Mittlerweile haben sehr viele Unternehmen die Beschäftigten, bei denen die Tätigkeit auch im Home Office möglich ist, in selbiges verfrachtet. Im ersten Teil haben wir Sie dabei unterstützt: Wie Sie ein Einvernehmen mit den Beschäftigten über das Home Office herstellen, wie notfalls auch mit privaten Geräten gearbeitet werden kann, wie der Zugriff auf E-Mails von statten gehen und wie die benötigte IT-Richtlinie aussehen kann. Das waren unsere 6 Schritte per UYOD ins Home Office – HEUREKA, mag nun die ein oder andere denken.
Nun, da die Arbeitsfähigkeit zumindest in Teilen gesichert ist, kommt jedoch noch ein wenig Arbeit auf Sie zu. Ein paar Dokumente werden schon benötigt, damit auch der Schutz von personenbezogenen Daten sichergestellt und vor allem auch nachgewiesen ist.
Wir haben das im ersten Teil schon angedeutet und versprochen zu erläutern, was „später“ noch getan werden muss. Nun denn:
Was muss jetzt noch getan werden?
Nicht dass hier Klagen kommen: Ja, Pragmatismus ist super und es ist toll, dass das Unternehmen dank Home Office noch handlungsfähig ist. Wenn aber Daten verloren gehen, seien es personenbezogene Daten oder auch schlicht Betriebsinterna, kann das auch sehr unschöne Folgen für das Unternehmen haben. Die Aufsichtsbehörden haben angekündigt, dass die inoffizielle Schonzeit vorbei sei und Datenschutzverstöße nun geahndet werden. Möglicherweise mag das während der aktuellen Krise ein wenig langsamer von statten gehen – aber die Krise geht vorbei. Ganz abgesehen von Bußgeldern: Es ist auch im eigenen Interesse, dass IT-Sicherheit und Datenschutz beachtet wird. Niemand möchte schlechte Presse wegen Datenschutzverstößen. Vor allem möchte niemand wertvolle Arbeitszeit zur Schadensbegrenzung einsetzen, weil bspw. durch falsche Berechtigungskonzepte der gekündigte Mitarbeiter alles löschte, was ihm in die Finger kam. Daher ist es besser, Sie kümmern sich drum.
In normalen Zeiten, wenn Sie also nicht gerade holterdipolter die Belegschaft in Home Office verfrachtet hätten und nun die Dinge gerade ziehen müssten, wäre für die DSGVO-Compliance nun ein klarer Fahrplan angesagt, so wie er hier ausgeführt wird. Sofern Sie das noch nicht gemacht haben, sollten Sie sich darum kümmern, sobald es die Prioritäten zulassen.
Erster Punkt ist dann immer das Verzeichnis von Verarbeitungstätigkeiten – weshalb, erkläre ich Ihnen unten. Die folgende Liste ist der aktuellen Situation geschuldet und entspricht NICHT der regulär empfohlenen Reihenfolge. Die nun folgende Sortierung ist (ausnahmsweise, Sie wissen schon) auch nicht zwingend:
- Regelungen zum Home Office
- IT- und Datenschutzrichtlinie
- Dokumentation über Meldepflichten bei einer Datenpanne
- Verpflichtung auf Vertraulichkeit nach dem Datenschutz
- Auftragsverarbeitungsvereinbarungen
- Information zur Datenverarbeitung
- Verzeichnis der Verarbeitungstätigkeiten
Nur, damit wir uns nicht missverstehen: Das hier ist nicht die Kür. Wir sprechen von Pflichten, die die DSGVO Ihnen auferlegt. Pflichten, die Sie erfüllen müssen, um Ihre IT-Sicherheit im Griff zu haben und Bußgeldern zu entgehen.
Für den Fall, dass Sie im vorherigen Artikel zwar gelesen haben, dass es eine Vereinbarung zum Home Office braucht, das aber nicht weiter beachtet haben (Hand aufs Herz, Sie haben es nicht beachtet, oder?), zunächst noch einmal zu einem der wichtigsten Punkte (wenn Sie es gelesen haben, können Sie direkt zu Punkt 2 scrollen):
1. Regelungen zum Home Office
Ob Sie Regelungen zum Home Office in die IT-und Datenschutzrichtlinie einbetten oder ob Sie eine gesonderte Home-Office-Richtlinie (die in Teilen natürlich auf die IT- und Datenschutzrichtlinie verweisen wird) schreiben – völlig egal, Hauptsache Sie haben überhaupt eine Regelung, denn die brauchen Sie.
Das ULD hat eine kleine Zusammenfassung wichtiger Datenschutzaspekte für Menschen im Home Office geschrieben, die Sie weitergeben können. Falls Hoffnung aufkeimte – nein, das ersetzt nicht die Regelungen, die Sie im Unternehmen dafür treffen müssen.
Welchen Inhalt Regelungen zum Home Office haben müssen, haben wir im im ersten Teil zu Ziffer 5 ausfgeführt.
Falls Sie aus Zeitgründen auf ein Muster zurückgreifen wollen, verwenden Sie es nicht ungesehen. Lesen Sie es gut durch und passen Sie es auf Ihre Situation, auf die des Unternehmens und der Beschäftigten an. Oft gehen Muster davon aus, dass bestimmte Dokumente und Richtlinien schon vorhanden sind und lassen daher wichtige Themen aus. Das hat zur Folge, dass Sie nur einen Teil dessen haben, was Sie haben müssten – ohne es zu wissen.
Die Regelung fürs Home Office kann gerne mit Augenmaß und ein wenig Pragmatismus erstellt werden. Wenn Sie Unterstützung bei der Erstellung oder Anpassung brauchen – wir helfen gern.
2. IT- und Datenschutzrichtlinie
Auch extrem wichtig – die IT- und Datenschutzrichtlinie. Sie müssen festlegen, wie in Ihrem Unternehmen mit personenbezogenen Daten und der IT, mit der man diese Daten verarbeitet, umgegangen wird. Das sind die datenschutzrechtlichen Grundsätze Ihres Unternehmens. Es reicht nicht aus, dass (fast) alle wissen, dass man Notizen zu Personalgesprächen und die Umsatzzahlen des letzten Quartals nicht im Papierkorb, sondern im Shredder oder der Datenschutztonne entsorgt.
To do:
Sie müssen die grundsätzlichen Vorgaben zum Umgang mit personenbezogenen Daten aufschreiben und Ihre Beschäftigten anweisen, dass sie sich an diese aufgeschrieben Grundsätze halten.
Zum einen, damit vergessliche und neue Mitarbeiter es nachlesen können. Zum anderen, weil Sie nachweisen können müssen, dass Sie in Ihrem Unternehmen den Datenschutz einhalten (Sie erinnern sich – das hier ist nicht die Kür, sondern die Pflicht). Und das können Sie nur nachweisen, wenn Sie die Grundsätze, nach denen personenbezogene Daten geschützt werden, auch vorlegen können. Ausführlicher können Sie das in einem früheren Beitrag nachlesen.
3. Dokumentation über die Meldepflichten im Falle einer Datenpanne
Stellen Sie sich folgendes Szenario vor: Ein Mitarbeiter aus der Personalabteilung bekommt per Mail eine Bewerbung für die wegen der Pandemie dringend benötigte Stelle. Er öffnet den Anhang – und der Bildschirm gefriert, es erscheint eine Nachricht, dass der Rechner verschlüsselt wurde und man Schadenersatz bezahlen soll. Der Rechner ist unbrauchbar – wen ruft der Mitarbeiter nun an? Woher weiß er, was zu tun ist?
