Homeoffice – auch hier gilt das Datenschutzrecht

Die Corona-Pandemie hat sich als Multiplikator für den Einsatz von Homeoffice erwiesen. Auch hier sind jedoch datenschutzrechtliche Anforderungen zu beachten.
Der durch die Corona-Pandemie vermehrte Einsatz von Homeoffice wirft eine Vielzahl von datenschutzrechtlich relevanten Fragestellungen auf.  Im Folgenden sollen die wichtigsten Themenkreise zum Thema Datenschutz in Betrieben mit Homeoffice angesprochen werden.

Erweiterte Sicherheitsanforderungen durch Homeoffice

Sollten Homeoffice-Lösungen das erste Mal eingesetzt werden, sind diese Verarbeitungstätigkeiten in das Verzeichnis der Verarbeitungstätigkeiten nach Artikel 32 DSGVO aufzunehmen. Hier ist Augenmerk darauf zu legen, dass auch die Anforderungen an die Datensicherheit entsprechend berücksichtigt werden. Insbesondere sollten dabei – nach Meinung der Datenschutzbehörde – folgende Punkte beachtet werden:

• sichere Aufbewahrung der dienstlichen Hardware;
  
• Verwendung von geschützten WLAN- oder LAN-Verbindungen;
  
• Einsatz von verschlüsselten VPN-Verbindungen;
  
• kein Einsatz von privaten Cloud-Diensten für berufliche Daten;
  
• WhatsApp, Facebook, Instagram, o. Ä. sollte nicht für den Austausch von beruflichen Informationen eingesetzt werden;
  
• sichere Vernichtung von ausgedruckten Unterlagen;
  
• Einsatz von hardware- oder softwarebasierten Verschlüsselungen auf mobilen Geräten;
  
• Durchführung von regelmäßigen Backups zur Verminderung des Risikos von Datenverlusten.

Es sollten zudem weiterführende und an den jeweiligen Betrieb angepasste Richtlinien für Arbeitnehmer:innen erstellt werden.¹

Fragen rund um den Einsatz von Videokonferenzsystemen

Werden Videokonferenzsysteme eingesetzt, erfolgen datenschutzrechtlich gesehen Verarbeitungstätigkeiten für den Betrieb als Verantwortlichen. Die Arbeitnehmerinnen und Arbeitnehmer, die aus dem Homeoffice heraus Videokonferenzen als Teil ihrer Beschäftigung durchführen, werden als Teil der Arbeit angesehen. Bei der Auswahl des Tools ist Augenmerk darauf zu legen, ob das Tool die Anforderungen an Privacy by Design erfüllt und es sind datenschutzfreundliche Voreinstellungen durchzuführen (Privacy by Default).

Wenn Videokonferenzsysteme eingesetzt werden, müssen zudem Rechtsgrundlagen für die Verarbeitungstätigkeiten festgelegt werden.
In Frage kommen etwa die Vertragserfüllung bzw. vorvertragliche Verhältnisse nach Art 6 Abs 1 lit b DSGVO, wenn die oder der Betroffene Vertragspartei bzw. Arbeitnehmerin oder Arbeiternehmer des Verantwortlichen ist bzw. die Videokonferenz mit dem Verantwortlichen auf Anfrage des Betroffenen durchgeführt worden ist. Auch berechtigte Interessen des Verantwortlichen oder die Einwilligung sind denkbar.

Wenn Videokonferenzlösungen die Infrastruktur Dritter einsetzen, muss geprüft werden, ob der Anbieter als Auftragsverarbeiter anzusehen ist oder unter Umständen sogar eine gemeinsame Verantwortlichkeit vorliegt. Des Weiteren sind die damit verbundenen Vereinbarungen abzuschließen.  

Sofern fremdgehostete Videokonferenz-Tools verwendet werden, könnte es zudem zu einer Übermittlung von personenbezogenen Daten in ein Drittland kommen. Dies kann dann der Fall sein, wenn Server etwa außerhalb der EU/des EWR stehen oder aber Anbieter mit Sitz in der EU/im EWR Subauftragsverarbeiter in Drittländern einsetzen.

Hier ist zu beachten, dass Drittlandsübermittlungen stets zusätzlich einer eigenen Rechtsgrundlage bedürfen und seit der Entscheidung „Schrems II“ das Privacy Shield für Datenübermittlungen in die USA keine gültige Rechtsgrundlage mehr darstellt. Werden stattdessen Standardvertragsklauseln eingesetzt, muss durch zusätzliche Maßnahmen gewährleistet werden, dass in dem Drittland ein mit der EU vergleichbares Datenschutzniveau herrscht.

¹Siehe dazu: Informationsblatt der Datenschutzbehörde Datensicherheit und Homeoffice, abrufbar unter: https://www.dsb.gv.at/documents/22758/23115/Informationsblatt_der_Datenschutzbehoerde_Datensicherheit_und_Home-Office.pdf/18c65716-537a-4a21-a835-f201428a9b98 (zuletzt abgerufen am 7.6.2020).

9. Juni 2021

Dr. Heidi Scheichenbauer

ist Senior Researcher und Senior Consultant bei der Research Institute AG & Co KG in Wien. Die Beantwortung datenschutzrechtlicher Fragestellungen und die Abhaltung von datenschutzrechtlichen Seminaren zählen hier zu ihren laufenden Tätigkeiten. Zudem ist sie Mitglied des Vereins österreichischer betrieblicher und behördlicher Datenschutzbeauftragter – Privacyofficers.at und Autorin von datenschutzrechtlichen Publikationen.

Literatur zum Thema