Hinweise zu Gesundheitsschutz und Datenschutz in den Zeiten von Corona

Plötzlich Homeoffice ─ sowohl für den Arbeitgeber als auch für den Arbeitnehmer stellt sich die Frage: Wie verarbeite ich persönliche Daten im Homeoffice? Welchen datenschutzrechtlichen Anforderungen habe ich zum Schutz dieser Daten zu erfüllen? In dem Beitrag finden Arbeitgeber und Arbeitnehmer Antworten und praktische Hinweise darauf, wie Gesundheitsschutz und Datenschutz sich ergänzen können.

 

1. Worum geht es eigentlich?

 

Gesundheitsschutz und Datenschutz müssen sich nicht im Wege stehen, sie können sich ergänzen.

Beim Datenschutz geht es um den Schutz persönlicher Daten bei der Verarbeitung. Eine Verarbeitung liegt immer dann vor, wenn Daten z.B. erhoben, gelesen, bearbeitet, übermittelt oder sonst wie ausgewertet werden. Das kann in elektronischen Dateien genauso erfolgen, wie in geordneten Sammlungen schriftlicher Akten.

Exkurs: Das Datenschutzrecht orientiert sich dabei an den Vorgaben europäischer, aber auch nationaler Gesetzgebung. Wesentliche Fundstellen sind EU Datenschutz-Grundverordnung (DSGVO) das Bundesdatenschutzgesetz (BDSG), die Landesdatenschutzgesetze und es sollte auch noch auf die Sonderbestimmungen zum Schutz der Sozialdaten in § 67 f Sozialgesetzbuch X hingewiesen werden.

Im Vordergrund steht der Schutz des Rechts an informationeller Selbstbestimmung. Alle gesetzlichen Bestimmungen orientieren sich deshalb an denselben Grundsätzen: Die Wahrung der Vertraulichkeit und die Datensparsamkeit.

Das heißt, dass den besonders sensiblen Daten mit gesteigerter Achtsamkeit begegnet wird. Besonders sensible Daten sind zum Beispiel Gesundheitsdaten, Sozialdaten, Daten über Ethnien oder Religionszugehörigkeit oder über geschlechtliche Orientierung. Persönliche Daten sollen nur verarbeitet werden, wenn es nötig ist, zum Beispiel zur Erfüllung eines Vertrags.

Persönliche Daten sollen nicht in falsche Hände gelangen und die Erhebung, wie auch der Umgang mit den Daten soll auf das notwendige Maß beschränkt sein.

In Zeiten einer Krise wie der Corona-Pandemie verändert sich unsere Arbeitswelt im Moment drastisch. Wir versuchen, das Mögliche aufrecht zu erhalten. Wir erledigen lange aufgeschobene Aufgaben und wir erledigen unsere Arbeiten oft von zu Hause aus.

2. Plötzlich Heimarbeit

Mancher für den die Arbeit am Heimarbeitsplatz bisher nicht in Betracht kam, nimmt plötzlich seinen Rechner mit nach Hause und schafft auf unabsehbare Zeit vom sogenannten Homeoffice aus. Selbst für Jene, die schon lange mit der Arbeit am Heimarbeitsplatz vertraut waren, ergeben sich neue Herausforderungen für Arbeitnehmer genauso wie für Arbeitnehmer. Die Heimarbeit ist umfangreicher, die Kommunikation aufwändiger und die Arbeit erstreckt sich dann auch auf Bereiche, die bislang nur vom betrieblichen Arbeitsplatz aus erledigt wurden.

Vorbereitungen

Ergreifen Sie die erforderlichen organisatorischen Maßnahmen und dokumentieren Sie diese Vorkehrungen. Für organisatorische Maßnahmen ist zuallererst der Arbeitgeber der „Verantwortliche“ i. S. des Datenschutzes.

Exkurs: Das Datenschutzrecht verlangt, dass die Maßnahmen zur Sicherung der Verarbeitung nachvollziehbar sind. Wenn es zu einen „Datenvorfall“ durch Verlust, falsche Übermittlung o.ä. kommt, erweist sich der Nachweis der Vorkehrungen stets als sehr wertvoll. Die Vorkehrungen wirken wie ein Sicherheitsnetz, das vor Unfällen schützt und im Falle eines Verstoßes auch vor Rügen, Bußen und Ersatzforderungen.

Was also soll man zumindest veranlassen?

