„Aktuell werden verschiedene ‚Corona-spezifische‘ Datenschutzfragen an uns gerichtet“, berichtet Dr. Jörn Voßbein, mehrfach bestellter Datenschutzbeauftragter und skizziert die Fälle: Wenn es Mitarbeiter gibt, die sich mit Corona bzw. Covid-19 infiziert haben, so dürfen natürlich nicht die Mitarbeiternamen im Unternehmen genannt werden. Vielmehr ist der Belegschaft – sofern erforderlich – nur mitzuteilen, dass es einen Verdachtsfall gibt und ggf. durch Behörden eine häusliche Quarantäne angeordnet wurde. Auch hat der Arbeitgeber ein Fragerecht, ob Mitarbeiter aus einem Risikogebiet gemäß Robert-Koch-Institut kommt (beispielsweise nach Urlaubsrückkehr); mehr Fragerechte hat der Arbeitgeber in diesem Zusammenhang aber nicht.
„Ferner setzen wir uns aktuell mit organisatorischen Fragen auseinander, weil die Institutionen ihre Geschäftstäigkeiten auch in Zeiten einer drohenden Quarantäne aufrechterhalten wollen“, Dr. Voßbein weiter. „Gerade das Home-Office ist aktuell ein vieldiskutierter Lösungsansatz.“ Die Vorteile von Home-Office sind offensichtlich (losgelöst von der aktuten Situation rund um die Pandemie-Problematik): Das Arbeiten im Home-Office ermöglicht ein ungestörtes Arbeiten zu Hause nach dem persönlichen Lebensrhythmus. Es kann zu einer Integration von Beruf und Familie führen. Darüber hinaus spart das Home-Office durch weniger Fahrten zwischen Wohnung und Arbeitsstätte Kosten und Zeit, was zudem die Umwelt schonen kann. In Zeiten von Corona bietet das Home-Office außerdem den großen Vorteil, dass kein direkter sozialer Kontakt mit Kolleginnen und Kollegen besteht und somit die Ansteckungsgefahr gemindert wird.
Doch gibt es – ähnlich wie bei der Infektion mit Covid-19 – auch Gefährdungslagen beim Home-Office: So erfordert dieses Arbeiten ergänzende organisatorische Absprachen zwischen Mitarbeitern und Vorgesetzten sowie dem Arbeitgeber. So sollten Verfügbarkeitszeiten festgelegt werden. Aber auch Sicherheitsfragestellungen sind zu definieren. Neben einer grundsätzlichen Sensibilisierung im Hinblick auf Informationssicherheit und Datenschutz sollten zusätzlich Maßnahmen ergriffen und Vorgaben gemacht werden:
1. Es sollten ausschließlich firmeneigene und keine privaten Geräte (Laptops, Smartphones etc) genutzt werden. Ausnahmen sind nur dann möglich, wenn die tatsächliche Datenverarbeitung trotz privatem Endgerät auf den Firmen-Servern stattfindet (beispielsweise mittels Terminalsession).
2. Alle Unterlagen und sonstigen Datenträger mit vertraulichen Daten sind bei Nichtgebrauch und außerhalb der Arbeitszeiten in geeigneten (abschließbaren) Schränken aufzubewahren.
3. Nicht mehr benötigte Unterlagen sind zu vernichten (sofern im Home-Office keine sichere Vernichtung mittels Shredder möglich ist, sollten die Datenträger und Unterlagen sicher verwahrt und am Firmensitz vernichtet werden).
4. Sofern das heimische WLAN-Netzwerk genutzt werden soll, so sind auch hier Vorgaben zur sicheren Konfiguration zu machen.
5. Es ist klarzustellen, dass auch Familienangehörige als Firmenfremde gelten und als Unbefugte weder Laptop nutzen noch Unterlagen und Daten einsehen dürfen.
„Vielleicht sollte genau diese Situation auch zum Anlass genommen werden, die Mitarbeiter im Hinblick auf die Sicherheitsanforderungen wie Passwortgebrauch, Verhinderung der Einsicht von Unterlagen und Monitoren sowie der Vertraulichkeit des gesprochenen Worts bei Telefonaten noch einmal zu sensisibilisieren. Da E-Learning unabhängig von Ort und Zeit gut funktioniert, eignet sich diese Methode aktuell besonders gut“, so Dr. Voßbein weiter.
Darüber hinaus können noch weitere datenschutzrechtliche Fragestellungen im Kontext Home-Office aufkommen. Sofern alle Mitarbeiter von zu Hause aus arbeiten und dennoch erreichbar sein sollen, so kann die Telefonanlage oftmals so programmiert werden, dass die eingehenden Telefonate direkt auf das Diensthandy des Mitarbeiters weitergeleitet werden. Dies ist datenschutzrechtlich unproblematisch. Aktuell sollen auch einige Mitarbeiter im Home-Office arbeiten, die normalerweise nicht für einen solchen Arbeitsplatz vorgesehen sind und kein Diensthandy haben. Das Hinterlegen einer privaten Telefonnummer (egal ob Mobil- oder Festnetz) ist mangels anderer Rechtsgrundlage einwilligungspflichtig. Gleiches gilt im Übrigen, wenn die private Telefonnummer für laufende Informationen des Arbeitgebers an die Mitarbeiter im Rahmen der Corona-Maßnahmen genutzt oder wenn ein privates Smartphone dafür genutzt werden soll, um eine „Soft-Token-App“ zur Absicherung des VPN-Zugangs zu installieren.
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de