Aufgrund der aktuellen Corona-Pandemie erfährt unsere Gesellschaft noch nie erlebte Einschnitte in Freiheitsrechte zum Schutz des Einzelnen und der Gemeinschaft. Uns ist bewusst, dass in diesen Zeiten die Gedanken an den Datenschutz vermutlich eine untergeordnete Rolle spielen. Aufgrund der geltenden Einschränkungen halten wir es jedoch für umso wichtiger, dass die Freiheitsrechte der Mitarbeiterinnen und Mitarbeiter nicht zusätzlich weiter eingeschränkt werden. Daher geben wir Ihnen auf diesem Wege eine Hilfestellung an die Hand, damit auch in Zeiten der Corona-Pandemie personenbezogene Daten von Kunden, Beschäftigten und Geschäftspartnern im Home-Office weiterhin datenschutzkonform verarbeitet werden können. Einen besonderen Fokus legen wir im Folgenden auf das Verarbeiten personenbezogener Daten im Home-Office.
Beschäftigte im Home-Office
Angesichts der Schließung von Schulen, Kindertagesstätten, Geschäften sowie einer Vielzahl von Unternehmen haben Gesundheitsexperten sowie Politik dazu aufgefordert, wenn möglich – von zu Hause zu arbeiten, um die Ansteckungsgefahr und die damit verbundenen Auswirkungen so weit wie nur möglich zu minimieren.
Viele Arbeitgeber ermöglichen ihren Beschäftigten deshalb bereits das Arbeiten im Home-Office. Für andere Betriebe ist die derzeitige Situation nun Anlass, die Möglichkeiten für die Arbeit im Home-Office zu prüfen und hierfür entsprechende Regelungen zu schaffen. Die größte Herausforderung hierbei dürfte zweifelsfrei die Ausstattung mit Notebooks und dienstlichen Geräten sein. Wir beobachten, dass vermehrt die Nutzung privater Geräte für betriebliche Zwecke (Bring Your Own Device, BYOD) in Erwägung gezogen wird. Unternehmen haben als Verantwortliche, im Sinne von Art. 4 Nr. 7 EU-DSGVO, auch für die datenschutzkonforme Verarbeitung personenbezogener Daten im Home-Office ein ausreichendes Schutzniveau durch angemessene technische und organisatorische Maßnahmen zu gewährleisten.
Wenn über Notebooks aus dem Home-Office mit personenbezogenen Daten umgegangen wird, sollten ein paar Grundregeln berücksichtigt werden:
Neben der Pflicht zur Einrichtung und Aufrechterhaltung eines Virenschutzes sowie einer Firewall und deren regelmäßige Aktualisierung, müssen auch die Daten vom Firmenserver zum Arbeitsrechner gesichert übertragen werden (bspw. per VPN-Verbindung). Im Home-Office ist dann dafür Sorge zu tragen, dass geeignete häusliche Räumlichkeiten (z.B. abschließbares Zimmer) zur sicheren Aufbewahrung und der vertraulichen Behandlung von personenbezogenen Daten vorhanden sind, um diese gegenüber Dritten (Ehegatten, Mitbewohner, Kinder) zu schützen. Zudem muss der Zugang von Unberechtigten zu den Daten durch einen Benutzerzugang mit Passwort, einer automatischen Desktopsperre und beispielsweise der Ausrichtung des Bildschirms unterbunden werden.
Falls aufgrund dieser besonderen Situation private Geräte eingesetzt werden, sollte ein zusätzlicher Benutzer eingerichtet werden, dessen Zugangsdaten ausschließlich dem Beschäftigten bekannt sind. Private Daten sind strickt von beruflichen Daten zu trennen. Arbeitsergebnisse sollten daher bestmöglich weder lokal noch in privaten Cloud-Diensten gespeichert werden, sondern am besten in einer betrieblichen Umgebung.
Dokumente mit personenbezogenen oder betrieblich sensiblen Daten sollten nicht gedruckt werden. Ist dies dennoch erforderlich, so sind diese bei Abwesenheit an einem abschließbaren Ort (Schrank, Schublade, Raum) aufzubewahren. Werden die ausgedruckten Informationen nicht mehr benötigt, sollten diese direkt vor Ort geeignet vernichtet werden (Schredder) oder nach Rückkehr in das Unternehmen zur Vernichtung abgegeben werden und keinesfalls über die „blauen Tonne“ oder einen Papiercontainer entsorgt werden. Müssen Dokumente zwingend von der Arbeitsstätte zum Home-Office-Arbeitsplatz transportiert werden, sollte dies gesichert und der Situation entsprechend erfolgen. Während des Transportes sollten die Dokumente nicht unbeaufsichtigt zurückgelassen werden.
Findet eine Verarbeitung von personenbezogenen Daten im Auftrag im Home-Office statt, sollte die Vertragslage mit dem Auftraggeber geprüft werden. Häufig bedarf eine solche Verarbeitung der Daten der Zustimmung des Verantwortlichen. Dies hängt vom abgeschlossenen Auftragsverarbeitungsvertrag ab und sollte individuell geprüft werden.
