Datenschutz im Homeoffice nach den rechtlichen Vorgaben – ein Best-Practice-Beispiel in Zeiten der Pandemie

Dieser Praxisbericht über die Erfüllung datenschutzrechtlicher Vorgaben im Homeoffice beruht auf einem datenschutzrechtlichen Prüfvorgang aus dem Herbst 2020.

Aufgrund einer anonymen Anzeige ersuchte die zuständige Datenschutzbehörde Rheinland-Pfalz eine Abrechnungsstelle für Ärzte um Auskunft, wie diese die Verarbeitung von Patientendaten im pandemiebedingten „Homeoffice“ gestaltet hat und wie dort die Einhaltung der Regelungen zum Datenschutz bei der Verarbeitung besonderer Kategorien von Daten sichergestellt werden. Als Ergebnis der Auskunft konnte die Datenschutzaufsichtsbehörde im Konzept der verantwortlichen Stelle keinen Datenschutzverstoß erkennen.

Die Abrechnungsstelle sah sich im März 2020 gezwungen, in Folge der Maßnahmen zur Bekämpfung der Corona-Pandemie allen ihren Mitarbeitern kurzfristig ein „unechtes“ Homeoffice zu ermöglichen. Mit „unecht“ wollte sie während der Corona-Pandemie vorübergehend die Verlagerung des Arbeitsplatzes in die Privatwohnung der Arbeitnehmer ermöglichen. Nicht beabsichtigt war dagegen die dauerhafte Einrichtung eines Telearbeitsplatzes im Sinne der Arbeitsstättenverordnung oder ein dauerhaftes „mobiles Arbeiten“ im Sinne von „Remote Work“.

Aufgrund einer anonymen Beschwerde stellte die Datenschutzaufsichtsbehörde ein Informationsersuchen gem. Art. 58 I lit. a DSGVO an die verantwortliche Stelle. Die Datenschutzaufsichtsbehörde bezog sich dabei auf einen Hinweis, dass eine Vertraulichkeit der Gesundheitsdaten (und damit besonders sensiblen personenbezogenen Daten im Sinne des Art. 9 DSGVO) durch die Abrechnungsstelle im Rahmen des „Homeoffice“ nicht gewährleistet würde. Schon die von den Mitarbeitern genutzten privaten Räumlichkeiten seien nicht oder nur unzureichend für die Arbeit mit besonders schutzbedürftigen personenbezogenen Daten geeignet, die Voraussetzungen der Art. 24, 25 DSGVO nicht erfüllt.

Nachdem die Abrechnungsstelle ihr Konzept zur datenschutzkonformen Arbeit für die Homeoffices darlegte und die entsprechende Dokumentation vorlegte, erfolgte eine Überprüfung durch die Datenschutzaufsichtsbehörde. Das Konzept konnte diese schließlich überzeugen. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz bestätigte zum Abschluss des Verfahrens, dass die datenschutzrechtlichen Anforderungen erfüllt wären. Insbesondere ließen sich – entgegen der an die Behörde herangetragenen Behauptung – keine datenschutzrechtlichen Defizite beim Umgang mit sensiblen personenbezogenen Daten erkennen.

Das Konzept der Abrechnungsstelle ist wie folgt gestaltet:

Die gesamte Verarbeitung von Patientendaten findet durch die Mitarbeiter auch im Normalbetrieb am Arbeitsplatz im Unternehmen an UD2 Thin Clients statt. Das Betriebssystem ist IGEL OS. Dies bedeutet, dass jeder Mitarbeiter am Arbeitsplatz einen Computer zur Verfügung hat, welcher über das firmeninterne Netzwerk mit einem Terminalserver verbunden ist und dessen zentral verwaltete Ressourcen nutzt. Die Benutzung privater Computer, Telefone oder sonstiger Ein- und Ausgabegeräte ist den Mitarbeitern dagegen nicht gestattet.

