Datenschutz im Homeoffice: Leitfaden für Behörden und Betriebe
Seit der Corona-Pandemie arbeiten immer mehr Menschen im Homeoffice – und viele wollen das auch weiterhin tun.
Leitfaden und Checkliste Homeoffice
Was Arbeitgeber und Dienstherren dabei in Sachen Datenschutz alles beachten müssen, hat der Landesbeauftragte für den Datenschutz Sachsen-Anhalt zusammengefasst. Er hat
veröffentlicht.
Werden personenbezogene Daten verarbeitet?
Die wichtigste Frage kommt gleich zu Beginn des Leitfadens: „Werden Beschäftigte in (auch teilweiser bzw. sporadischer) Telearbeit mit der Verarbeitung personenbezogener Daten befasst und wenn ja, in welchem Umfang?“
Ist dies der Fall, müssen Arbeitgeber und Dienstherren schon vor der Auslagerung der Datenverarbeitung ihre Prozesse genau prüfen.
Kann mit anonymen Daten gearbeitet werden?
In der Checkliste empfiehlt die Datenschutzbehörde folgendes Vorgehen: Arbeitgeber und Dienstherren sollten prüfen, ob
- ob sich eine Verarbeitung personenbezogener Daten im Homeoffice vermeiden lässt,
- ob mit anonymen oder pseudonymen Daten gearbeitet werden kann,
- in welcher Art, welchem Umfang, unter welchen Umständen und zu welchem Zweck Daten verarbeitet werden,
- wie sensibel die Daten und die Risiken der vorgesehenen Datenverarbeitung sind und
- welche Schutzmaßnahmen erforderlich sind.
Umfassendes IT-Wissen für Datenschutzbeauftragte
Die DSGVO fordert Sicherheitsmaßnahmen nach dem Stand der Technik. Doch woher wissen Sie, was Stand der Technik ist? Bleiben Sie mit „IT-Know-how für Datenschutzbeauftragte“, Ihrem zuverlässigen, stets aktuell informierten und gut verständlichen Berater in allen Fragen der IT-Sicherheit jetzt am Ball.
Gibt es einen besonderen Schutzbedarf?
Ein besonderer Schutzbedarf kann sich immer dann ergeben, wenn die Beschäftigten besondere Kategorien personenbezogener Daten verarbeiten. Dazu gehören zum Beispiel Gesundheitsdaten oder biometrische Daten.
Besonders schützenswert sind auch
- Einkommensdaten,
- Steuerdaten,
- Personalaktendaten oder
- Sozialdaten.
In diesem Fall müssen die Behörden und Betriebe vorab klar festlegen, wer welche Daten auf welchen Datenträgern in welcher Weise verarbeitet darf.
„Nach dem risikobasierten Ansatz der DS-GVO kommt es für die gebotene Sicherheit der Verarbeitung darauf an, ob für die jeweilige Datenart die risikobegrenzenden technischen und organisatorischen Maßnahmen zu den Rechten der Betroffenen in angemessenem Verhältnis stehen“, heißt dazu es auf Seite 3 des Leitfadens.
Ist der Datenschutzbeauftragte beteiligt?
Die konkreten Arbeitsabläufe und die damit verbundenen Datenschutzrisiken kann der oder die Datenschutzbeauftragte der Behörde bzw. des Unternehmens am besten einschätzen.
Frage 5 im Leitfaden lautet deshalb: „Ist vor der Einrichtung der Telearbeit der betriebliche bzw. behördliche Datenschutzbeauftragte beteiligt worden?“
Gibt es eine Betriebsvereinbarung zu Homeoffice?
Auch eine Betriebs- bzw. Dienstvereinbarung zu Homeoffice bzw. Telearbeit hält der Landesbeauftragten für den Datenschutz Sachsen-Anhalt für sinnvoll:
„In einer Vereinbarung können die wesentlichen datenschutzrechtlichen Anforderungen und Verfahrensweisen festgelegt werden. Vorgaben werden transparent und für den einzelnen Beschäftigten nachvollziehbar“, heißt es auf Seite 4 des Leitfadens.
Ist alles klar geregelt?
Als weitere Schritte empfiehlt die Datenschutzbehörde in der Checkliste zum Beispiel:
- die Sensibilisierung der Beschäftigten bezüglich der erhöhten Risiken
- die Erstellung eines Sicherheitskonzepts für die konkreten Telearbeitsaufgaben
- klare Regelungen zum Vorgehen bei Datenpannen und zum sicheren Transport von Datenträgern und Geräten
- eindeutige Vorgaben für den Anschluss an häusliche Router und die Nutzung privater Geräte
- klare Aussagen zur Nutzung öffentlicher W-LAN-Hotspots und von Cloud-Diensten