Spontanes Homeoffice gegen Coronavirus – geht das unter der DSGVO?
Die aktuelle Situation um das Corona-Virus ist auch in rechtlicher Hinsicht eine Herausforderung. Wir geben in diesem Artikel einen Überblick.
Der Schwerpunkt liegt dabei natürlich vor allem auf Fragen der zivilrechtlichen Folgen von Zwangsurlaub, Absagen und Quarantäne oder der Verarbeitung von Gesundheitsdaten durch den Arbeitgeber. Außerdem beschäftigt die Frage, wie es datenschutzrechtlich mit der spontanen Verlagerung der Arbeitsplätze ins Homeoffice aussieht.
Zu einigen datenschutzrechtlichen Fragen in diesem Zusammenhang, wie beispielsweise dem Einsatz von Fiebermessgeräten durch den Arbeitgeber, etwa im Rahmen von Zugangskontrollen, gibt es inzwischen schon einige instruktive Beiträge von Datenschutzberatern (siehe Übersicht von: Kailin Xu und Simon Assion, Telemedicus vom 11. März 2020).
Das Schweigen der Aufsichtsbehörden
Die Datenschutzaufsichtsbehörden in Deutschland dagegen schweigen zu dem Thema noch sehr vernehmlich. (Stand: 13.03.2017. Inzwischen gibt es erste Informationen. Lesen Sie dazu die Update-Informationen am Ende dieses Beitrags.)
Das Schweigen selbst sonst sehr mitteilungsfreudiger Landes- und Bundesdatenschutzbeauftragter mag vielleicht damit zusammenhängen, dass in Deutschland bereichsspezifische Sondernormen für die Verarbeitung von Gesundheitsdaten außerhalb des Sozial- und Gesundheitssystems weitgehend fehlen. Zudem bestätigt sich in der jetzigen krisenhaften Situation erneut die Kritik an der Untauglichkeit des Art. 9 DSGVO. Denn die Weite der Definition des strikten Verbots der Verarbeitung von personenbezogenen Daten „besonderer Kategorien“ in Art. 9 Abs. 1 DSGVO steht nicht in zureichender Korrespondenz mit den wenigen und sehr restriktiven Ausnahmetatbeständen des Art. 9 Abs. 2 DSGVO. Da eine allgemeine Ausnahme für die Verarbeitung etwa für „berechtigte Interessen“ oder zur „Vertragserfüllung“ fehlt und Art. 6 Abs. 1 b) und f) DSGVO nicht als Ausnahme für Art. 9 Abs. 1 DSGVO herangezogen werden kann, ist eine rechtssichere Gestaltung vieler sozialadäquater Verarbeitungsvorgänge selbst dann nicht zu erreichen, wenn man mit einem sehr weiten und pragmatischen Verständnis an die Sache herangeht. Die DSGVO ist eben nicht der rechtliche „Goldstandard“, für den ihn seine „Fanboys“ einem breiten Publikum immer noch präsentieren wollen…
Wer als Datenschutzbeauftragter unter dem Eindruck der Empfehlungen der Behörden nun kurzfristig dem berechtigten Wunsch des Arbeitgebers und der Mitarbeiter nach Arbeiten im „Homeoffice“ nachkommen will, wird das selbst merken, sobald er versucht, dieses rechtssicher zu gestalten:
Homeoffice – schon in normalen Zeiten nicht einfach rechtssicher zu gestalten
Wie man in „normalen“ Zeiten Homeoffice datenschutzkonform gestaltet, haben wir auf dieser Seite beschrieben. Und welche Herausforderung insbesondere der Aspekt der Datensicherheit dabei hat, erläutert dieser Artikel.
Diese gilt es insbesondere zu beachten, wenn der Arbeitgeber selbst als Auftragsverarbeiter für Dritte tätig wird. Denn hier besteht im Rahmen des AVV regelmäßig die explizite Verpflichtung des Arbeitgebers als Auftragnehmer zur Einrichtung geeigneter technischer und organisatorischer Maßnahmen, die einen sicheren Wartungsprozess gewährleisten und eine Einbeziehung des Homeoffice seiner Arbeitnehmer in sein IT-Sicherheitskonzept, einschließlich einer Vereinbarung eventueller Kontrollen des Homeoffice des Arbeitnehmers beinhaltet.
