Bei der Telearbeit wird die Arbeit zumindest zeitweise oder auch komplett außerhalb der Gebäude des Arbeitgebers erledigt. Sie kann als sogenannte Homeoffice-Tätigkeit beim Mitarbeiter zuhause oder auch von unterwegs erbracht werden. Dabei sollten aber dringend einige Maßnahmen zum Schutz der verarbeiteten Daten ergriffen werden. Die Landesdatenschutzbeauftragte Berlins hat sich in ihrem aktuellen Tätigkeitsbericht ebenfalls mit dieser Thematik auseinandergesetzt.

HERR ÜBER DIE DATEN

Wird Telearbeit im Rahmen von Dienst- oder Arbeitsverhältnissen vereinbart, handelt es sich um eine Datenverarbeitung des Dienstherrn bzw. des Arbeitgebers. Dieser bleibt weisungsbefugt und bestimmt die Art und Weise der Aufgabendurchführung. Insbesondere hat er die erforderlichen Maßnahmen zu ergreifen, um den Schutz personenbezogener Daten sicherzustellen. Grundsätzlich sollte stets vorab geprüft werden, ob eine Beschränkung auf pseudonymisierte oder anonymisierte Daten möglich ist. In diesem Fall wäre Telearbeit uneingeschränkt zulässig.

BESONDERS SCHUTZWÜRDIGE DATEN

Dagegen bestehen bei der Verarbeitung besonders schutzwürdiger Informationen wie Personalaktendaten oder gar sensitiver Daten besondere Risiken, die einen besonderen Schutz durch angemessene technische und organisatorische Maßnahmen und zusätzliche Kontrollen des Arbeitgebers vor Ort erfordern. Zu den besonders schützenswerten Daten im Beschäftigungsverhältnis zählen Personalaktendaten, die dem Personalaktengeheimnis unterliegen.
Gesundheitsdaten sollten wegen ihrer besonderen Sensitivität nicht für Telearbeit zugelassen werden. Ebenso sollte auch eine Auftragsdatenverarbeitung nicht in Telearbeit erfolgen, da die Einwirkungs- und Kontrollmöglichkeiten des Arbeitgebers bzw. Dienstherrn dabei beschränkt sind.

DATENSCHUTZMASSNAHMEN

Folgende Punkte sollten im Rahmen der Tele- bzw. Heimarbeit geklärt bzw. geregelt werden:

• Schließen Sie eine Dienst- bzw. Betriebsvereinbarung ab, in der konkrete Festlegungen zur Geeignetheit, zu Art, Umfang und zur Durchführung von Telearbeit getroffen werden.
• Grundsätzlich sollte ein abschließbares Arbeitszimmer, das ausschließlich für die Telearbeit genutzt wird, vorhanden sein. Achtung: Hierzu dürfen Dritte – auch Familienmitglieder – keinen Zutritt haben.
• Der Einblick in dienstliche Unterlagen muss für Unberechtigte ausgeschlossen sein.
• Die für die Telearbeit erforderlichen technischen Geräte und die Software sollten vom Arbeitgeber zur Verfügung gestellt und von dessen System-Administration eingerichtet werden. Hierbei muss die Konfiguration so vor Manipulationen geschützt sein, dass weder unerlaubte Software- noch Hardware-Installationen möglich sind. Dafür müssen u. a. entsprechende Benutzer- und Zugriffsrechte, eine Sicherheitssoftware sowie eine Festplattenverschlüsselung eingerichtet werden. Ein Schutz vor schadhaftem Code und der Einsatz einer Firewall sind obligatorisch.
• Die Technik darf ausschließlich für dienstliche Zwecke genutzt werden, damit eine problematische Vermischung von privaten und beruflichen Daten ausgeschlossen ist.
• Soweit nicht alle Maßnahmen technisch umgesetzt werden können, sind organisatorische Regelungen z. B. in den Dienstvereinbarungen aufzunehmen.
• Die Kommunikation mit der Arbeits- oder Dienststelle hat über eine verschlüsselte Verbindung zu erfolgen. Hierzu sollte eine VPN-Verbindung genutzt werden (IPSec oder OpenVPN)
• Der Einsatz von Zertifikaten, Chipkarten und/oder Hardwaretoken sorgen für eine sichere Identifikation und Authentifizierung beim Arbeitgeber.
• Die Zertifikate sollten regelmäßig erneuert und auf Schwachstellen überprüft werden.

SPEICHERUNG AM ARBEITSPLATZ?

Die zu verarbeitenden Daten sollten möglichst ausschließlich im Netzwerk des Arbeitgebers verbleiben. Hier sind technische Entwicklungen wie Terminalserver oder die Virtualisierung von Desktops von Bedeutung. So kann ein virtueller Arbeitsplatz zur Verfügung gestellt werden, der das Arbeiten wie in der Dienststelle nachstellt. Die zu bearbeitenden Daten bleiben jedoch beim Arbeitgeber. Weiterhin kann die Nutzung eines speicherlosen Telearbeitsplatzes vorteilhaft sein, da auch hier keine dezentrale Speicherung erfolgen kann. Wenn Daten für die Verarbeitung nicht mehr notwendig sind, entfällt somit eine möglicherweise aufwendige Da- tenlöschung auf dem Telearbeitsplatz. Sollte jedoch eine Speicherung auf dem Telearbeitsplatz notwendig sein, muss nicht nur die Datenlöschung, sondern auch eine regelmäßige Datensicherung und deren spätere Löschung umgesetzt wer- den. Zusätzlich sind die Daten verschlüsselt zu speichern, damit durch einen unbefugten Zugriff der Einblick in die gespeicherten Daten wirkungsvoll verhindert wird.

PAPIERAKTEN

Sollten zusätzlich zu den elektronischen Daten noch papiergebundene Unterlagen benötigt werden, sind entsprechende Regelungen für den Transport und die weitere Aufbewahrung außerhalb der Arbeitsstätte zu treffen. Unterlagen sollten ausschließlich in verschlossenen Behältnissen transportiert und dabei ständig beaufsichtigt werden. Für die Aufbewahrung am Telearbeitsplatz sollte ein ver- schließbarer Schrank zur Verfügung stehen. Anfallende Notizen oder auch Fehlausdrucke müssen so vernichtet werden, dass eine Wiederherstellung nicht möglich ist.