Corona-Pandemie: Datenschutz und Heimarbeit - Hinweise vom 23. März 2020

Um die Eindämmung der Ausbreitung des neuen Coronavirus (SARS-CoV-2) zu unterstützen, beabsichtigen Arbeitgeber derzeit vermehrt, von Heim- bzw. Telearbeit Gebrauch zu machen. Die Verarbeitung nicht personenbezogener Daten in Heimarbeit ist aus Sicht des Datenschutzes unkritisch. Auch der Verarbeitung personenbezogener Daten in Heimarbeit steht der Datenschutz in dieser Ausnahmesituation nicht grundsätzlich entgegen. Die Erstellung eines entsprechenden Konzepts sowie die datenschutzgerechte Einrichtung sicherer Heimarbeitsplätze bedürfen üblicherweise eines Zeitaufwands, der in diesen Wochen nicht zu leisten ist. Dennoch müssen Unternehmen und Verwaltungen den Datenschutz aber in einer der Situation angemessenen Weise sowie zugeschnitten auf die jeweiligen organisatorischen und technischen Voraussetzungen berücksichtigen. 

Zunächst gilt es, Prioritäten zu setzen: 

  • Analyse der aktuellen Risikobewertung bzw. der Infektionsschutzstrategien, aus denen sich die Notwendigkeit einer Anordnung oder Genehmigung von Heimarbeit ergibt. 
  • Ausschöpfung anderer arbeitsorganisatorischer Möglichkeiten, die geeignet sind, die vorgegebenen Gesundheitsziele zu erreichen (z. B. flexible Verteilung der Arbeitszeit, sodass möglichst wenige Beschäftigte gleichzeitig im Unternehmen bzw. in der Dienststelle anwesend sind; Erbringung der Arbeitsleistung an einem anderen Standort, um längere Fahrten im öffentlichen Personennahverkehr zu vermeiden). 
  • Eingrenzung der Aufgaben, für die eine Auslagerung in die Heimarbeit überhaupt infrage kommt, d. h. für die eine Präsenz im Unternehmen bzw. in der Dienststelle nicht erforderlich ist. 
  • Definition der Beschäftigtengruppen, für die Heimarbeit vorrangig infrage kommt (z. B. Personen, die einer Risikogruppe angehören; Sorgeberechtigte, die nicht in den Genuss einer Notbetreuung für Kinder gelangen und keine anderweitige, zumutbare Möglichkeit der Kinderbetreuung haben etc.). 
  • Vorrangige Nutzung bereits eingerichteter Heimarbeitsplätze sowie vorhandener dienstlicher Rechner (beispielsweise Laptops). 
  • Bewertung des Schutzbedarfs für personenbezogene Daten in Bezug auf ihre Eignung für die Verarbeitung in Heimarbeit bzw. auf die hierfür zu treffenden Maßnahmen. 
  • Einschränkung des Zeitraums der Heimarbeit in Abhängigkeit von der aktuellen Risikobewertung bzw. den Infektionsschutzstrategien. 

Für die Heimarbeit sind Vorkehrungen zu treffen, die den Datenschutzrechten sowohl der Beschäftigten als auch anderer betroffener Personen, deren Daten gegebenenfalls in Heimarbeit verarbeitet werden, soweit wie möglich Rechnung tragen. Dazu zählen Festlegungen zur Sicherstellung der gegenseitigen Erreichbarkeit sowie zu den erforderlichen technischen und organisatorischen Maßnahmen, wie beispielsweise: 

  • Sensibilisierung und möglichst schriftliche Verpflichtung der Beschäftigten zur Einhaltung der datenschutzrelevanten Maßnahmen. 
  • Gewährleistung einer sicheren Aufbewahrung von dienstlichen Unterlagen und Datenträgern im häuslichen Bereich, z. B. Verwahrung in verschlossenen Schränken. 
  • Verhinderung des Zugriffs Unbefugter – dazu zählen auch Angehörige der häuslichen Gemeinschaft sowie Besucherinnen und Besucher – auf die Daten sowie auf sicherheitsrelevante Informationen wie Passwörter oder Systemkomponenten wie Chipkarten. 
  • Sichere Vernichtung nicht mehr benötigter Papierakten oder Ausdrucke, die personenbezogene Daten enthalten (nicht über den Hausmüll), sowie sichere Löschung entsprechender Datensätze auf dem heimischen Rechner. 
  • Verbleib der Verantwortung beim Arbeitgeber; im Gegenzug Einräumung eines Kontrollrechts am häuslichen Arbeitsplatz. 
  • Im Ausnahmefall der Verwendung des heimischen Rechners Installation aller erforderlichen Updates und von Sicherheitssoftware wie beispielsweise Virenscanner oder Firewallsysteme sowie sichere Konfiguration des häuslichen Netzes einschließlich WLAN. 
  • Beschränkung der Verarbeitung personenbezogener Daten auf das unbedingt erforderliche Maß, nach Möglichkeit Anonymisierung und Pseudonymisierung. 
  • Verschlüsselte Übermittlung der personenbezogenen Daten und, je nach Sensitivität, auch verschlüsselte Speicherung. 

Für Maßnahmen zur Eindämmung der Corona-Pandemie gilt grundsätzlich, dass der Schutz der Gesundheit der Bevölkerung Vorrang hat und andere Grundrechte – auch der Datenschutz – eingeschränkt werden können. Auch wenn der Datenschutz aktuell nicht die Hauptsorge aller Beteiligten sein dürfte, müssen sowohl Unternehmen und Behörden als auch Beschäftigte aber im Blick behalten, dass seine Einschränkung nur möglich ist, wenn die Maßnahmen unbedingt erforderlich sind und auf die Dauer der Ausnahmesituation beschränkt bleiben. Für Fragen, wie dies konkret auszugestalten ist, stehen die Landesbeauftragte sowie ihre Mitarbeiterinnen und Mitarbeitern gerne zur Verfügung. 

 

(Stand: 23. März 2020)

Downloads