Für solche IT-Notfälle, aber auch für den Fall einer Datenpanne wie dem versehentlichen Versenden der Krankmeldung eines Beschäftigten an einen Dritten, muss klar sein, was zu tun ist. Auch, wenn man im Home Office ist und nicht einfach im Intranet mit dem Rechner des Kollegen nach der richtigen Telefonnummer suchen kann.
Aber auch die angerufene Person muss wissen, was zu tun ist. Denn: Bei einer Datenpanne sieht die DSGVO eine Reaktionsfrist von 72 Stunden vor, innerhalb der man die Datenpanne der Aufsichtsbehörde melden muss. Da müssen also alle Rädchen ineinander greifen, damit der Sachverhalt schnell ermittelt ist und sodann bewertet werden kann. Wenn dann gemeldet werden soll, muss die Meldung auch noch geschrieben werden -das alles unter Zeitdruck. Und vielleicht müssen Sie sogar den oder die von der Panne betroffenen Personen informieren.
To do:
Sie brauchen daher eine klare Dokumentation und Prozessanweisung für die Beschäftigten, die all das regelt. Am wichtigsten dabei: Alle müssen wissen, an wen sie sich wenden müssen, damit der Prozess ins Rollen kommt. Da dieses Wissen auch dann vorhanden sein muss, wenn der eigene Rechner im Home Office nicht funktioniert, ist für diesen Fall vielleicht sogar Papier eine Lösung – mit einer ausgedruckten Liste der Notfallkontakte.
Falls Sie diesen Artikel nur aus Interesse lesen, aber gar kein Home Office anbieten können/wollen/dürfen – auch Ihr Unternehmen benötigt eine solche Dokumentation. Denn Datenpannen passieren natürlich nicht nur im Home Office.
4. Verpflichtung auf Vertraulichkeit nach dem Datenschutz
Das ist wirklich schnell erledigt und tut nicht weh, versprochen. Falls noch nicht geschehen, müssen alle Beschäftigten auf die Vertraulichkeit und Beachtung des Datenschutzes verpflichtet werden. Diese Pflicht zur Verpflichtung (es gibt sie schon länger als die DSGVO) bedeutet, dass Sie alle Beschäftigten mittels eines Formblattes zur Vertraulichkeit verpflichten und darüber aufklären müssen, dass personenbezogene Daten nicht unbefugt verarbeitet und/oder Dritten mitgeteilt oder zugänglich gemacht werden dürfen. Außerdem müssen Sie darauf hinweisen, dass und wie die DSGVO Verstöße sanktioniert. Dazu geben Sie ein Merkblatt mit einem Auszug aus den Normen der DSGVO (Art. 4, 5 Abs. 1 f), Art. 82 Abs. 1, Art. 83 Abs. 4 und 5) sowie § 42 BDSG mit.
To do:
Erstellen Sie die Vertraulichkeitserklärung und lassen Sie diese gegenzeichnen. Oftmals gibt es hier einen Kommunikationsbedarf, da die Mitarbeiter glauben, Sie würden sich erst mit diesem Blatt auf die Einhaltung der DSGVO verpflichten. An dieser Stelle müssen Sie die Mitarbeiter darüber aufklären, dass sie ohnehin dem Gesetz verpflichtet sind und Sie sie gerade nur darüber aufklären. Und weiter, dass Sie als Arbeitgeber verpflichtet sind, diese Aufklärung zu dokumentieren. Dabei handelt es sich übrigens um eine organisatorische Maßnahme im Sinne des Art. 32 DSGVO.
Um Ihrer Dokumentationspflicht nachzukommen – Sie müssen nachweisen können, dass Sie die Belegschaft tatsächlich auf die Vertraulichkeit verpflichtet haben – empfiehlt sich eben die Gegenzeichnung. Lassen Sie sich den Erhalt der Verpflichtung und des Merkblatts von Ihren Beschäftigten schriftlich bestätigen und nehmen diese Bestätigung zur Personalakte.