Welche Sicherheitsmaßnahmen im Einzelnen für den jeweiligen Beschäftigten anzuwenden sind, sollte nach der Art der verarbeiteten Daten abgewogen werden. Je sensibler diese Daten sind, desto umfangreicher müssen die Maßnahmen im Home-Office sein.
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat hierzu eine Sonderinformation [LINK] für öffentliche Stellen herausgegeben und darin entsprechende Rahmenbedingungen für die Verwendung von Privatgeräten sowie die Nutzung von Cloud- und Messengerdiensten, zu dienstlichen Zwecken aufgestellt. Bitte beachten Sie, dass diese Informationen für die Verarbeitung von personenbezogenen Daten durch öffentliche Stellen herausgegeben wurden. Diese Rahmenbedingungen können für die datenschutzkonforme Umsetzung in Ihrem Unternehmen lediglich eine Orientierung geben.
Beschäftigte im Unternehmen
Was ist mit den Beschäftigten, welche zwingend vor Ort im Unternehmen sein müssen?
Maßnahmen, zur Bekämpfung des Corona-Virus in einem Unternehmen, gehen schnell mit der Erhebung besonderer personenbezogener Daten wie z.B. Gesundheitsdaten einher. Eine Verarbeitung durch den Arbeitgeber darf daher nur erfolgen, wenn dies zu Zwecken des Beschäftigtenverhältnisses tatsächlich erforderlich ist und das Interesse des Beschäftigten an der Nicht-Speicherung solcher Daten hierbei nicht überwiegt. Aufgrund der, sich aktuell überschlagenden, Ereignisse und der bislang nicht vorhandenen einheitlichen Leitlinie der europäischen Datenschutzaufsichtsbehörden, verbleibt eine gewisse Unsicherheit hinsichtlich der Zulässigkeit einzelner Maßnahmen. Wir fassen die uns erreichten Fragen im Folgenden in Form eines FAQ (Frequently Asked Questions) zusammen.
Q: Darf der Arbeitgeber fragen ob, der Beschäftigte mit dem Corona-Virus infiziert ist?
A: Grundsätzlich ist der Arbeitgeber nicht berechtigt, den Grund einer Erkrankung zu erfragen. Um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen, kann der Arbeitgeber jedoch ausnahmsweise nach einer Infektion fragen, um seiner Fürsorgepflicht für die weiteren Beschäftigten nachkommen zu können.
Q: Darf der Arbeitgeber bei Beschäftigten nachfragen, ob diese sich in (einem vom Robert-Koch-Institut als solches eingestuften) Risikogebieten aufgehalten haben oder mit einem Erkrankten Kontakt hatten?
A: Ja, der Arbeitgeber darf nach diesen Informationen fragen. Die erhobenen Daten dürfen jedoch nur zu Zwecken des präventiven Gesundheitsschutzes der Beschäftigten und Kontaktpersonen verarbeitet werden. Die erhobenen Daten müssen nach Beendigung der Pandemie unverzüglich gelöscht werden.
Q: Darf der Arbeitgeber namentlich mitteilen, wenn ein Beschäftigter an Corona erkrankt ist?
A: Nein, es darf lediglich Abteilungs-/Teambezogen ohne konkrete Namensnennung informiert werden. Der Schutz des infizierten Beschäftigten hat in jedem Fall Vorrang. Mitarbeiter mit direktem Kontakt zur infizierten Person sollten jedoch (ohne konkrete Namensnennung der/des Infizierten) informiert werden.
Q: Darf der Arbeitgeber eine Liste mit Beschäftigten in Kurzarbeit im Betrieb veröffentlichen?
A: Ja, hierbei sollte jedoch nur der Status „Anwesend“ und „Abwesend“ ohne weitere Daten verwendet werden. Der Grund der Abwesenheit (z.B. Urlaub, Kurzarbeit) sollte nicht differenziert gelistet werden.
Q: Darf der Arbeitgeber die privaten Kontaktdaten der Beschäftigten erfragen und veröffentlichen?
A: Ja, eine Veröffentlichung der privaten Kontaktdaten zur Sicherstellung der Kontaktaufnahme von Beschäftigten im Home-Office ist zulässig. Allerdings bedarf es hier einer vorherigen Einwilligung des Beschäftigten.
Q: Welche zusätzlichen Daten darf ein Unternehmen von Besuchern abfragen?
A: Neben den bisher üblichen Daten (Firma und Name), kann zusätzlich eine Möglichkeit zur Kontaktaufnahme (z.B. E-Mail-Adresse oder Mobilnummer) abgefragt werden. Hierbei sollte der Besucher darüber informiert werden, dass diese Daten lediglich zur Rückverfolgung stattgefundener Kontakte herangezogen und nach Ende der Pandemie/Zweckfortfall gelöscht werden.
Eine Beantwortung von konkreten Fragestellungen ist, wie so oft, pauschal und vorab leider nicht möglich. Sollten sie Fragen zur datenschutzrechtlichen Zulässigkeit einer Maßnahme oder deren Umsetzung in Ihrem Unternehmen haben, kommen sie gerne auf uns zu. Wir sind auch jetzt für Sie erreichbar.
Bleiben Sie gesund!