Aufgrund der aktuellen Lage hat sich der Arbeitsplatz vieler Arbeitnehmerinnen und Arbeitnehmer in den letzten Tagen nach Hause ins Home-Office verschoben. Dies erforderte in vielen Fällen einiges an Organisation und wohl auch Improvisation. Zwar steht der Datenschutz bei der Bewältigung der gegenwärtigen Herausforderungen naturgemäss nicht an erster Stelle, doch gelten seine Regeln weiterhin und auch im Home-Office.
Die Datenschutzstelle hat für die Einhaltung datenschutzrechtlicher Regeln am Arbeitsplatz vor einiger Zeit eine Liste mit einfachen „Dos and Don’ts“ veröffentlicht. Diese Liste gilt selbstredend unabhängig davon, wo sich der Arbeitsplatz genau befindet, also auch im Home-Office. Sie kann auf der Internetseite der Datenschutzstelle im Detail hier nachgelesen werden.
Kurz zusammengefasst steht beim Arbeiten im Home-Office für die Arbeitnehmerinnen und Arbeitnehmer insbesondere der Schutz der Vertraulichkeit personenbezogener Daten im Vordergrund. Je sensibler und damit schützenswerter personenbezogene Daten sind, desto stärker sind sie zu schützen. Das bedeutet, es ist stets darauf zu achten, dass
- der Transport von Datenträgern grundsätzlich persönlich oder durch vertrauenswürdige Dienste erfolgt. Erfolgt der Transport mittels USB-Stick, ist dieser zu verschlüsseln;
- grundsätzlich nur die vom Arbeitgeber bereitgestellte oder genehmigte Hard- und Software genutzt wird und möglichst keine privaten USB-Sticks oder privaten E-Mail-Adressen zum Einsatz kommen; besonders kritisch zu sehen ist die Umleitung beruflicher E-Mails auf private Postfächer;
- die vom Arbeitgeber zur Verfügung gestellte IT-Infrastruktur nicht privat genutzt wird, z.B. für Hausaufgaben der Kinder;
- der Computer stets gesperrt wird, wenn man den Arbeitsplatz zu Hause auch nur für kurze Zeit verlässt;
- keine unsicheren WLAN-Verbindungen mit betrieblichen Geräten und Medien genutzt werden;
- Daten grundsätzlich in den Verzeichnissen von Servern oder zentralen IT-Systemen des Arbeitgebers gespeichert werden, die für die Arbeitnehmerinnen und Arbeitnehmer freigegeben sind. Ausnahmen sind zulässig, wenn eine Internet-Anbindung an die zentralen IT-Systeme und damit eine Speicherung auf den firmeninternen IT-Systemen nicht möglich ist. In diesen Fällen dürfen personenbezogene Daten auf den von den Mitarbeitenden im Home-Office verwendeten Geräten gespeichert werden. Eine Verschlüsselung ist jedenfalls sicherzustellen;
- Unterlagen mit personenbezogenen Daten nicht offen herumliegen und von unbefugten Dritten eingesehen werden können, wie z.B. auf dem Küchentisch, und dass sie nach getaner Arbeit sorgfältig verstaut werden, wenn immer möglich in abschliessbaren Räumen oder Schränken;
- vertrauliche Telefonate in geschlossenen Räumen ohne unbefugte Mithörer geführt werden, und nicht z.B. im Garten oder in Anwesenheit der ganzen Familie;
- nicht mehr benötigte Dokumente mit personenbezogenen Daten fachgerecht, zumindest zerrissen in kleine Stücke, entsorgt werden und nicht als Ganzes z.B. im Altpapier oder Abfall;
- Arbeitnehmerinnen und Arbeitnehmer eventuelle Datenschutzverletzungen unverzüglich an den Arbeitgeber bzw. falls ein solcher vorhanden ist, an den oder die Datenschutzbeauftragte(n) melden. Ein Datenschutzverstoss liegt insbesondere vor, wenn die Annahme besteht, dass die Datensicherheit, insbesondere die Vertraulichkeit von Daten, gefährdet sein kann. Ebenso kann es zu einer Verletzung kommen, wenn Dritte unbefugt Zugriff oder Zugang zu personenbezogenen Daten haben oder hatten bzw. Daten verloren gingen.
Der Arbeitgeber hat sich nebst der Vertraulichkeit auch um die Verfügbarkeit und Integrität der Daten sowie die Belastbarkeit der Systeme zu kümmern und den Arbeitnehmerinnen und Arbeitnehmern eine entsprechend geschützte IT-Infrastruktur für die Arbeit im Home-Office zur Verfügung zu stellen.
Darüber hinaus sind gerade Arbeitnehmerinnen und Arbeitnehmer, für die Home-Office eine neue Situation darstellt, speziell auf die Beachtung des Datenschutzes und dessen Anwendung im Home-Office hinzuweisen.