40. Europäischer Datenschutztag – Interview

Seit dem Beginn der Corona Pandemie, Anfang 2020, wurden immer mehr Menschen vom Büro ins Homeoffice geschickt. Bei vielen Unternehmen musste alles schnell und unvorbereitet umgesetzt werden und die Angestellten wurden zum Teil mit vielen offenen Fragen nach Hause geschickt.

Wir möchten euch, heute am 40. Europäischen Datenschutztag, gerne einige der Fragen beantworten und das Thema DSGVO im Homeoffice unter die Lupe nehmen. Wir haben uns dabei auf die am meisten gestellten Fragen konzentriert und die Ergebnisse in einem Video für euch festgehalten. 

Natürlich gibts es das Interview auch noch zum nachlesen und zusätzlich noch die Entstehung des Datenschutzes.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Video abspielen

Entstehungsgeschichte des Datenschutzes

Mit der Erfindung des photographischen Films durch Georg Eismann mit Kodaks „Snap Camera“ war die Stunde der Schnappschüsse geboren. Jeder konnte ein Bild machen!

Die amerikanischen Anwälte Brandeis und Warren erfanden Abwehransprüche „The Right to Privacy“ (Harward Law Review Vol IV December 15, 1890 Nr. 5). Das war die Entdeckung des Rechts auf Schutz personenbezogene Informationen, Inhalt des „Right to Privacy“:
,,Jedem Individuum steht das Recht zu, selbst zu bestimmen, inwieweit seine Gedanken, Meinungen und Gefühle anderen mitgeteilt werden sollen.”

Leider scheiterten die von Brandeis und Warren angeregten Gesetzesvorhaben im amerikanischen Kongress. Erst im Jahr 1974 kam es zur Verabschiedung des Privacy Act. Allerdings war das „Privacy to Right“ stark vom durch die eigenen vier Wände Sphäre gedacht und bezieht sich deshalb nicht auf die soziale Sphäre und den öffentlichen Raum.

Für große Aufregung sorgten dann Willy Wilcke und Max Christian Priester im Jahr 1898, als sie unerlaubt, über eine Fensterbank,in das Todeszimmer vom damaligen Reichskanzler Otto von Bismarck eingestiegen sind um vom Totenlager, Magnesium Blitzlichtaufnahmen, des Verstorbenen zu machen. Die Aufnahmen wurden im Nachhinein verkauft und die beiden Täter verhaftet. Wilke und Priester wurden mit fünf Monaten Gefängnis bestraft.

Im Jahre 1907 reagierte der Gesetzgeber mit dem Gesetz über das Urheberrecht an Werken der bildenden Künste und der Photographie (kurz: KunstUrhG). Der noch heute geltende § 22 KunstUrhG ordnet an, dass Bildnisse nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden dürfen.

Der Bundesgerichtshof formulierte im Jahre 1957. bei den sogenannten Spätheimkehrern, ein sogenanntes Allgemeines Persönlichkeitsrecht. Das allgemeine Persönlichkeitsrecht, schützt gegen alle Verletzungen der Eigensphäre der Persönlichkeit. Es erfasst auch Briefe oder sonstige Aufzeichnungen. Diese dürfen nicht ohne Zustimmung des noch lebenden Verfassers und der nur in der vom Verfasser gebilligten Weise veröffentlicht werden.  Diese dürfen in der Regel nicht ohne Zustimmung des noch lebenden Verfassers und nur in der vom Verfasser gebilligten Weise veröffentlicht werden (BGH v. 25.05.1954, BGHZ 13, 334 „Schacht-Briefe“).

Durch die technischen Fortschritte wie Telefon, Radio, Fernsehen und Fortschritte in der Abhörtechnik, kamen immer mehr Stimmen auf, die das Horrorbild vom Überwachungsstaat, analog der Novelle von Georg Orwell, skizzierten.

Im Jahr 1970 setzte sich das Land Hessen an die Spitze der Gesetzesinitiative für den Datenschutz, mit der Begründung die Orwellsche Vision des allwissenden Staates dürfe nicht Wirklichkeit werden. Das Ergebnis war das Hessische Datenschutzgesetz vom 7. Oktober 1970, entworfen von Professor Spiros Simitis. Simitis wurde auch der erste Datenschutzbeauftragte des Landes Hessen.

