Aktuelles

Arbeiten im Home-Office – was ist zu beachten? (Stand März 2020)

In der aktuellen Situation bedeutet für viele Berufstätige eine Tätigkeit im Homeoffice die einzige Möglichkeit zu arbeiten. Um sich und andere Menschen zu schützen, ist dies ein bewährtes Mittel. Allerdings sollte dabei nicht der Datenschutz vergessen werden. Was bei der Arbeit im Homeoffice datenschutzrechtlich zu beachten ist, stellen wir Ihnen in Kurzform zusammen. Die Auflistung ist nicht abschließend – wenn Sie Fragen haben oder weiterführende Informationen wünschen, melden Sie sich gerne.

Vorab: Wenn Sie oder Ihre Mitarbeiter im Home-Office arbeiten möchten, muß das Unternehmen die gleichen datenschutzrechtlichen Regeln der DSGVO beachten, wie bei der Arbeit in den offiziellen Büroräumen.

  • Daten dürfen nicht von Dritten eingesehen werden (beachten Sie bitte die Vertraulichkeit – DSGVO und GeschGehG)
  • Arbeiten Sie wenn möglich in einem separaten, abschließbaren Raum
  • Verschliessen Sie alle Unterlagen nach Arbeitsende in einem Schrank oder Raum
  • Die vom Arbeitgeber zur Verfügung gestellte IT-Infrastruktur sollte nicht privat genutzt werden
  • Sperren Sie Ihren PC / Notebook bei Nichtbenutzung (3 Minuten)
  • Lassen Sie niemand anderes an dem PC / Notebook arbeiten
  • Leiten Sie keine beruflichen E-Mails an private E-Mail-Adressen weiter
  • Keine Speicherung von Daten auf privaten USB-Sticks oder privaten PC / Notebooks
  • Vernichten Sie die Unterlagen datenschutzkonform – Shredder o.ä.

Aufgaben und Pflichten für Arbeitgeber:

  • Stellen Sie Ihren Beschäftigten eine IT-Infrastruktur zur Verfügung, die den datenschutzrechtlichen Vorschriften entspricht, z.B.
    • Notebook mit verschlüsselter Festplatte
    • vom Arbeitgeber verschlüsselte USB-Sticks
    • Firmentelefon / Mobiltelefon
    • etc.
  • Bereitgestellte Systeme sind mit einem Benutzernamen und Kennwort zu versehen
  • Zugriffe auf die IT-Infrastruktur des Unternehmens sollte mittels einer gesicherten Leitung möglich sein (z.B. VPN)
  • Prüfen Sie vorher die Belastbarkeit Ihrer IT-Infrastruktur, ob die Performance Ihrer IT-Systeme gewährleistet ist
  • Erstellen Sie vorab ein Konzept mit Handlungsanweisungen für die Nutzung des Home-Office

______________________________________________________________________________

Beschäftigtendatenschutz – was ist zu beachten? (Stand März 2020)

Angesichts der Corona-Krise stehen die Unternehmen vor der Frage, welche Maßnahmen sie gegen die Ausbreitung des Virus ergreifen dürfen. Viele Beschäftigte fragen sich wiederum, was sie über sich preisgeben dürfen oder sogar müssen. Datenschutz ist aktuell sicher nicht die Hauptsorge, dennoch kann die Kenntnis der zulässigen Maßnahmen helfen, effektiv gegen den Corona Virus vorzugehen. In diesem Beitrag möchten wir daher eine Übersicht bieten, was datenschutzrechtlich bei der Umsetzung von Maßnahmen gegen den Coronavirus (COVID-19) zu beachten ist.

Beschäftigtendatenschutz

Maßnahmen gegenüber Mitarbeitern

Disclaimer: Man kann angesichts der aktuell angespannten Lage und der sich überschlagenden Ereignisse nicht abschließend und endgültig sagen, welche Maßnahmen zulässig und welche unzulässig sind. So gibt es bisher keine einheitliche Linie der europäischen Datenschutzaufsichtsbehörden. Es verbleiben also Unsicherheiten hinsichtlich der Zulässigkeit von Maßnahmen.