Mit Gestaltung einer entsprechenden Vereinbarung zwischen Arbeitgeber und Arbeitnehmer, wie sie etwa hier als (kostenpflichtiger) „Generator“ angeboten wird, ist die Sache leider aber eben noch nicht erledigt. Denn der Art. 32 DSGVO verpflichtet zu wirksamen „Technischen und Organisatorischen Maßnahmen“ (TOMs), die die Einbindung privat beim Arbeitnehmer vorhandener „normaler“ IT deutlich erschwert. Das Konzept „Bring Your Own Device“ (BYOD) ist in der Realität rechtskonform unter der DSGVO daher oftmals überhaupt nicht (mehr) oder jedenfalls nicht einfach umsetzbar. (Zur Rechtslage unter dem BDSG-alt siehe insbesondere diesen Beitrag auf dem DSB-Portal.)
„Not kennt kein Gebot“
Auf eine Krisensituation wie jetzt, in der nun auch zahlreiche Mitarbeiter mit vorhandener (privater) Ausstattung im Homeoffice arbeiten wollen oder müssen, ist kaum ein Unternehmen oder eine Behörde vorbereitet. Den „Stresstest“ besteht allerdings auch die DSGVO nicht: Erleichterung für die aktuelle Krisensituation kann man in der DSGVO selbst nur in Art. 32 Abs. 1und 2 DSGVO finden.
Art. 32 Sicherheit der Verarbeitung
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
[…]
Durch die Möglichkeit der „Berücksichtigung […] der Umstände“, also der aktuellen Pandemie-Sondersituation, wie auch durch die in aller Regel geringen „Eintrittswahrscheinlichkeit und Schwere“ und bei Fehlen realer Risiken, wenn zumindest Standard-Maßnahmen wie aktuelle Virensoftware vorhanden und der Verlust von Daten abgesichert ist, wird man in vielen Fällen sicherlich argumentieren können, dass etwa das Fehlen eines Aktenvernichters in der häuslichen Arbeitsumgebung, die Nutzung von Rechnern, auf denen sich auch private Software befindet, die vielleicht nicht unter voller Kontrolle der (ebenfalls in Quarantäne befindlichen) IT-Administratoren unterliegt, oder der Zugang auch unternehmensfremder Familienmitglieder zum heimischen Drucker zu rechtfertigen sein werden. Ebenso, dass etwa eine Verschlüsselungsinfrastruktur fehlt, wenn etwa die Anzahl der Lizenzen für Terminalserver bei Auslastungsspitzen nicht für alle ausreichen sollte.
Allerdings: Diese Möglichkeiten einer „risikobasierten“ Betrachtung können zwar im Bereich der technischen und organisatorischen Maßnahmen wenigstens ausnahmsweise vorübergehend Erleichterung bringen. Für andere Bereiche der DSGVO aber fehlt eine vergleichbar „flexible“ Vorschrift. Für Arbeitsplätze, bei denen etwa auch Gesundheitsdaten zu Hause verarbeitet werden sollen, etwa im HR-Bereich oder um Abrechnungen aus der Arztpraxis in das Homeoffice zu verlagern, werden die Datenschutzaufsichtsbehörden vermutlich daher keinerlei Einschränkungen des Schutzniveaus oder der Dokumentations- und Informationspflichten akzeptieren können. Wer hier nicht nach dem alten Grundsatz „Not kennt kein Gebot“ handeln will oder darauf vertraut, dass die Aufsichtsbehörden vor dem Hintergrund einer Pandemie „Gnade vor Recht“ ergehen lassen werden, wird als Verantwortlicher daher zumindest die Verarbeitung „sensibler“ Daten nur dann auf einem heimischen Arbeitsplatz zulassen, wenn dieser allen hohen Anforderungen entspricht, wie sie auch in normalen Zeiten erwartet werden.
Lesetipp: Hinweise der irischen Datenschutz-Aufsicht mit Tipps zur DSGVO-Compliance beim Home-Office.
Ein Artikel von Jan Mönikes, Rechtsanwalt
Update vom 17.03.2020
Nach Veröffentlichung dieses Beitrages haben nun auch in Deutschland die Datenschutzaufsichtsbehörden erste Informationen und FAQs zum Thema „Corona“ veröffentlicht:
- https://www.bfdi.bund.de/SiteGlobals/Modules/Buehne/DE/Startseite/Pressemitteilung_Link/HP_Text_Pressemitteilung.html oder
- https://www.baden-wuerttemberg.datenschutz.de/hinweise-zum-datenschutzgerechten-umgang-mit-corona-faellen/
Speziell zum Thema „Homeoffice“ oder etwaiger Erleichterungen, etwa bezüglich der TOMs, findet sich dort aber leider weiterhin nichts Konkretes.
Hier bloggt die Redaktion Datenschutz & Datensicherheit des Verlags Mensch und Medien.