Beachtung der Vorgaben der Datenschutzgesetze bei der Tele(heim)arbeit
Wenn Mitarbeiter häusliche Arbeitsplätze dauerhaft benutzen, müssen diverse rechtliche Anforderungen der Datenschutzgesetze erfüllt werden.
Im Rahmen einer Tele(heim)arbeit erfolgt in der Regel eine Übertragung personenbezogener Daten vom Standort des Arbeitgebers zu einem „entfernten“ Arbeitsplatz. Allerdings handelt es sich bei dieser Weitergabe von Daten weder um eine Datenübermittlung an Dritte noch stellt sie eine Auftragsverarbeitung durch Dritte dar. Es handelt sich vielmehr um eine Nutzung von Daten innerhalb der speichernden/verantwortlichen Stelle. Der Arbeitgeber bleibt weisungsbefugt, er bestimmt die Art und Weise, wie die Aufgaben zu erledigen sind.
Trotzdem sind natürlich auch bei dieser Art der Datenverarbeitung die gesetzlichen Vorschriften zu beachten. Soweit keine vorrangigen bereichsspezifischen Rechtsvorschriften bestehen, finden auf die Datenverarbeitung im häuslichen Bereich die Datenschutz-Grundverordnung (DSGVO) das Bundesdatenschutzgesetz (BDSG) bzw. ein Landesdatenschutzgesetz (für Landesbehörden) Anwendung.
So haftet der Verantwortliche grundsätzlich auch für ein Fehlverhalten von Telearbeitern. Eine persönliche Haftung dieser ist nur im Ausnahmefall möglich, sehr wohl aber eine Regressnahme, falls gegenüber dem Arbeitgeber aufgrund eines Fehlverhaltens seiner Bediensteten ein Bußgeld erlassen wird. Zudem ist auch bei Datenschutzverstößen im Homeoffice an eine eventuell notwendige Meldung an die Aufsichtsbehörden und/oder von der Datenschutzverletzung Betroffene zu denken.
Analog zu § 64 Abs. 3 BDSG sollte zudem im Rahmen einer Tele(heim)arbeit insbesondere gewährleistet werden, dass
- Unbefugte keinen Zugang zu Datenverarbeitungsanlagen erhalten, mit denen personenbezogene Daten verarbeitet werden, erhalten (Zugangskontrolle),
- die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle),
- personenbezogene Daten nicht unbefugt eingegeben, zur Kenntnis genommen, verändert oder gelöscht werden können (Speicherkontrolle),
- die Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte verhindert wird (Benutzerkontrolle),
- Datenträger nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Datenträgerkontrolle),
- überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),
- bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle),
- nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle),
- eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit),
- alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),
- gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität),
- personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
- zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit).