Datenschutz, Haftung und Kontrolle im Homeoffice

Die „Home-Office“-Studie des Bundesministeriums für Arbeit vom März 2021 zeigt auf, dass insgesamt rund 1,5 Millionen Arbeitnehmer:innen in Österreich in Zeiten der Coronakrise ihre Arbeitsleistung von zu Hause aus erledigten.

Auch für das Jahr 2023 kann konstatiert werden, dass das sog. mobile Arbeiten weiterhin eine zentrale Rolle in unternehmerischen Strukturen und im Bereich der öffentlichen Verwaltung einnimmt.

Diese betrieblichen Veränderungen innerhalb des Arbeitsablaufes (z. B. das Anfertigen von Schriftsätzen, die Erreichbarkeit der Mitarbeiter:innen) sind auch mit datenschutzrechtlichen Fragestellungen verbunden, mit denen sowohl Verwaltungsmitarbeiter:innen als auch andere Zuständige vertraut sein sollten. Dieser Beitrag versucht, auf kompakte Art und Weise die wesentlichen Schnittstellen im Kontext von Datenschutz, Haftung und Kontrolle zu skizzieren.

Stellen Sie sich folgendes Praxisbeispiel vor:

Ein:e Mitarbeiter:in bearbeitet einen Arbeitsauftrag im Home-Office, in dem personenbezogene Daten vorkommen. Aufgrund einer Kaffeepause am Balkon wird der Arbeitsplatz verlassen, die Daten sind jedoch weiterhin am Bildschirm ersichtlich. Da auch eine Reinigungskraft im Wohnhaus anwesend ist und es dieser möglich ist, die Daten einzusehen, stellt sich die Frage nach dem rechtskonformen Umgang der Datensicherung und des Datenschutzes, da die Reinigungskraft als Unbefugte:r im Sinne des Datenschutzes gilt.

Notwendigkeiten für Arbeitgeber und Mitarbeiter

Von besonderer Bedeutung sind in Österreich i. d. Z. das DSG (Datenschutzgesetz) und die DS-GVO (Datenschutz-Grundverordnung). Die Verpflichtung zur Schaffung geeigneter datenschutzrechtlicher Maßnahmen trifft grundsätzlich die Arbeitgeber:innen als zuständige Verantwortliche. In Art. 32 Abs. 1 der DS-GVO normiert der Gesetzgeber folgende Notwendigkeiten sowohl für Arbeitgeber:innen als auch für Verarbeiter:innen, demgemäß für Mitarbeiter:innen:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; [...].“

Datenschutz gilt auch im Homeoffice

Von Relevanz in diesem Kontext ist, dass trotz der örtlichen Veränderung (= Abkehr von der Ausübung der Tätigkeit am Arbeitsplatz und Zuwendung zur Verrichtung der Arbeitsleistungen im „Home-Office“) Arbeitgeber:innen weiterhin verpflichtet sind, die datenschutzrechtlichen Aspekte des DSG und der DS-GVO einzuhalten.

Die Örtlichkeit spielt also bei der Beurteilung der Einhaltung der datenschutzrechtlichen Regulierungen primär keine Rolle. Dahingehend stellt sich die Frage, wie solche datenschutzrechtlichen Aspekte im Home-Office implementierbar bzw. umsetzbar sind.

Tatsache in der Praxis ist, dass die EDV-Ausstattungen der Mitarbeiter:innen stark variieren, auch im verwaltungstechnischen Sektor. Es eröffnet sich also eine Grauzone, die jedoch für die praktische Anwendung von hoher Priorität ist und die es zu klären gilt:

Die Frage nach einer möglichen Haftung. Letztere ist i. d. Z. prinzipiell geregelt: So liegt die Haftung bzw. das Risiko einer ebensolchen, trotz „Home-Office“, weiterhin bei den Arbeitgeber:innen. Dadurch zeigt sich die Wichtigkeit der Thematik also vor allem für Arbeitgeber:innen. Es ist sinnvoll, sich als Arbeitgeber:in mit der Umsetzung von EDV- gestützten Systemen im „Home-Office“ bei den ausgelagerten Mitarbeiter:innen vertraut zu machen, diese dementsprechend auszustatten und in weiterer Folge auch zu schulen.

Es muss in herausfordernden Zeiten – wie damals in jener der COVID-19-Pandemie – im Interesse der Arbeitgeber:innen sein, die Mitarbeiter:innen für ein effektives Arbeiten vom „Home-Office“ aus zu schulen, respektive zu instruieren, und sie im Umgang mit datenschutzrechtlichen Aspekten zu sensibilisieren.

Gerade i. V. m. der Entsorgung von personenbezogenen Daten ist hohe Vorsicht geboten, z. B. können ausgedruckte Dokumente nicht einfach gemeinsam mit dem Hausmüll entsorgt werden, sondern müssen gesondert beseitigt werden. Der leichtfertige Umgang mit Daten begünstigt zudem die Möglichkeit von Cyberattacken durch Dritte und minimiert die Chance, dass sich mobiles Arbeiten zu einem bleibenden Modell des digitalen Fortschritts entwickeln kann.

Folgen von Datenpannen trägt der Arbeitgeber

Empfohlen werden kann somit, dass Arbeitgeber:innen geeignete IT-Geräte für die Verwendung im Home-Office zur Verfügung stellen, da die Verwendung von privaten IT- Geräten mit rechtlichen Problemfeldern verbunden ist (z. B. in Verbindung mit der Speicherung und Löschung von personenbezogenen Daten).

Ideal wäre es auch, diese mit datenschutzrechtlichen Schutzmaßnahmen auszustatten, da bei Datenpannen die Folgen grundsätzlich von den Arbeitgeber:innen zu tragen sind. Somit kann einerseits erreicht werden, dass die private Nutzung von EDV-Geräten seitens der Mitarbeiter:innen für unternehmerische Zwecke eingeschränkt wird, andererseits die Möglichkeit der Senkung eines Haftungsrisikos für Arbeitgeber:innen.

Summa summarum liegt es im Verantwortungsbereich der Arbeitgeber:innen, geeignete Schutzmechanismen und effiziente Infrastruktur – in Bezug auf den Datenschutz – im Kontext des mobilen Arbeitens zu treffen.

Vor dem Hintergrund der hohen Strafandrohungen sollte dies eine Selbstverständlichkeit darstellen, wenngleich das pandemische Geschehen, das nun (hoffentlich) eingedämmt werden konnte, für viele Arbeitgeber:innen und Mitarbeiter:innen mit tiefgreifenden Umbrüchen verbunden war und weiterhin ist.

Eine Auseinandersetzung mit Fragen des Datenschutzes, der Haftung und der Kontrolle kann jedenfalls längerfristig sowohl Qualität als auch Wirtschaftlichkeit sicherstellen, um die Verwaltung vor weiteren Krisen zu schützen.

Homeoffice ist kein rechtsfreier Raum