Diese UD2 Thin Clients, einschließlich Tastatur, Monitor usw. konnten im „Pandemiebetrieb“ von den Mitarbeitern leicht abgebaut und nach Hause mitgenommen werden. Dort können sie mithilfe eines vom Unternehmen den Mitarbeitern mitgelieferten und voreingestellten Routers über das Internet mit dem Rechenzentrum des Arbeitgebers verbunden werden. Die Verbindung zur Firma wird mittels eines verschlüsselten VPN hergestellt. Die Verbindung ist durch Zertifikat, Benutzernamen und Kennwort geschützt, welche dem Mitarbeiter selbst nicht bekannt sind. Jeder der von der IT des Verantwortlichen zentral administrierten Router hat eigene Zertifikate, sodass er ggfs. individuell gesperrt werden kann.

Die UD2 Thin Clients sind auch im Homeoffice damit allein über diese verschlüsselte und gesicherte Verbindung mit dem Unternehmen einsetzbar. Der Zugriff auf die Anwendungen der Abrechnungsstelle erfolgt über den Terminalserver im firmeneigenen Rechenzentrum. Für einen Zugriff auf die Daten sind die persönlichen Anmeldedaten eines Mitarbeiters erforderlich. Die Dokumentation und Kontrolle der Zugriffe erfolgt in gleichem Ausmaß, als wenn das Terminal am Arbeitsplatz im Unternehmen aufgestellt wäre.

Vom Unternehmen werden zwei örtlich getrennte Server betrieben. Die Standorte besitzen jeweils eigene Internetleitungen mit 1 Gigabit symmetrischer Anbindung. Beide Server sind vermittels gesicherter VPN-Tunnel über eine Standleitung (Mietleitung) verbunden.

Datentechnisch wird mithilfe des VPN-Routers, den Thin Clients und der Terminalsoftware in Anbindung an eines der Rechenzentren somit das gleiche Datenschutzniveau gewährleistet wie bei der Nutzung der Programme an dem betrieblichen Arbeitsplatz. Die gesamte IT-Infrastruktur bleibt auch außerhalb der Betriebsstätte zentral administriert und ist von der IT und dem betrieblichen Datenschutzbeauftragten uneingeschränkt kontrollierbar. Ausschließlich über die gleiche gesicherte technische Infrastruktur erfolgt auch die Verarbeitung von im Unternehmen eingescannter Post, elektronisch verarbeiteter Faxe und Festnetz-Telefonie unter den identischen Rufnummern, wie sie auch im Unternehmen den Mitarbeitenden zugeordnet sind.

Eine lokale Datensicherung, etwa über externe Datenspeicher, kann an den passwortgeschützten Rechnern im „Homeoffice“ nicht vorgenommen werden, da die USB-Ports und andere Anschlüsse an den Thin Clients gesperrt sind. Lokal werden auch sonst dauerhaft keine Daten gespeichert. Somit ist selbst bei Diebstahl solcher Geräte zu Hause sichergestellt, dass sich auf dem Endgerät keine sensiblen Daten befinden können. Eine Speicherung von Daten und der Ausdruck von Dokumenten oder die Organisation des postalischen Versands wird durch die technische Infrastruktur nur in der Betriebsstätte ermöglicht, ansonsten unterbunden. Die Zugänge und Programme bleiben auch im „Homeoffice“ entsprechend den Passwortrichtlinien personenbezogen geschützt, entsprechende Begrenzungen durch den Zugriff bleiben wie im Betrieb über Rollenkonzepte hinterlegt, und die Bildschirme sperren sich nach kurzer Zeit ohne Eingabe von selbst.

Papierunterlagen, wie Abrechnungen aus Patientenakten, welche von den Ärzten der Abrechnungsstelle zur Verfügung gestellt werden, aber auch Korrespondenz oder Ausdrucke von Daten, unterliegen ebenfalls einem hohen Schutzniveau: Die vom ärztlichen Kunden der Abrechnungsstelle übergebenen Papierunterlagen werden nach Eingang in der Verrechnungsstelle zunächst unter Quarantäne gestellt, damit durch den Kontakt zu den Unterlagen keine Gesundheitsgefahr für die Mitarbeiter ausgeht.

Solange sich ein Mitarbeiter im „Homeoffice“ befindet, wird der gesicherte Transport durch die Mitarbeiter persönlich oder einen firmeneigenen Transportfahrer, der die Akten in mit Schlössern gesicherten Kisten zu den Homeoffice-Plätzen des Mitarbeiters an- und abfährt, gewährleistet. Mitarbeiter transportieren/erhalten Papierunterlagen und auch Ausdrucke ausschließlich in den verschlossenen Kisten und müssen die Unterlagen auch bis zu dem Abtransport in diesen Kisten verschlossen lagern. Im Falle einer Quarantäne einzelner oder mehrere Mitarbeiter ist im Notfallplan vorgesehen, dass der Austausch der verschlossenen Kisten entsprechend den Hygieneregeln ohne persönlichen Kontakt vor der Wohnungstür erfolgt.

Mit diesen Regeln für den normalen Einsatz zu Hause oder der angeordneten Quarantäne können alle Papierunterlagen vor dem Zugriff und der Einsichtnahme durch Dritte geschützt werden, selbst wenn der Arbeitnehmer zu Hause nicht über ein separates, abschließbares Arbeitszimmer verfügt, wie es bei „echtem“ Homeoffice oftmals als Bedingung angesehen wird. Für Mitarbeiter, die über kein separates Arbeitszimmer verfügen, wurde zudem festgelegt, dass sie ihre Arbeit nur durchführen durften, wenn sichergestellt ist, dass kein Dritter eine Einsichtnahme auf die vorhandenen Akten oder den entsperrten PC erhalten konnte. Das durch die Kita- und Schulschließungen ausgelöste Betreuen und Unterrichten von Kindern zu Hause machte es daher nötig, die Arbeitszeiten der Mitarbeiter temporär in freier Gleitzeit zu flexibilisieren, um ihnen dadurch die Möglichkeit zu geben, Aufgaben der Arbeit und Kinderbetreuung zeitlich am Tag voneinander trennen zu können. Dadurch konnte ermöglicht werden, dass Arbeiten sicher und trotz der Anwesenheit von Partnern oder Kindern geleistet werden konnten.

Auch die Entsorgung von „Altpapier“ mit relevanten Gesundheitsdaten ist sichergestellt: Dieses wird durch die Mitarbeiter oder den Fahrer in geschützten Kisten transportiert und in der Firma wie sonst auch durch einen externen, zertifizierten Dienstleister entsprechend dem jeweiligen Schutzniveau entsorgt.

Darüber hinaus sind alle Mitarbeiter auf Vertraulichkeit verpflichtet und werden regelmäßig auf die Einhaltung der Regelungen des Datenschutzes und des Patientengeheimnisses sensibilisiert und geschult. Die vertraglichen Zusatzvereinbarungen für dieses „unechte“ Homeoffice (gestaltet nach den Mustern nach https://www.dsb-ratgeber.de/) enthalten auch ein Nachkontrollrecht des Arbeitgebers im Falle des Verdachts von Pflichtverletzungen vor Ort. Anders als bei „echtem“ Homeoffice in regulären Zeiten außerhalb einer Pandemie, wird jedoch bewusst auf eine Nachkontrolle vor Ort ohne konkreten, besonderen Anlass verzichtet, da einerseits schon aufgrund der ergriffenen technischen und organisatorischen Maßnahmen das Risiko ausgesprochen gering ist und zudem das insoweit überwiegende Gesundheitsrisiko kein Betreten der Wohnungen eines Mitarbeiters aus lediglich abstrakten Risikoerwägungen und/oder formalistischen Gründen rechtfertigen könnte.

Hinsichtlich der Einhaltung der Regelungen des Datenschutzes im Betrieb hatte sich die Abrechnungsstelle bereits zwei Jahre zuvor durch ein externes Prüfunternehmen auditieren lassen. Gemeinsam mit den konkreten Maßnahmen, das „Homeoffice“ in Zeiten der Pandemie sicher zu gestalten, konnte der Behörde bereits im Rahmen des Auskunftsverfahrens glaubhaft vermittelt werden, dass die Prozesse (gerade im Bereich der IT) im Unternehmen datenschutzkonform umgesetzt werden und dass das Sicherheitsniveau des „Arbeitsplatzes“ zu Hause durch die Gewährleistung von gleichwertigen technischen und organisatorischen Maßnahmen dem Sicherheitsniveau des Arbeitsplatzes im Betrieb mindestens vergleichbar ist.

Mitgeteilt von: Jan Mönikes, Rechtsanwalt