5. Auftragsverarbeitungsvereinbarungen
Sind Sie Dienstleister und haben mit Ihrem Kunden eine Auftragsverarbeitungsvereinbarung (AVV) geschlossen? Etwa weil Ihr Unternehmen Serverumzüge organisiert, Datenbanken optimiert, Lohnberechnungen durchführt oder aus anderen Gründen mit personenbezogenen Daten Ihres Kunden umgeht? Dann sollten Sie schnell einen Blick in die AVV werfen. Steht dort, dass die Tätigkeit außerhalb der Betriebsstätte des Auftragnehmers (das sind Sie!) nicht oder nur mit Einwilligung des Auftraggebers möglich ist? Dann melden Sie sich schnell bei Ihrem Kunden und klären das Thema. Sollten Sie personenbezogene Daten im Auftrag Ihrer Kunden verarbeiten und bisher keine AVV abgeschlossen haben, sollten Sie das auch schleunigst nachholen.
To do:
Prüfen Sie bestehende Auftragsverarbeitungsvereinbarungen, ob Home Office Ihrer Beschäftigten erlaubt ist und klären, falls es das nicht ist. Prüfen Sie auch, ob Sie noch Vertrgsbeziehungen haben, bei denen eine Auftragsvereinbarung geschlossen werden sollte (egal ob Sie Kunde oder Dienstleister sind).
6. Information zur Datenverarbeitung
Möglicherweise müssen Sie die Informationen zur Datenverarbeitung (IDV) von Beschäftigtendaten überarbeiten. Diese IDV müss(t)en Sie ohnehin unabhängig von der Corona-Krise oder einer neuen Home Office Regelung bereits erstellt haben. Sie sind schließlich nach Art. 12, 13 DSGVO verpflichtet, Ihre Beschäftigten darüber aufzuklären wie das Unternehmen mit ihren personenbezogenen Daten umgeht, an wen diese gegebenenfalls weitergegeben werden und auf welcher Rechtsgrundlage dies geschieht.
In den folgenden Fällen müssen Sie möglicherweise Änderungen vornehmen:
Falls Ihr Unternehmen rechtmäßig erfasst (hat), ob sich Beschäftigte in einem Risikogebiet aufgehalten haben, müssen Sie die Beschäftigten über diese Datenverarbeitung informieren. Gleiches gilt, wenn Sie private Kontaktdaten erheben, um aktuell über betriebliche Belange wie veränderte Arbeitszeiten angesichts der Pandemie-Lage zu informieren. Auch wenn Sie Ihre Beschäftigten im Home Office arbeiten lassen, erfassen Sie nun möglicherweise weitere Daten von Ihren Beschäftigten und müssen über diese neue Datenverarbeitun informieren.
To do:
Wenn Sie bereits IDV für Ihre Beschäftigten haben, prüfen Sie, ob diese geändert werden müssen. Wenn Sie noch keine IDV für die Beschäftigten haben: Schreiben Sie es dick auf Ihre To-Do-Liste.
Und an dieser Stelle sei ausdrücklich bemerkt: Informationen zur Datenverarbeitung werden nicht nur für Beschäftigte benötigt, sondern auch für die Besucher Ihrer Webseite, für Kunden, Lieferanten und Interessenten sowie für etwaige andere Gruppen, deren personenbezogene Daten Sie verarbeiten.
7. Verzeichnis der Verarbeitungstätigkeiten
Sicherlich derzeit nicht höchste Priorität, aber trotzdem ein Punkt auf der To-Do-Liste: Auch im Verzeichnis der Verarbeitungstätigkeiten (VVT) werden Änderungen nötig sein, wenn Remote-Arbeitsplätze bisher keine Rolle in Ihrem Unternehmen spielten und daher im VVT nicht aufgeführt werden.
