Datenschutz bleibt auch in Zeiten der Krise ein wichtiges Gut. Doch die Maßnahmen, die Unternehmen gegen die Verbreitung des Coronavirus ergreifen müssen, stellen auch die DSGVO-Beauftragten vor eine Herausforderung. Das betrifft sowohl die Verarbeitung von Gesundheitsdaten von Mitarbeitern, als auch sensible Firmendaten bei der Umstellung auf Homeoffice.
Datenschutz im Homeoffice
Corona und Datenschutz: Was Unternehmer jetzt beachten sollten
Die Corona-Krise bringt gravierende Einschränkungen mit sich – auch mit Blick auf das ein oder andere Recht. Doch wie sieht es mit dem Datenschutz aus? Wird auch dieser Bereich von Krisen-Maßnahmen ausgehöhlt? Andreas Sutter, Head of Data Protection bei disphere interactive und DUB Akademie-Experte, über sensible Gesundheitsdaten und welche besonderen Herausforderungen gerade auch das Homeoffice für Arbeitgeber wie Arbeitnehmer birgt.
25.03.2020
Andreas Sutter
Andreas Sutter ist Head of Data Protection bei disphere interactive und DUB Akademie Experte
Wieso ist das Thema Datenschutz trotz der aktuellen Krisenlage wichtig?
Andreas Sutter: In der derzeitigen Lage werden zum Wohl aller bestimmte Grundrechte stark eingeschränkt. Das gilt aber nicht für alle Grundrechte. Das Recht auf den Schutz der personenbezogenen Daten ergibt sich sowohl aus der Grundrechte-Charta der EU als auch aus dem Grundgesetz. Dieses Grundrecht gilt es, gerade auch in dieser Zeit zu wahren. Der respektvolle Umgang mit Daten ist Zeichen der Wertschätzung Kunden, Bewerbern und Mitarbeitern gegenüber und sollte auch in Notlagen nicht leichtfertig über Bord geworfen werden. Im Gegenteil: Datenschutz ist auch ein Zeichen der Solidarität, die wir uns in solchen Zeiten besonders wünschen. Daher werden weder die Behörden noch die Betroffenen im Schadensfall besonders nachgiebig sein.
Bezüglich der Datensicherheit: Wie sollte innerhalb eines Unternehmens kommuniziert werden, dass ein Mitarbeiter/eine Mitarbeiterin an Corona erkrankt ist? Was muss beachtet werden?
Sutter: Auf den besonderen Schutz der Mitarbeiterdaten sollte jedes Unternehmen allergrößten Wert legen. Aufgrund des Umfangs und der Dauer der Datenverarbeitung ist hier das Risiko oft deutlich höher als beispielsweise beim Schutz von Kundendaten. Aus diesem Grund sollten nur bestimmte Personengruppen wie die Personalabteilung auf private und Gesundheitsdaten von Mitarbeitern zugreifen dürfen.
Im Falle einer Pandemie oder Epidemie gibt es hier aber eine Ausnahme. Der Arbeitgeber hat auf der einen Seite eine besondere gesundheitliche Fürsorgepflicht seinen Beschäftigten gegenüber, auf der anderen Seite wird er auch allein aus wirtschaftlichen Gründen ein Interesse daran haben, dass der Betrieb nicht vollständig wegen einer Quarantäne geschlossen wird. Daher wird er erfahren wollen, wer mit einem infizierten Beschäftigten Kontakt hatte, oder ob ein Mitarbeiter seinen Urlaub in einem Risikogebiet zugebracht hat und wird andere Mitarbeiter darüber informieren wollen.
Diese besondere Datenverarbeitung ist auch unter dem Blickwinkel des Datenschutzes legitim und durch die Behörden gestattet. Allerdings müssen dabei trotzdem bestimmte formelle Anforderungen beachtet werden. So müssen die Beschäftigten ergänzend über die Verarbeitung nach Art. 13 DSGVO durch Aushänge oder per Mail informiert werden. Auch sind besondere technische und organisatorische Maßnahmen erforderlich, damit diese Daten insgesamt weiterhin geschützt bleiben und nicht an Dritte gelangen.
Ein grundsätzliches Problem der Homeoffice-Arbeit ist, dass nicht die gleichen Sicherheitsvorkehrungen umgesetzt werden können wie am Geschäftssitz. Welche technischen und organisatorischen Sicherungsmaßnahmen sollten im Fokus sein?