Der Bundesgesetzgeber folgte dann im Jahr 1977 dem hessischen Beispiel und verabschiedete das erste Bundesdatenschutzgesetz. Ab diesem Zeitpunkt mussten schon alle Unternehmen und alle staatlichen Stellen die personenbezogenen Daten der Bürger schützen.

Wichtig war von nun an, dass grundsätzlich die Erhebung, Speicherung und Nutzung der personenbezogenen Daten verboten ist. Trotzdem dürfen Daten folglich nur verarbeitet werden,

Das Stichwort heißt hier: Verbot mit Erlaubnisvorbehalt.

Erst mit dem Volkszählungsurteil des Bundesverfassungsgerichts im Jahr 1983, war das Grundrecht auf informationelle Selbstbestimmung, Ausfluss der grundgesetzlich geschützten Menschenwürde geboren.

Seitdem gilt, dass alle Beschränkungen (des informationellen Selbstbestimmungsrechts) einer gesetzlichen Grundlage bedürfen, aus der sich die Voraussetzungen und der Beschränkung klar und für den Bürger erkennbar ergeben und die damit dem rechtsstaatlichen Gebot der Normenklarheit entspricht.

Mit anderen Worten garantiert das informationelle Selbstbestimmungsrecht dem Einzelnen die Befugnis, selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu befinden

10 Fragen an Rechtsanwalt Jürgen Toppe

Was steckt hinter dem Datenschutztag und für wen ist dieser Tag besonders wichtig?

In der Tat wird dieser Tag als Datenschutztag seit 2007 in Europa gefeiert. Der Europäische Datenschutztag ist auf Initiative des Europarats ins Leben gerufen für den Datenschutz. Dieses Datum wurde gewählt, weil am 28. Januar 1981 die Europäische Datenschutzkonvention unterzeichnet worden ist. Das Ziel des Europäischen Datenschutztages ist es, die Bürger Europas für den Datenschutz zu sensibilisieren.

Wird der Datenschutz höher bewertet als der Gesundheitsschutz?

Stimmen dieser Art gibt es und gab es schon immer. Man sollte sich nur einmal die Entstehungsgeschichte des Datenschutzes ansehen. (mehr dazu am Anfang unseres Blogbeitrags)

Warum wird der Datenschutz denn immer noch so oft abgelehnt?

Viele Bürger sind der Meinung, dass sie nichts zu verbergen haben und geben ihre privaten Daten über WhatsApp, Twitter und Instagramm ein. Dabei vergessen sie oft, dass diese Daten und Bilder im Internet nicht wieder gelöscht werden.
Jeder kann sich diese Daten ansehen und sie entsprechend auslesen. Wenn wir im Internet surfen, geben wir preis, wofür wir uns interessieren. Das Suchverhalten wird analysiert und gespeichert. Die Webseiten, die wir besuchen, werden gespeichert und auch, wie wir mit diesen Daten interagieren.

Sobald wir uns mit unserem Smartphone oder PC im Internet einloggen, hinterlassen wir Spuren, die man zurück verfolgen kann. Unsere IP-Adresse ist wie eine normale Adresse. Jeder kann die Profildaten abrufen und für gewerbliche Zwecke ebenso nutzen wie für behördliche. Wir werden automatisch für andere transparent.

Mit anderen Worten ausgedrückt heißt dies: Datenschutz ist für jeden von uns wichtig, weil wir mit seiner Hilfe vor Datenmissbrauch geschützt werden. Der Datenschutz soll dafür sorgen, dass Verbraucher den Überblick darüber behalten, wofür Unternehmen und Organisationen über sie gespeicherte Daten nutzen.

Die DSGVO sieht vor, dass jeder Mensch der Speicherung und Verarbeitung seiner Daten aktiv zustimmen muss.
Die DSGVO ist noch einen Schritt weitergegangen und stärkt die Rechte des Einzelnen. Jeder hat nun ein Recht auf Auskunft über seinen personenbezogenen Daten zu erhalten. Ebenso kann er eine Kopie seiner Daten verlangen. Jetzt hat der Bürger eine Möglichkeit überhaupt zu sehen, welche Daten ein Unternehmen über ihn gespeichert hat. Und er kann diese Daten berichtigen und löschen lassen.