Sie haben kein VVT? Poor you! Das VVT lässt sich prima als zentrales Modul Ihres Datenschutzkonzepts verwenden. Jemand fragt nach Löschfristen? Stehen im VVT. Jemand möchte wissen, welche Daten Sie über ihn haben? Kein Problem, im VVT stehen alle Verfahren, bei denen personenbezogene Daten verarbeitet werden, so können Sie gezielt die Informationen für die Auskunft zusammensuchen. Auch beim Schreiben der IDV hilft das VVT, da Sie in IDV letztlich über die Verarbeitungen informieren, die schon im VVT beschrieben sind.
Es gibt also ohnehin schon gute Gründe für ein VVT, es bringt Übersichtlichkeit und Sicherheit. Ganz nebenbei verpflichtet Art. 30 DSGVO auch, ein solches Verzeichnis zu führen – mit den bekannten Folgen, nämlich einer sehr hohen Bußgeldandrohung, wenn ein solches im Unternehmen nicht vorhanden ist.
To do:
Ergänzen Sie Ihr VVT. Wenn Sie keines haben, planen Sie schleunigst (!) die Erstellung eines solchen.
8. Dokumentation für Auskunftsverlangen, Löschkonzept
Zugegeben – an diesen Dokumenten ändert sich durch das Home Office vermutlich nichts. Allerdings sind das Dokumente, die Sie benötigen. Falls jemand bei Ihnen Auskunft über die über ihn gespeicherten Daten verlangt – das kann ein Kunde, aber auch ein Beschäftigter sein, sollte nicht kopfloses Suchen beginnen. Mit einer entsprechenden Dokumentation wissen Sie, was zu tun ist und können entspannt „unverzüglich“ antworten. So sieht es die DSGVO vor, dass unverzüglich geantwortet wird, ohne zögern und zaudern.
Bei jedem personenbezogenen Datum sollten Sie wissen, wann es wieder gelöscht wird. Denn Datenschutz heißt auch, nicht alles ewig aufzubewahren, nur weil Festplattenspeicher so günstig ist. Vielmehr ist es so, dass personenbezogene Daten nur solange aufbewahrt werden dürfen, wie man sie benötigt oder das Gesetz es verlangt. Der springende Punkt ist daher zu klären, welche Daten man wie lange benötigt. Wie lange benötigen Sie die Kontaktdaten des Kunden, der seit zwei Jahren nicht bestellt hat? Wissen Sie noch, wer sich letztes Frühjahr bei Ihnen beworben, aber eine Absage bekommen hat? Falls ja und Sie das nur noch im Kopf haben – fein. Falls Sie aber einfach in Ihren E-Mails schauen konnten, ist das nicht so gut. Dann haben Sie entweder kein Löschkonzept oder aber es wird nicht umgesetzt. Ändern Sie das.
Wenn Sie mit all dem durch sind und all die erwähnten Dokumente vorliegen hatten, haben Sie die IT- und datenschutzrechtliche Situation ganz gut im Griff. Aber es kann weitergehen, beispielsweise mit Unterweisungen zum Arbeitsschutz. Auch im Home Office ist der Arbeitgeber dafür verantwortlich, dass Arbeitnehmer eine gute Arbeitsumgebung haben, die die Gesundheit nicht gefährdet. Natürlich könnte ein Mitarbeiter der Arbeitssicherheit bei den Kolleginnen und Kollegen im Home Office vorbeischauen – aber das möchte nun wirklich niemand. Einfacher ist es, den Beschäftigten ausreichende und angemessene Informationen für ihren konkreten Arbeitsplatz zu geben. Das können also Informationen über die ergonomische Einrichtung eines Arbeitsplatzes im Home Office sein, Informationen zu Pausen und Lockerungsübungen oder ähnlichem.
Falls Sie doch noch das ein oder andere zu tun haben – geben Sie sich einen Ruck und machen sich ans Werk. Es soll sogar Menschen geben, die Ihnen dabei helfen könnten. ?