Zulässige Maßnahmen

Nach einer rechtlichen Prüfung und aktuellen Veröffentlichungen sind folgende Maßnahmen zulässig:

  • Erhebung von Informationen, ob ein Beschäftigter in einem Risikogebiet war oder mit einem Erkrankten direkten Kontakt hatte, z.B. die Befragung von Urlaubsrückkehrern, ob sie sich in einem Risikogebiet aufgehalten haben.
  • Nach Aufforderung durch Gesundheitsbehörden: Die Übermittelung von Daten über erkrankte Beschäftigte, über Beschäftigte mit Aufenthalt in Risikogebieten oder Kontakte zu Infizierten an die Behörden.
  • Freiwillige Selbstauskunfts- oder Fragebögen zu Aufenthaltsort und Symptomen.
  • Freiwillige Fiebermessung entweder durch den Beschäftigten selbst oder einen Betriebsarzt.
  • Im Falle eines positiven Befunds bei einem Mitarbeiter (durch eine offizielle Stelle) oder sogar bei einem bestätigten Kontakt zu einer positiv getesteten Person, dürfen Informationen über den betroffenen Mitarbeiter verarbeitet werden, z.B. Zeitpunkt und enge Kontaktpersonen sowie ergriffe Maßnahmen (so die französische Datenschutzaufsicht).
  • Nur im Einverständnis mit Beschäftigten: Erhebung der aktuellen privaten Handynummern oder andere Kontaktdaten von der Belegschaft, zur Information bei Schließung des Betriebs oder in ähnlichen Fällen (so Handbuch „Betriebliche Pandemieplanung“ Bundesamt für Bevölkerungsschutz und Katastrophenhilfe)

Unzulässige Maßnahmen

  • Arbeitgeber dürfen den Beschäftigten nicht unter Nennung des konkreten Namens mitteilen, dass ein bestimmter Mitarbeiter am Virus erkrankt ist, da die Kenntnis von der Corona-Erkrankung eines Mitarbeiters für diesen zu einer enormen Stigmatisierung führen kann. Stattdessen können Abteilungs-/ bzw. Teambezogen ohne konkrete Namensnennung Maßnahmen ergriffen werden. Mitarbeiter mit direktem Kontakt zu Infizierten sollten gewarnt und vorübergehend freigestellt werden.
  • Die pauschale Befragung aller Mitarbeiter zu Reisezielen (ohne konkrete Anhaltspunkte oder Reise).
  • Die pauschale Befragung aller Mitarbeiter zu ihrem Gesundheitszustand (z.B. über Grippesymptome).
  • Eine Meldepflicht für Mitarbeiter, wenn ein Kollege Symptome zeigt (italienische Datenschutzaufsicht).
  • Die verpflichtende Fiebermessung von Mitarbeitern am Eingang des Betriebsgeländes oder ähnliche medizinische Maßnahmen (z.B. Rachenabstriche für Speichelproben). Nachanderer Ansicht sind Fiebermessungen zulässig, wenn die Ergebnisse nur für eine Einlasskontrolle mit Entscheidung Zutritt ja/nein genutzt werden.

Alternative Maßnahmen

Es sollten zunächst immer auch alternative Maßnahmen ohne Verarbeitung von personenbezogenen Daten erwogen werden:

  • Strengere Hygienevorschriften, z.B. die Aufforderungen zur Desinfektion der Hände.
  • Handlungsempfehlungen, z.B. Ermöglichung vonHomeOffice, die Bitte um vorrangig telefonischen Kontakt oder Videokonferenzen.
  • Zugangssperren sensibler Bereiche, Einschränkung von Besuchsmöglichkeiten.
  • Aufklärungsmaßnahmen, Einrichten einer Hotline zur Beratung

2.   Maßnahmen gegenüber Besuchern

Bei Besuchern ist daher keine Rechtsgrundlage, außer die Einwilligung der Person ersichtlich. Eine Einwilligung muss zudem immer freiwillig und informiert sein. Es ist daher schwierig, über eine Einwilligung alle Besucher einschließende Maßnahmen umzusetzen.

Hintergrund: Gegenüber Besuchern kann sich der Arbeitgeber nicht auf die Rechtsgrundlage des § 26 Abs. 3 BDSG berufen. Auch sind andere Rechtsgrundlagen nicht ersichtlich. Der
deutsche Gesetzgeber hat von den in Art. 9 DSGVO gegebenen Möglichkeiten, spezielle Gesetze zum Schutz vor Epidemien/Pandemien zu erlassen und dazu Unternehmen eine Verarbeitung von Gesundheitsdaten zu gestatten, nach derzeitigem Stand keinen Gebrauch gemacht.

Für weitere Fragen stehen wir Ihnen gerne zur Verfügung. Aufgrund der aktuellen Situation erreichen Sie uns am besten per Telefon oder E-Mail

Ihr Team von radtkeMARKETING