Mit der Corona-Arbeitsschutzverordnung wurde am 27.01.2021 in Deutschland erstmals eine Homeoffice-Pflicht eingeführt. Auch Gründer müssen es Mitarbeitern ermöglichen, aus dem Homeoffice zu arbeiten. Im Homeoffice gibt es aber besondere Risiken beim Daten- und Geheimnisschutz. Was bedeutet das für Gründer? Was ist zu beachten, um Bußgelder und Haftungsgefahren zu vermeiden?
Homeoffice bedeutet auch Bußgeld- und Haftungsgefahr
Mit der Homeoffice-Pflicht geht einher, dass die Infrastruktur, wie z.B. die IT-Hardware zur Arbeit aus dem Homeoffice, vom Unternehmen gestellt werden muss. Erschwerend kommt noch hinzu: Bei der Arbeit aus dem Homeoffice bestehen höhere Risiken eines DSGVO-Verstoßes, eines meldepflichtigen Data Breachs oder der Verletzung von Geschäftsgeheimnissen Dritter (z.B. Geschäftspartnern). Mitarbeiter, die im Homeoffice mit sensiblen Daten arbeiten, agieren außerhalb der kontrollierten Unternehmenssphäre. Vertrauliche Papierdokumente sind im Homeoffice leichter einsehbar und werden nicht rechtskonform vernichtet. Telefonate könne leichter mitgehört werden. Kommt es so zu einem Datenschutzverstoß oder gelangen Geschäftsgeheimnisse von Geschäftspartnern nach außen, kann dies für Gründer schnell zu Bußgeldern und Haftungsfällen führen. Gründer sollten deshalb für die Arbeit aus dem Homeoffice besondere Schutzmaßnahmen vorsehen. Diese dienen auch dem eigenen Geheimnisschutz: Zwar führt der Abzug von eigenen Geschäftsgeheimnissen (Innovationsideen, Kundenlisten, Vertriebsstrategien) nicht zu Bußgeldern oder Haftungsfällen. Aber mit dem Abzug gehen eigene Geschäftsgeheimnisse und damit ein Wettbewerbsvorteil verloren.
Die Lösung: Ein Homeoffice-Schutzkonzept
Personenbezogene Daten müssen vor dem unberechtigten Zugriff geschützt werden. Eigene und fremde Geschäftsgeheimnisse müssen durch angemessene Geheimhaltungsmaßnahmen gesichert werden. Die richtigen Maßnahmen auf beiden Ebenen vorzusehen – Daten- und Geheimnisschutz – ist eine Herausforderung. Es gibt allerdings Maßnahmen, die zum Schutz auf beiden Ebenen geeignet sind. Mit einem abgestimmten Schutzkonzept für den Daten- und Geheimnisschutz im Homeoffice können Gründer so Kosten und Aufwand sparen.
Das ist zu tun
Ein Homeoffice-Schutzkonzept wird in drei Schritten ausgearbeitet und implementiert:
Bestandsaufnahme: Die im Unternehmen vorhandenen Daten und Informationen sind zu identifizieren und nach Sensibilität, Wichtigkeit und Risikolage im Homeoffice zu kategorisieren. Bereits bestehende Schutzmaßnahmen sind zu überprüfen und Schutzlücken zu identifizieren (Gap-Analyse).
Schutzkonzept – Erstellung und Implementierung: Für jede Kategorie sind geeignete Schutzmaßnahmen auf rechtlicher, organisatorischer und technischer Ebene (Schutzkonzept) auszuarbeiten und zu implementieren. Die Einhaltung dieser Maßnahmen im Homeoffice ist sicherzustellen.
Check-up und Aktualisierung: Da sich rechtliche und technische Anforderungen ständig ändern ist das Schutzkonzept regelmäßig zu überprüfen und an neue Gegebenheiten anzupassen.
Ein Homeoffice-Schutzkonzept sollte insbesondere folgende rechtliche, organisatorische und technische Schutzmaßnahmen beinhalten:
- Rechtliche Ebene: Homeoffice-Klausel: Verpflichtung der Mitarbeiter zu erhöhter Sorgfalt im Homeoffice entsprechend den vorgesehenen Schutzmaßnahmen; vertragliche Weitergabe entsprechender Verpflichtungen an Dritte; Auftragsverarbeitungsvereinbarungen mit Dienstleistern; spezifische Vereinbarungen bei Datentransfer in Länder außerhalb der EU, insbesondere USA
- Technische Ebene: Remote-Wartung und Aktualisierung der IT-Systeme; automatische Verschlüsselung von Datenträgern; starker Passwortschutz oder Zwei-Faktor-Authentifizierung; abgestuftes Berechtigungskonzept; Sicherheitsupdates; Nutzung datenschutzkonformer Videokonferenzsysteme
- Organisatorische Ebene: Arbeitsanweisungen zu Verhalten im Homeoffice (Sperren des Computers bei Verlassen, Schutzmaßnahmen bei Videokonferenzen, Telefonieren nur in abhörsicherer Umgebung, sichere Entsorgung von Dokumenten)
Dieselben Anforderungen mit ggf. modifizierten Maßnahmen gelten auch für das mobile Arbeiten oder das Arbeiten in Co-Working Spaces.
Autoren:
RA Dr. Michael Kraus ist Partner bei CMS Deutschland am Standort Stuttgart. Er berät Unternehmen u.a. zu Fragen der Digitalisierung und des Daten(schutz)rechts.
RA Alexander Leister, LL.M. ist Counsel bei CMS Deutschland am Standort Stuttgart. Er berät Unternehmen im Gewerblichen Rechtsschutz bei technischen Sachverhalten und im Bereich des Know-how- und Geschäftsgeheimnisschutzes.
Aussagen des Autors und des Interviewpartners geben nicht unbedingt die Meinung der Redaktion und des Verlags wieder