Link to header
DSGVO: Sensible Daten im Homeoffice schützen
Arbeitgebende müssen dafür sorgen, dass Daten weder manipuliert, beschädigt oder zerstört noch eingesehen oder gestohlen werden können. © Getty Images/Urupong

Recht : DSGVO: Sensible Daten im Homeoffice schützen

Die Datenschutz-Grundverordnung (DSGVO) verlangt, personenbezogene Daten zu schützen. So verhindern Unternehmen Datenschutzverstöße im Homeoffice.

Der Fallmanager im Jugendamt, die Finanzfachwirtin in der Steuerverwaltung – viele Beschäftigte im öffentlichen Dienst arbeiten mit Daten, die als besonders schützenswert gelten. Dazu gehören unter anderem Gesundheitsdaten sowie Angaben zur Herkunft, sexuellen Orientierung und Religion (Art. 9, Abs. 1 DSGVO).

Zugleich schließt die Datenschutz-Grundverordnung, kurz DSGVO, eine örtliche Flexibilität von Beschäftigten nicht per se aus. Stattdessen verlangt sie, dass Arbeitgebende im Einzelfall prüfen, ob es bei der jeweiligen Aufgabe datenschutzrechtlich vertretbar ist, dass Beschäftigte sie in Telearbeit und/oder mobilem Arbeiten ausführen.

Prinzipiell gilt: Arbeitgebende müssen dafür sorgen, dass sensible Daten weder manipuliert, beschädigt oder zerstört noch eingesehen oder gestohlen werden können. Beschäftigte haben dabei eine Mitwirkungspflicht.

Gut zu wissen

Tipps für den Datenschutz im Homeoffice gibt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI).

Arbeitgebende müssen notwendige Sachmittel stellen

Behörden sind dazu verpflichtet, ihre Belegschaft über datenschutz-konformes Verhalten zu informieren und technisch-organisatorische Maßnahmen zum Datenschutz zu treffen. Dazu kann es beispielsweise gehören, dass Arbeitgebende Beschäftigten erforderliche Sachmittel zur Verfügung stellen – etwa verschließbare Aufbewahrungsmöglichkeiten für Unterlagen oder Sichtschutzfolien für Laptop, Tablet oder Smartphone.

Eine Illustration eines geschlossenen Hängeschlosses. Es hat drei Schlüssellöcher, eine Sicherheitskette und ein kleines Hängeschloss. Um die Abbildung des Schlosses herum befindet sich zu jedem der fünf Texte ein unterschiedlich aussehender Schlüssel.
© raufeld

Datenschutz bei Telearbeit und mobilem Arbeiten

Wichtige Prinzipien, um sensible Daten zu schützen:

Vereinbaren: Datenschutzgrundsätze sind in einer Betriebs- oder Dienstvereinbarung festzuschreiben. Sie regelt unter anderem, wie Beschäftigte mit personenbezogenen Daten umgehen sollen.

Verschlüsseln: Der Zugang zu sensiblen Daten ­sollte über Zwei-Faktor-Authentifizierung erfolgen. Dabei weist die Nutzerin oder der Nutzer die Identität auf zwei unabhängigen Kommunikationswegen nach – zum Beispiel per selbst gewähltem Passwort und einem Einmal-Kennwort, das eine App auf dem Mobiltelefon erstellt.

Abschirmen: Sichtschutzfolien auf Displays verhindern, dass unbefugte Personen mitlesen können. In Privaträumen sollten Beschäftigte Smart-Home-Geräte wie sprachgesteuerte Lautsprecher entfernen, weil sie gegebenenfalls Telefonate mithören.

Aufpassen: Datenträger wie USB-Sticks oder CDs können unterwegs verloren gehen oder beschädigt werden. Wenn Beschäftigte sie transportieren, dann stets verschlüsselt und in verschlossenen Behältern.

Kontrollieren: Arbeitgebende sind für den Schutz von personenbezogenen Daten verantwortlich. Sie sind deshalb verpflichtet, zu kontrollieren, ob vereinbarte Vorgaben eingehalten werden.

Einhaltung von Vorgaben kontrollieren

Doch nicht nur das: Arbeitgebende haben zusätzlich die Pflicht, zu kontrollieren, ob die Beschäftigten im Homeoffice die datenschutzrechtlichen Vorgaben einhalten. Aus der Ferne geht das zum Beispiel mithilfe sogenannter Mobile-Device-Management-Systeme. Über sie können Arbeitgebende auf dienstlich genutzte Geräte der Beschäftigten zugreifen und beispielsweise unerwünschte Funktionen einschränken oder kontrollieren, ob Vorgaben zur Datenverschlüsselung eingehalten werden.

Arbeitgebende dürfen Wohnungen der Belegschaft betreten

Ebenfalls ist es Arbeitgebenden erlaubt, eine Datenschutzkon­trolle beim Beschäftigten zu Hause durchzuführen. Damit beauftragen sie idealerweise eine für den Datenschutz verantwortliche Person und nicht etwa eine Führungskraft, um nicht den Eindruck zu erwecken, es ginge auch um eine Leistungskontrolle. Das notwendige Zutrittsrecht sollte idealerweise vertraglich mit Beschäftigten geregelt sein. Dafür ist auch das Einverständnis von im Haushalt lebenden Personen notwendig.