen Aufwand zu vermeiden und auch schon wegen der Datensparsamkeit ist es generell empfehlenswert, dass Deine Beschäftigten so wenig wie möglich ausdrucken.
Fazit
Gerade als Online Unternehmer solltest Du einerseits geeignete Maßnahmen treffen, um die Vorgaben der DSGVO zur Sicherheit der Datenverarbeitung selbst umzusetzen. Wenn Deine Beschäftigten im Home Office sind, solltest Du sie dazu verpflichten, diese Vorgaben im Home Office einzuhalten. Dafür kannst Du gerne unser kostenloses Muster verwenden.
Das PDF zu der Richtlinie gibt es hier:
Mehr über die DSGVO erfährst du hier.
Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.