Der Arbeitgeber sollte mit den Mitarbeitern die Grundregeln besprechen, sie sensibilisieren und im Falle umfangreicher Verarbeitungen auch eine Vereinbarung schließen. In vielen Betrieben existieren dazu bereits Anweisungen und Betriebsvereinbarungen. Diese sollten bekannt gegeben sein.

Ziehen Sie Ihre/n Datenschutzbeauftragte/n beratend hinzu.

Folgende Fragen werden relevant:

• Werden im Homeoffice personenbezogene Daten verarbeitet? Ist das zwingend?
• Welche Daten werden verarbeitet und wie sensibel sind diese Daten?
• Werden Akten transportiert? Es sollten Vorkehrungen für den sicheren Transport getroffen werden.
• Regeln Sie die Entnahme von Akten aus dem betrieblichen Umfeld, z.B.: durch kurze Niederschriften und Fehlblätter, damit erkennbar wird, wo sich Unterlagen befinden oder befanden.
• Werden Daten auf Datenträgern transportiert? Es sollte auf die Nutzung privater Hardware generell verzichtet werden. Es sollte geregelt werden, wie der Verbleib oder die Löschung der gespeicherten Daten zum Zwecke des Transports gelöst wird.

Exkurs: Flashspeicher lassen ein zuverlässiges Überschreiben nur sehr eingeschränkt zu. Sicher gelöscht werden sie nur durch Zerstörung. Elektronische Speicher sind heute bereits günstig mit Kennwortsicherung beziehbar.

Klären Sie, ob zur Vermeidung des Medienbruchs betriebliche Daten auch eingescannt werden können. In Krisenzeiten kann es vorübergehend auch hingenommen werden, die Daten während der Arbeitszeit für die Verarbeitung am Heimarbeitsplatz elektronisch aufzubereiten.

Allgemeine Empfehlungen zur Datensicherheit:

• Nutzen Sie Outlook.
• Klären Sie, welche Software zum Einsatz kommt.
• Legen Sie einheitliche Standards fest und sorgen Sie damit auch für einen sicheren effizienten Support für den Fall, dass Updates erforderlich sind oder etwas nicht funktioniert.
• Mitarbeiter sollten keine eigene Hardware einsetzen.
• Notebooks sollten vor fremden Zugriffen geschützt sein.
• Sorgen Sie für eine sichere Leitung (Virtual-Private-Network VPN).
• Lan-Verbindungen am Heimarbeitsplatz sollten auf Kennwortschutz und Zugriffssicherheit überprüft werden.
• Private und betriebliche Daten sollten stets streng voneinander getrennt sein.
• Und schließlich ist es von großer Bedeutung Rollenbefugnisse zu überprüfen und auf das Nötige zu beschränken. Die Zugriffskontrolle ist ein essentieller Beitrag zur Vertraulichkeitswahrung und zur Datenminimierung.
  
  

3. Der Weg zum Heimarbeitsplatz

 

Hinweise für Arbeitnehmer

Klären Sie mit ihrem Vorgesetzten, wann Sie sich im Büro aufhalten und welche Daten Sie am Heimarbeitsplatz nutzen. Hinterlegen Sie, welche Unterlagen Sie in Papierform oder in Speichermedien transportieren.

Legen Sie z.B. in eine Papierakte ein Fehlblatt ein mit Umfang und Entnahmezeitpunkt sowie Handzeichen. Das gilt nicht nur für Unterlagen mit Personenbezug, sondern auch für Unterlagen die etwaigen Betriebsgeheimnisse enthalten.

Legen Sie Kommunikationswege, wie Mobiltelefone, Hausanschluss, Skype fest, bevor Sie sich längere Zeit am Heimarbeitsplatz aufhalten. Klären Sie die Kommunikation für Rückfragen.

Was sonst noch wichtig ist:

• Vermeiden Sie möglichst den Medienbruch.
• Nutzen Sie keine private Hardware.
• Speicher müssen kryptisiert, zumindest aber kennwortgeschützt sein.
• Transportieren Sie die Unterlagen in einem verschlossenen Behältnis. Lassen Sie die Unterlagen während des Transports nie aus den Augen.

Die Aktentasche sollte mit einem Anhänger mit den Daten des Besitzers versehen sein. So muss ein ehrlicher Finder die Tasche nicht öffnen, um sie zurückzugeben.

• Machen Sie auf dem Weg nach Hause keine Umwege, Einkäufe oder Pausen.
• Sollten Sie Ihren Rechner bereits auf dem Weg, zum Beispiel in öffentlichen Verkehrsmitteln, nutzen wollen, dann verwenden Sie eine Sichtschutzfolie.
• Achten Sie darauf, die beruflichen Unterlagen stets von den privaten Unterlagen zu trennen.

Hinweise für Arbeitgeber

Nehmen Sie sich Zeit für die vorbereitenden Gespräche zur Abstimmung der Heimarbeit.

Legen Sie dabei klare transparente Regeln fest, die sich an den vorgenannten Kriterien orientieren. Unklarheiten gehen im Zweifel immer zu Lasten des Aufsichtspflichtigen. Legen Sie die Regeln gerade bei länger andauernder Arbeit im Homeoffice schriftlich nieder und lassen Sie sich die Kenntnisnahme bestätigen. Bieten Sie Ihren Kontakt für Rückfragen an.

Stellen Sie alltagstaugliche Mittel zum Transport von Unterlagen bereit.

Denken Sie bereits bei der Speicherung und Vervielfältigung daran, wie die Daten, Unterlagen und Akten zurück in den betrieblichen Ablauf gelangen und wie eine mehrfache Datenhaltung möglichst vermieden werden kann. Legen Sie auch fest wie lange die Daten vorgehalten werden sollen. Das bedeutet, dass Sie sich bereits zu Beginn des mobilen Arbeitens auch über die spätere Vernichtung oder Löschung Gedanken machen sollten.

4. Die Arbeit zu Hause

 

Hinweise für Arbeitnehmer

Achten Sie auf Datensicherheit. Ergreifen Sie Maßnahmen, mit denen sich ein Sicherheitsniveau erreichen lässt, das mit einem Büroraum in Ihrer betrieblichen Institution vergleichbar ist. Versuchen Sie einen ruhigen abtrennbaren Ort für Ihr Homeoffice einzurichten. Machen Sie den Arbeitsbereich abschließbar. Trennen Sie die betrieblichen Unterlagen von den privaten Gegenständen und Ablagen. Verstauen Sie Unterlagen und elektronische Speichermedien in einem abschließbaren Schrank.

Führen Sie regelmäßig eine Datensicherung durch, z.B. durch einen automatischen Backup. Richten Sie Ihren Rechner datensicher her, durch Nutzung eines kennwortgesicherten Bildschirmschoners und soweit möglich mit einem Token, den Sie nach Ende der Arbeit getrennt vom Rechner aufbewahren. Erstellen Sie sichere Kennworte mit einer Kombination aus Groß und Kleinschreibung, Sonderzeichen und Zahlen.

Öffnen Sie keine Nachrichten unbekannter Absender. Es wird versucht in der aktuellen Krisensituation mit Fake-Mails Daten abzugreifen. Setzen Sie auf keinen Fall Ihre Kennworte zurück, wenn Sie dazu in der Mail aufgefordert worden sind.

Achten Sie im Umgang mit den Daten stets auf Vertraulichkeit und Datenminimierung.  Soweit Sie im privaten Umgang mit Ihren Daten daran gewohnt sind, Ihre Daten freiwillig preiszugeben, erteilen Sie dieser Haltung im beruflichen Umfeld eine Absage. Bedenken Sie stets, dass Sie mit fremden Daten umgehen.

• Soweit Sie kein Arbeitszimmer haben, nutzen Sie einen Paravent oder einen Raumteiler.
• Achten Sie darauf, Personen, die mit Ihrer Arbeit nichts zu tun haben, von der Einsichtnahme in die Daten und Unterlagen fernzuhalten.
• Soweit Sie am heimischen Arbeitsplatz einen Drucker betreiben, achten Sie darauf, keine unnötigen Ausdrucke zu erstellen. De Mehrfachhaltung der Daten bringt neue datenschutzrechtliche Probleme mit sich. Ausdrucke müssen sicher verwahrt und sicher entsorgt werden, wenn sie nicht mehr benötigt werden.
• Entsorgen Sie keine dienstlichen Unterlagen im Hausmüll.

Und wenn doch einmal etwas passiert, z.B. weil Daten verloren gehen, an einen falschen Empfänger verschickt wurden oder unberechtigt abgegriffen wurden oder weil Sie von einer Schadsoftware angegriffen wurden:

• Informieren Sie unverzüglich Ihren Arbeitgeber.
• Halten Sie die näheren Umstände in einem Vermerk fest.
• Nehmen Sie eine erste Einschätzung vor, welche Folgen oder Risiken für die Rechte der Betroffenen damit verbunden sein könnten.
  
  

Hinweise für Arbeitgeber

• Unterstützen Sie Ihre Mitarbeiter mit guter Hard- und Software.
• Richten Sie einen Support ein.
• Legen Sie fest wo Daten gespeichert werden oder verschaffen Sie einen sicheren Zugang zum betrieblichen Netz.
• Führen Sie Sensibilisierungsgespräche mit Ihren Mitarbeitern
• Beschaffen Sie ggf. gesicherte Speichermedien.
• Leasen Sie soweit notwendig zertifizierte Schredder für den Fall, dass Ausdrucke zu Hause zu vernichten sind.
• Lassen Sie sich den häuslichen Arbeitsplatz beschreiben oder fragen Sie in Zweifelsfällen nach, ob Sie sich den Arbeitsplatz ansehen können.
• Dokumentieren Sie Ihre Maßnahmen in einem Datenschutz- und Datensicherheitskonzept.
• Für den Fall, dass Sie Daten im Auftrag verarbeiten, benötigen Sie einen Vertrag nach Art. 28 DSGVO mit dem Auftraggeber. Informieren Sie den Auftraggeber über die getroffenen Maßnahmen im Zusammenhang mit der Einrichtung von Homeoffice Arbeitsplätzen.

Und wenn doch einmal etwas passiert: Was soll der Arbeitgeber tun?

Lassen Sie sich den Sachverhalt schildern. Versuchen Sie abzuschätzen, ob durch Notfallmaßnahmen der Schaden noch eingegrenzt werden kann und überlegen Sie anhand der Bestimmungen des Art. 33 und 34 Datenschutz-Grundverordnung, ob sie eine Meldung an die Aufsichtsbehörde absetzen müssen und ob der Betroffene, dessen Daten und Rechte beeinträchtigt sein könnten, zu benachrichtigen ist.

Ziehen Sie Ihre/n Datenschutzbeauftragte/n beratend hinzu!

5. Umgang mit Daten von Personen, die sich infiziert haben oder mit Infizierten in Kontakt kamen

 

Teilt der Arbeitnehmer dem Arbeitgeber eine Infektion mit oder die Tatsache, dass er in Kontakt mit einem infiziert kam, sollte folgendes beachtet werden:

Der Umgang mit den Daten von Corona infizierten Mitarbeitern und den Daten der Kontaktpersonen ist geprägt von Anforderungen der Fürsorgepflicht und der öffentlichen Sicherheit. Aus datenschutzrechtlicher Sicht handelt es sich um Gesundheitsdaten und damit um eine sensible Datenkategorie, die nach Art. 9 DSGVO besondere Schutzvorkehrungen, insbesondere in Bezug auf die Vertraulichkeit und die Speicherdauer erfordern. Die Pflichten im Zusammenhang mit der Pandemie ergeben sich aus dem Infektionsschutzgesetz (insb. § 16 IfSG) des Bundes und der Länder sowie aus aktuellem Anlass ergangenen Verordnungen und Allgemeinverfügungen. In einer Phase der extremen pandemiebedingten Einschränkung der Freiheitsrechte zum Schutz der Gesundheit der Mitmenschen wird der Datenschutz im Abwägungsprozess zurückstehen müssen. Damit gilt für den Datenschutz im Wesentlichen, auf die Einhaltung der Datenminimierung und der Transparenz zu achten.

 

Hieraus ergeben sich die folgenden Einzelaspekte:

• Mitarbeiter trifft eine Pflicht, ihren Arbeitgeber von einer Infektion zu informieren.
• Mitarbeiter sind auf Nachfrage verpflichtet den Arbeitgeber darüber zu informieren, ob sie aus einer besonders belasteten Region angereist sind.
• Mitarbeiter sind auch verpflichtet, die Kollegen zu benennen, mit denen sie in Kontakt waren.
• Arbeitgeber können Listen über Infizierte und Kontaktpersonen erstellen.
• Aber auch der infizierte Mitarbeiter genießt den Schutz vor Diskriminierung und Bloßstellung. Dem Arbeitgeber ist es daher zunächst untersagt, die Namen von Infizierten im Betrieb öffentlich zu machen. Der Arbeitgeber sollte vertrauliche Gespräche vorziehen.
• Auf Anfrage des Gesundheitsamtes sind die Namen der Infizierten und der Kontaktpersonen zu benennen.
• Die Erhebung der Daten in Listen und deren Übermittlung soll den Betroffenen mitgeteilt werden.
• Eine unaufgeforderte Mitteilung an das Gesundheitsamt durch den Arbeitgeber sollte nach derzeitigem Stand nur mit Einwilligung der Betroffenen erfolgen.
• Listen über die betroffenen Personen sind nach Ende der Pandemie zu vernichten.