Ich möchte Sie heute im Rahmen der Corona-Krise über ein aktuelles Thema informieren: Die Einrichtung von Home-Offices. Aufgrund der aktuellen Entwicklungen möchten viele Unternehmen ihren Mitarbeitern die Möglichkeit geben, von zu Hause aus zu arbeiten. Welche Aspekte aus datenschutzrechtlicher Sicht dabei zu beachten sind zeige ich im Folgenden auf:
1. Beschäftigte müssen darauf verpflichtet werden, alle sie oder ihre Tätigkeit betreffenden Richtlinien, Vorgaben oder Anweisungen im Umgang mit personenbezogenen Daten auch bei der Arbeit im Home-Office einzuhalten. Dies gilt insbesondere für Vorgaben, die die Sicherheit personenbezogener Daten betreffen.
2. Es darf ausschließlich vom Verantwortlichen bereitgestellte oder genehmigte Hard- und Software für die Arbeit im Home-Office verwendet werden.
3. Beschäftigte melden mögliche Datenschutzvorfälle unverzüglich an den Datenschutzbeauftragten. Ein Datenschutzvorfall liegt insbesondere dann vor, wenn die Annahme besteht, dass die Datensicherheit, gefährdet sein kann. Ein Datenschutzvorfall liegt auch vor, wenn die Annahme besteht, dass Dritte unbefugt Zugriff oder Zugang zu personenbezogenen Daten haben oder hatten.
4. Daten sind grundsätzlich nicht auf lokalen Festplatten oder Datenspeichern von Endgeräten zu speichern, die nicht im Eigentum oder Besitz des Verantwortlichen stehen.
5. Die Speicherung von Daten hat grundsätzlich in den Verzeichnissen/Ordnern von Servern bzw. zentralen IT-Systemen des Verantwortlichen zu erfolgen, die für den Benutzer freigegeben sind. Ausnahmen hiervon dürfen nur gemacht werden, wenn eine Internet-Anbindung an die zentralen IT-Systeme und damit eine Speicherung auf den IT-Systemen nicht möglich ist. In diesen Fällen dürfen personenbezogene Daten auf den von den Beschäftigten im Home-Office verwendeten Geräten gespeichert werden, wenn sichergestellt ist, dass die Daten auf den verwendeten Datenträgern verschlüsselt gespeichert werden.
6. Beschäftigte, die im Home-Office arbeiten, haben sicherzustellen, dass andere Personen keinen Zugang zu den im Zusammenhang mit der Beschäftigung verarbeiteten Daten erhalten. Insbesondere sollte beim Verlassen des Home-Office Arbeitsplatzes umgehend ein Sperrbildschirm aktiviert werden, der nur durch ein Passwort aufgehoben werden kann.
7. Dokumente sollten grundsätzlich nicht im Home-Office ausgedruckt werden. Sollte dies für die Erledigung von betriebsbedingten Aufgaben zwingend erforderlich sein, hat der Beschäftigte Sorge dafür zu tragen, dass die ausgedruckten Informationen auch direkt vor Ort geeignet vernichtet werden können.
8. Besonders schutzbedürftige Informationen dürfen nur an Orten im Home-Office verarbeitet werden, die von Dritten nicht einzusehen sind.
9. Der Nutzer hat Sorge dafür zu tragen, dass Daten, die ausschließlich auf dem Gerät gespeichert werden, bei nächster Gelegenheit auf Datenspeicher übertragen werden, die üblicherweise für die Speicherung von Daten verwendet werden.
10. Bei Fragen zu der Vorgehensweise der Übertragung der Daten hat sich der Nutzer an die IT-Abteilung zu wenden.
11. Ausnahmen von den vor genannten Grundsätzen können in begründeten Einzelfällen erlauben werden. Genehmigte Ausnahmen sollten inklusive einer Begründung dokumentiert werden.