Tätigkeiten im Homeoffice unterliegen vom Grundsatz her keinen datenschutzrechtlichen Besonderheiten. Auch wenn die Datenschutzbehörden im Zuge der plötzlichen pandemiebedingten Umstellung auf Homeoffice bzgl. des Datenschutzes "Nachsicht haben walten lassen", müssen sich Arbeitgeber darauf einstellen, dass im Bereich "mobiler Arbeit" zukünftig datenschutzkonforme, belastbare und tatsächlich gelebte Konzepte gefordert, überprüft und bei Nichtvorliegen sanktioniert werden (vgl. Suwelack a.a.O., 561).
Da die Arbeitnehmer beim Umgang mit personenbezogenen Daten im Homeoffice dem räumlichen Kontroll- und Einflussbereich des Arbeitgebers entzogen sind, rücken die erforderlichen technischen und organisatorischen Maßnahmen (kurz: TOM) nach Art. 32 DSGVO in den Fokus (vgl. Bertram/Walk/Falder a.a.O., S. 21 ff.). Der Arbeitgeber muss bei der Umstellung auf bzw. der Einrichtung des Homeoffice seinen datenschutzrechtlichen Organisations- sowie Überwachungspflichten in besonderer Weise gerecht werden, um eine Haftung bestmöglich auszuschließen (zur Haftung des Arbeitnehmers im Homeoffice allgemein Wilhelm NZA 2021, 15; Ricken a.a.O., 255 ff.). Dabei muss er sicherstellen, dass die Grundsätze der Informationssicherheit eingehalten werden, und daher insb. die Vertraulichkeit, die Integrität und die Verfügbarkeit der jeweiligen Daten sichergestellt sind (vgl. Suwelack a.a.O., 561 m.w.N.; Dury/Leibold ZD-Aktuell 2020, 04405). Die Tätigkeit im Homeoffice stellt eine besondere datenschutzrechtliche Herausforderung dar, da die Anzahl der potenziellen Risiko- und Störquellen deutlich erhöht ist und zugleich die Einfluss- und Kontrollmöglichkeiten des Arbeitgebers reduziert sind (vgl. Bertram/Walk/Falder a.a.O., S. 21).
Um eine gesetzeskonforme Verarbeitung personenbezogener Daten im Homeoffice entsprechend der datenschutzrechtlichen Zweckbindung sowie Vertraulichkeit zu gewährleisten, sind datenschutzrechtliche Standards einzuhalten. Zu nennen sind etwa (zu weiteren Aspekten Bertram/Walk/Falder, a.a.O., S. 21 f.):
- Sicherheitsvorgaben des Arbeitgebers und datenschutzkonformes IT-Konzept mit sicheren Datenleitungen und -zugängen entsprechend dem aktuellen Stand der Technik,
- Zugriffs-, Berechtigungs- und Rollenkonzepte (Prinzip der geringstmöglichen Rechtevergabe) sowie Protokollierung der Log-In-Daten,
- Verschlüsselung personenbezogener Daten,
- wirksamer Passwortschutz,
- restriktive, risikoorientierte Vorgaben zur Übertragung/Weitergabe, zur Lagerung/Speicherung und zum Transport von Daten (z.B. keine Weiterleitung über E-Mail oder Drop Box),
- Vorgaben zum Schutz des Arbeitsplatzes bei Abwesenheit des Arbeitnehmers (Bildschirmsperre),
- Sichtschutzfolien und Vorgaben zur Einrichtung des Bildschirmarbeitsplatzes zur Vermeidung der Kenntnisnahme vertraulicher Daten durch unbefugte Dritte,
- separater, abgegrenzter und verschließbarer Raum sowie abschließbarer Schrank zur Vermeidung unbefugter Einwirkung oder Kenntnisnahme,
- Verbot der Privat- und/oder Drittnutzung,
- zur Wahrung der technischen Sicherheit die ausschließliche Nutzung eigener Geräte des Arbeitgebers durch den Arbeitnehmer (BYOD ausschließen),
- Anzeige- und Informationspflichten bei Störfällen, IT-Störungen, Virenbefall etc.,
- Rechtsfolgen bei datenschutzrechtlichen Verstößen,
- Hinweis auf etwaige Schäden, Ordnungsgelder, Strafbarkeit,
- datenschutzrechtliche Verpflichtungserklärung des Arbeitnehmers,
- Wirksame Absicherung gegen technische Ausfallrisiken (Back-up- bzw. Cloud-Lösungen) und
- Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen.