Tipp KW 34-2014

work@home & Datenschutz (Teil 1)

Als Telearbeit gelten Beschäftigungsformen, bei denen Angestellte ihre Aufgaben zumindest teilweise nicht im Büro des Unternehmens verrichten, sondern an anderer Stelle, in den meisten Fällen im Homeoffice, also einem Arbeitsplatz in der eigenen Wohnung. Vor dem Hintergrund einer fortschrittlichen Gleichstellungs- und Familienpolitik und der zunehmenden Flexibilisierung von Arbeit, bei immer weitreichenderen technischen Möglichkeiten, spielt die Arbeit im Homeoffice eine immer größere Rolle.

Zur Erledigung im Homeoffice sind grundsätzlich alle Tätigkeiten geeignet, für die der Computer das entscheidende Arbeitsmittel ist. Da es bei diesen Tätigkeit regelmäßig um elektronische Datenverarbeitung geht und dabei auch personenbezogene Daten verarbeitet oder genutzt werden können, stellt sich die Frage, wie die Vorschriften des Bundesdatenschutzgesetzes (BDSG) in diesen Fällen erfüllt werden können.

Die Arbeit im Homeoffice entkoppelt zwar einerseits die Arbeit vom Standort des Unternehmens und damit auch von herkömmlichen arbeitgeberseitigen Kontroll- und Weisungsbefugnissen, andererseits lassen sich so ganz andere als die bisher bekannten Formen der Beobachtung und Auswertung von Arbeitsergebnissen um- und durchsetzen. Zumindest bestehen hierzu die technischen Möglichkeiten und aus der Verpflichtung im Rahmen des § 9 BDSG auch die Notwendigkeit deren Einsatzes.

Die Unternehmen müssen auch im Homeoffice die technischen und organisatorischen Maßnahmen gem. der Anlage zu § 9 BDSG treffen, um den gesetzlichen Anforderungen zum Schutz der Daten gerecht zu werden. Dazu gehören:
Zutrittskontrolle: Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.
Zugangskontrolle: Es ist zu verhindern, dass die Datenverarbeitungssysteme von Unbefugten genutzt werden können.
Zugriffskontrolle: Unternehmen müssen gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Weitergabekontrolle: Es muss gewährleistet sein, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
Eingabekontrolle: Es muss nachträglich möglich sein, zu überprüfen und festzustellen, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
Auftragskontrolle: Personenbezogene Daten, die im Auftrag verarbeitet werden, dürfen nur entsprechend den Weisungen des Auftraggebers verarbeitet werden.
Verfügbarkeitskontrolle: Personenbezogene Daten müssen gegen zufällige Zerstörung oder Verlust geschützt sein.
Trennungsgebot: Zu unterschiedlichen Zwecken erhobene Daten müssen getrennt verarbeitet werden können.
Da der Telearbeiter seine Arbeit jedoch nicht im Gebäude seines Arbeitgebers verrichtet, muss der Arbeitgeber, um seinen gesetzlichen Kontrollpflichten nachzukommen, zusätzlich die zumindest theoretische Möglichkeit zum Zugang zur Wohnung des Telearbeiters haben. Insofern besteht ein Konflikt zwischen der Unverletzlichkeit der Wohnung (Art. 13 GG) und den datenschutzrechtlichen Kontrollpflichten. Da der Arbeitgeber kein grundsätzliches Zutrittsrecht hat, bedarf es hierzu einer arbeitsvertraglichen Regelung.

Wie sich der Besuch durch den Arbeitgeber im Homeoffice des Arbeitnehmers durch technische Maßnahmen ersetzen lässt und alle Kontrollmaßnahmen auch über die Distanz erfüllt werden können, erfahren Sie in der nächsten Woche.

– Felix Prömel (Junior Berater)
junokai

Zurück