Durch den enormen Fortschritt der letzten Jahre ergeben sich ungeahnte Möglichkeiten, dadurch aber auch ungeahnte Gefahren. Während früher Daten ausschließlich analog aufgenommen wurden, geschieht das alles heutzutage digital und automatisiert. Teilweise weiß der Bürger gar nicht, wenn Daten über ihn erhoben und verarbeitet werden. Beispielsweise werden auf Websites ständig Daten erhoben, ohne dass der Nutzer zwangsläufig davon wissen muss. Diese Daten können sehr wertvoll sein, sei es aus persönlichen Gründen (vertrauliche Dinge) oder wirtschaftlichen Gründen (Konsumverhalten). Jeder User sollte aber ganz genau abwägen, welche Daten er freiwillig in das Internet einstellt. Die Brisanz der Daten ist nicht wirklich allen klar.

Wichtig ist immer sehr sparsam mit den Daten umzugehen und nur das bekanntzumachen, was für das bestimmte Anliegen wichtig ist. Es kann schnell passieren, dass Daten in fremde und kriminelle Hände gelangen. Stichwort: Identitätsdiebstahl, Verleumdung. Die Daten, die im Internet einmal erhoben bzw. verarbeitet worden sind, sind praktisch unmöglich zu löschen.

Gilt die DSGVO auch im Homeoffice?

Diese Frage kann ich mit einem einfachen JA beantworten. Auch im Home-Office gilt die DSGVO. Es bedarf einiger Maßnahmen, um im Home-Office eine angemessene Datensicherheit zu gewähren.

Viele Unternehmen haben ihre Mitarbeiter kurzfristig und teilweise nach wenig Vorbereitung ins Home-Office geschickt. In dieser Situation sehen sich Unternehmen mit organisatorischen Herausforderungen sowie mit vielfältigen rechtlichen Risiken konfrontiert. Zudem lauern gerade im Home-Office noch unbekannte Gefahren wie z.B. Cyberangriffe.

Dabei verfügen nicht alle Unternehmen über die technischen und organisatorischen Rahmenbedingungen für die Arbeit im Home-Office und ggf. die Nutzung privater Geräte und Software der Mitarbeiter. Zunächst einmal wird unter Home-Office jede Tätigkeit verstanden, welche auf die Informations- und Kommunikationstechnik gestützt und dabei ganz oder teilweise außerhalb der Geschäftsräume des Arbeitgebers verrichtet wird. Der Mitarbeiter kommuniziert in dieser Zeit virtuell via E-Mail, oder über das Telefon mit Kunden oder Arbeitskollegen.

Natürlich bringt das Arbeiten viele Vorteile mit sich, so z.B. schon allein die Verringerung von Arbeitswegen, den nervigen Staus. Mittlerweile gehört das Arbeiten im Home-Office zur Work-Life-Balance dazu. Durch die flexiblen Arbeitszeiten können sich Mitarbeiter entspannter den Tag einteilen, haben mehr Freizeit, was zu einer Steigerung der generellen Zufriedenheit und damit schließlich auch zu mehr Produktivität führt.

Worauf muss im Homeoffice aus Datenschutzgründen besonders geachtet werden?

Im Vorfeld ist immer zu prüfen, ob der Mitarbeiter richtig arbeiten kann. Dafür benötigt er eine gut funktionierende Internetverbindung. Auf der anderen Seite ist seitens des Arbeitgebers zu prüfen, wie hoch das Risiko eines Missbrauchs oder unbefugten Zugriffs beim Umgang mit personenbezogenen Daten angesichts der gegebenen konkreten Arbeitsabläufe einzustufen ist.

An dieser Stelle muss ich auf folgende Risiken im Home-Office hinweisen, die es zu bedenken gibt und auf alle Fälle zu vermeiden gilt:

  • Die einfachere Möglichkeit des Ausspähens von – Informationen
  • Offenlegung schützenswerter Informationen
  • Manipulation von Hard- und Software
  • Unbefugtes Eindringen in IT-Systeme
  • Fehlerhafte Zerstörung von Geräten oder Systemen
  • Ausfall von Geräten oder Systemen
  • Unberechtigte Nutzung oder Administration von Geräten und Systemen
  • Missbrauch von Berechtigungen
  • Datenverlust
  • Unbefugter Zugriff auf Geschäftsgeheimnisse

Wie kann der Datenschutz im Homeoffice am besten umgesetzt werden?