Sutter: Die technischen und organisatorischen Maßnahmen im Datenschutz müssen im Homeoffice noch höher sein, als am Geschäftssitz, da das Risiko auch höher ist als am gewohnten Arbeitsplatz. Die Antwort auf Ihre Frage ist insgesamt nicht ganz einfach. Auf der einen Seite sind so viele Bereiche zu berücksichtigen, dass IT-Sicherheitsfachleute sprichwörtlich graue Haare bekommen. Auf der anderen Seite lassen sich viele Punkte mit gesundem Menschenverstand lösen. Daher ist die wichtigste Maßnahme, betroffene Mitarbeiter richtig einzuweisen. Das darf auch in den aktuellen Krisenzeiten nicht zu kurz kommen. In jedem Fall gilt auch für das Home-Office ein Grundprinzip der technischen und organisatorischen Maßnahmen: Jede Maßnahme ist besser als keine Maßnahme. Welche Gedanken man sich auch aktiv um den Datenschutz macht: alles ist besser, als gedankenlos zu handeln.
Welche datenschutzrelevanten Abläufe werden Ihrer Meinung nach bei der Homeoffice-Arbeit am meisten missachtet? Vor welchen Fehlern sollte man sich besonders hüten?
Sutter: Eine typische Schwachstelle im Home-Office, die Schutzmaßnahmen des Arbeitgebers erfordert, ist beispielsweise die Netzwerksicherheit im Heimnetzwerk des Mitarbeiters. Nicht nur das WLAN selbst bildet ein Eintrittstor für den Zugriff von Fremden, sondern auch die privaten Geräte, die damit verbunden sind wie das Smartphone oder Drucker und Funk-Tastaturen. Die Kommunikation mit den Vorgesetzten oder von den Mitarbeitern untereinander muss vertraulich bleiben und verschlüsselt werden. Aber auch offline gibt es Risiken: Geräte und Unterlagen können auf dem Weg nach Hause gestohlen werden und Betriebsfremde erhalten potentiell Zugang dazu oder vernichtete Akten landen im Hausmüll. Aber wie so oft stellt auch hier der Mensch das höchste Sicherheitsrisiko dar. Lassen wir einmal die Lebenswirklichkeit sprechen: im Home-Office ist die Ablenkungsgefahr höher als in der normalen betrieblichen Umgebung. Das gilt gerade jetzt, wenn die ganze Familie zu Hause bleibt. Die entstehende Unkonzentriertheit kann schnell zu kleinen Nachlässigkeiten führen, die oft verantwortlich für kleine und mittlere Datenschutzverletzungen sind. Der Arbeitgeber trägt hier die Verantwortung, die Mitarbeiter ausreichend zu sensibilisieren. Denn es geht hier eben nicht nur darum, Vorschriften zu befolgen.
Ihr DSGVO-Paket für Datensicherheit bietet weitreichende Informationen zum Thema Datensicherheit im Home-Office. Erläutern Sie kurz die Kernthemen dieser Pakete.
Sutter: Unser Paket umfasst Erste-Hilfe-Maßnahmen zum Umgang mit den wesentlichen Datenschutzfragen, die sich aus der besonderen aktuellen Situation für die Unternehmer ergeben. Dazu gehören praktische Hinweise, Checklisten für die Sicherheitsmaßnahmen, Mustertexte zur Erfüllung der formellen Anforderungen und Vorschläge zur Umsetzung. Die Erste-Hilfe und die betriebliche Praxis stehen dabei im Fokus. Es kann natürlich eine umfassende Beratung durch einen Datenschutz-Experten nicht ersetzen. Möglicherweise erkennt der eine oder andere Unternehmer bei dieser Gelegenheit auch, dass er das gesamte Thema unter anderen Blickwinkeln neu betrachten möchte. Für eine individuelle Beratung und Unterstützung stehen wir mit unserer Data-Protection-Abteilung bei disphere interactive daher außerhalb des Pakets gerne zu Verfügung. Machen Sie keine Fehler – denn auch in Krisenzeiten kennen Behörden bei Verstößen kein Pardon! Die DUB Akademie stellt Ihnen deshalb exklusiv das Home Office Datenschutz und IT-Security-Paket für Unternehmen im Wert von 350€ und mehr als 30 Seiten für nur 49€ (netto) zur Verfügung! Das DSGVO-Erste-Hilfe-Paket enthält: - Erste-Hilfe Maßnahmen zum Beispiel für die häufigsten Fehler im Homeoffice - praktische Hinweise - Checklisten für Sicherheitsmaßnahmen - Mustertexte Alle Informationen erhalten Sie per Mail unter akademie@dub.de oder auf dub-akademie.de