Um das Arbeiten im Home-Office sicher zu gestalten, müssen gewisse Sicherheitsmechanismen vorhanden sein. Dies gilt sowohl für den verwendeten Client (PC, Notebook) als auch für die Übermittlung von Daten an den Server des Unternehmens. Die verwendeten Endgeräte sind wie folgt zu konfigurieren:
  • Verschlüsselung im Home-Office
  • Identifizierungs- und Authentifizierungsmechanismus
  • Zugriffskontrolle Home-Office
  • Clean-Desk-Policy
  • Updates der Systeme im Home-Office
  • Firewall
  • Trennung von Daten
  • Integritätsprüfung
  • Fernwartung im Home-Office
  • Verfügbarkeit der Datenübertragung
  • Sicherstellung des Datenempfangs und der Datenübertragung

Wie können die erforderlichen Sicherheitsstandards für das Arbeiten im Home-Office gewährleistet werden?

Um Sicherheitsstandards im Home-Office zu gewährleisten, sollten die Unternehmen ganz konkrete Regelungen treffen. Home-Office unterliegt nicht nur dem Datenschutz, sondern hier sind auch arbeitsrechtliche und arbeitsschutzrechtliche Regelungen zu beachten. Man sollte auf folgendes achten:
  • Sicheres Passwortmanagement
  • Berechtigungskonzepte
  • W-Lan-Netzwerk
  • Sichere VPN-Verbindung
  • Arbeitszeitenregelung
  • Reaktionszeiten (Abruf von Informationen)
  • Phishing
  • Remote-Zugriff
  • Support (Benennung eines Mitarbeiters, der Ansprechpartner für Hard- und Softwareprobleme ist)
  • Umgang mit vertraulichen Informationen
  • Arbeitsmittel
  • Synchronisation von Datenbeständen
  • Datenkommunikation
  • Transport von Dokumenten und Datenträgern 
  • Erstellung eines Sicherheitskonzeptes
  • Meldeweg bei sicherheitsrelevanten Ereignissen
  • Verbot privater Software
  • Kontrolle der Sicherheitsvorgaben
  • Zugang der Berechtigten zu sensiblen personenbezogenen Daten nur Zwei-Faktor-Authentifizierung
  • Verbindung ausschließlich über VPN
  • Verschlüsselung der Daten (Ende-zu-Ende) inkl. Ablageverschlüsselung auf dem mobilen Gerät
  • Sperrung von USB-Zugängen und anderen Anschlüssen
  • Keine Anbindung von Druckern
  • Keine private Nutzung der beruflich zur Verfügung gestellten IT-Ausstattung
  • Regelmäßige Schulung der Angestellten zum datensicheren & datenschutzgerechten Umgang 
  • Vermeidung des Einsatzes von Smart-Home-Geräten (smarte Lautsprecher, digitale Assistenten)
  • Hohe Sensibilität bei Telefonaten im privaten und öffentlichen Raum

Wie ist der richtige Umgang mit Papierdokumenten?

Im Unternehmen gibt es für die Entsorgung von Papierdokumenten entsprechende Papiertonnen. Für das Home-Office ist hier im Einzelfall eine entsprechende Regelung zu treffen. Die Papierdokumente dürfen auf keinen Fall einfach in die häuslichen Mülltonnen geworfen werden; sie sind sach- und fachgerecht zu entsorgen. Hierfür ist für die datenschutzkonforme Entsorgung von Papiermüll die Aktenvernichtung gemäß der DIN 66399 bzw. ISO/IEC 21964 vorzunehmen.

Müssen Arbeitsgeräte von der Firma gestellt werden (PC, Handy)?

Hier gilt der grundsätzliche Hinweis, dass die Nutzung von privaten Geräten für betriebliche Nutzung nicht erlaubt werden soll, da die Kontrollmöglichkeiten für z.B. erforderliche Sicherheits-Updates etc. gänzlich fehlen oder nur eingeschränkt zur Verfügung stehen. Der Einsatz von „Bring your own device“ (BYOD) gilt nur in ganz wenigen Ausnahmen. Es gilt weiterhin der Grundsatz, das private Daten immer von beruflichen Daten zu trennen sind. In diesem Zusammenhang ist auch zu erwähnen, dass grundsätzlich der Einsatz von privater Software auf dienstlichen Geräten aufgrund des Lizenz- und Urheberrechts zu unterbinden ist.

Dürfen Arbeitgeber Homeoffice anwenden, wenn ja wie lange?

Vor einiger Zeit hätte ich diese Frage mit einem klaren Nein beantwortet. Der Chef darf seinen Mitarbeiter nicht gegen seinen Willen ins Home-Office schicken. Einige juristische Stimmen sehen unter der momentanen sehr extremen Pandemie-Situation den Arbeitgeber fast in der Pflicht, den Mitarbeiter ins Home-Office zu schicken.

Allerdings ergibt sich auch aus den Corona-Schutzverordnungen der Bundesländer – soweit ersichtlich – kein Corona-bedingtes Recht auf Home-Office. Zwar sieht z.B. § 4 Abs. 2 Satz 2 Nr. 3 der aktuellen Corona-Schutzverordnung des Landes Nordrhein-Westfalen (Verordnung zum Schutz vor Neuinfizierungen mit dem Coronavirus SARS-CoV-2 in der Fassung vom 06.11.2020) vor, dass Arbeitgeber „Heimarbeit“ zu „ermöglichen“ haben, „soweit dies unter Berücksichtigung dienstlicher Interessen sinnvoll umsetzbar und zu einer Verbesserung des Infektionsschutzes geeignet und verhältnismäßig ist“. Ein Anspruch des Arbeitnehmers auf Arbeit im Homeoffice wird durch diese Formulierung jedoch nicht begründet. Vielmehr legt der Wortlaut der Vorschrift nahe, dass ihr Regelungsgehalt nicht über die vorgenannten zivilrechtlich gebotenen Grundsätze hinausgeht, nach denen der Arbeitgeber verpflichtet ist, im Rahmen billigen Ermessens über den Einsatz des Arbeitnehmers im Home-Office zu entscheiden.

Es bleibt immer eine Frage der Abwägung zwischen den betrieblichen Belangen und dem Gesundheitsschutz des Arbeitnehmers. Wer aber zu Hause normal arbeiten kann, der dürfte auf ziemlich sicherem rechtlichem Boden stehen. Im produzierenden Gewerbe wird dies wohl nicht der Fall sein.

Grundsätzliche gilt aber: Keine einseitige Zuweisung eines Home-Office-Arbeitsplatzes
Ohne eine entsprechende Vereinbarung reicht das arbeitgeberseitige Direktionsrecht nicht, um den Arbeitnehmer einseitig ins Home-Office zu „schicken“. Der Arbeitnehmer kann diese Zuweisung ablehnen und sich hierbei auf den verfassungsrechtlich in Art. 13 GG verankerten Schutz der Privatwohnung berufen, der das Weisungsrecht begrenzt.

Arbeitnehmer können eine solche Weisung also zu Recht ablehnen, selbst wenn der Arbeitgeber eine Zustimmung des Betriebsrats zur Versetzung ins Home-Office gem. § 99 Abs. 1 i.V.m. § 95 Abs. 3 BetrVG eingeholt hat.

Für den Fall aber, dass sich der Mitarbeiter nicht an die Regeln hält, hat der Arbeitgeber natürlich die Möglichkeit diese Zusatzvereinbarung mit der Maßgabe aufzukündigen. Der Mitarbeiter hat dann seine Arbeitsleistung im Unternehmen vorzunehmen. Im extremen Fall kann der Arbeitgeber natürlich auch den Arbeitsvertrag kündigen.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING

Immer auf dem laufenden bleiben

Jetzt zum Newsletter anmelden!

Mit deiner Anmeldung erklärst Du dich mit unserem Datenschutz und AGB einverstanden.

CoCoWo Raum anfragen

  • TT Schrägstrich MM Schrägstrich JJJJ
  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Sprechen Sie uns an

Schneller geht’s nicht – schreiben Sie uns kurz und knapp was wir für Sie tun können!
  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.