Mittlerweile haben sehr viele Unternehmen die Beschäftigten,  bei denen die Tätigkeit auch im Home Office möglich ist, in selbiges verfrachtet. Im ersten Teil haben wir Sie dabei unterstützt: Wie Sie ein Einvernehmen mit den Beschäftigten über das Home Office herstellen, wie notfalls auch mit privaten Geräten gearbeitet werden kann, wie der Zugriff auf E-Mails von statten gehen und wie die benötigte IT-Richtlinie aussehen kann. Das waren unsere 6 Schritte per UYOD ins Home Office – HEUREKA, mag nun die ein oder andere denken.

Nun, da die Arbeitsfähigkeit zumindest in Teilen gesichert ist, kommt jedoch noch ein wenig Arbeit auf Sie zu. Ein paar Dokumente werden schon benötigt, damit auch der Schutz von personenbezogenen Daten sichergestellt und vor allem auch nachgewiesen ist.

Wir haben das im ersten Teil schon angedeutet und versprochen zu erläutern, was „später“ noch getan werden muss. Nun denn:

Was muss jetzt noch getan werden?

Nicht dass hier Klagen kommen: Ja, Pragmatismus ist super und es ist toll, dass das Unternehmen dank Home Office noch handlungsfähig ist. Wenn aber Daten verloren gehen, seien es personenbezogene Daten oder auch schlicht Betriebsinterna, kann das auch sehr unschöne Folgen für das Unternehmen haben. Die Aufsichtsbehörden haben angekündigt, dass die inoffizielle Schonzeit vorbei sei und Datenschutzverstöße nun geahndet werden. Möglicherweise mag das während der aktuellen Krise ein wenig langsamer von statten gehen – aber die Krise geht vorbei. Ganz abgesehen von Bußgeldern: Es ist auch im eigenen Interesse, dass IT-Sicherheit und Datenschutz beachtet wird. Niemand möchte schlechte Presse wegen Datenschutzverstößen. Vor allem möchte niemand wertvolle Arbeitszeit zur Schadensbegrenzung einsetzen, weil bspw. durch falsche Berechtigungskonzepte der gekündigte Mitarbeiter alles löschte, was ihm in die Finger kam. Daher ist es besser, Sie kümmern sich drum.

In normalen Zeiten, wenn Sie also nicht gerade holterdipolter die Belegschaft in Home Office verfrachtet hätten und nun die Dinge gerade ziehen müssten, wäre für die DSGVO-Compliance nun ein klarer Fahrplan angesagt, so wie er hier ausgeführt wird. Sofern Sie das noch nicht gemacht haben, sollten Sie sich darum kümmern, sobald es die Prioritäten zulassen.

Erster Punkt ist dann immer das Verzeichnis von Verarbeitungstätigkeiten – weshalb, erkläre ich Ihnen unten. Die folgende Liste ist der aktuellen Situation geschuldet und entspricht NICHT der regulär empfohlenen Reihenfolge. Die nun folgende Sortierung ist (ausnahmsweise, Sie wissen schon) auch nicht zwingend:

• Regelungen zum Home Office
• IT- und Datenschutzrichtlinie
• Dokumentation über Meldepflichten bei einer Datenpanne
• Verpflichtung auf Vertraulichkeit nach dem Datenschutz
• Auftragsverarbeitungsvereinbarungen
• Information zur Datenverarbeitung
• Verzeichnis der Verarbeitungstätigkeiten

Nur, damit wir uns nicht missverstehen: Das hier ist nicht die Kür. Wir sprechen von Pflichten, die die DSGVO Ihnen auferlegt. Pflichten, die Sie erfüllen müssen, um Ihre IT-Sicherheit im Griff zu haben und Bußgeldern zu entgehen.

Den ganzen Artikel lesen.

Es ist noch nicht lange her, da war Corona bzw. Covid19 eine ferne Geschichte aus dem noch ferneren China. Eine Epidemie wie sie nun einmal auf fernen Kontinenten ausbricht und nichts mit uns in Europa zu tun hat. Und als Covid19 langsam auf unseren Kontinent schwappte, nahmen viele diesen kleinen Virus nicht ernst. Sagten nicht auch einige Ärzte zu Beginn, er sei nicht schlimmer als eine Grippe? Ich gestehe, auch ich habe das Problem erst verstanden als ich am 08. März – im Urlaub in einem verschlafenen Nest in Tirol – den Artikel Ist Covid-19 wirklich gefährlicher als die Grippe? von dem Wissenschaftsjournalisten Lars Fischer gelesen hatte. (Damals wussten wir noch nichts davon, dass das RKI Tirol wenige Tage später zu einem Hochrisikogebiet erklären würde, aber das ist eine andere Geschichte…)

Knapp 14 Tage später ist das Land, sind wir, in einem Zustand, den wir noch nicht kannten. Inzwischen hat jedes Bundesland Allgemeinverfügungen oder Verordnungen erlassen und Ausgangsbeschränkungen verhängt. Ganz generell sind alle Bürger dazu aufgerufen, wann immer möglich, zu Hause zu bleiben und alle Arbeitgeber sind gehalten, dies zu unterstützen – sofern die Art der Arbeit dies erlaubt.

Doch es gibt eben nicht nur urbane, hochdigitalisierte arbeitende Hippster, die schon seit Jahren mindestens tageweise im Home Office sitzen und Unternehmen, für die solche Arbeitsformen selbstverständlich sind. Davon abgesehen, dass nicht wenige Unternehmen weiterhin der Meinung sind, ein*e Mitarbeiter*in arbeite ja „nicht richtig“, wenn sie zu Hause am Computer sitzt, steht dem Home Office – allen Sonntagsreden zur Digitalisierung Deutschlands zum Trotz- noch eine ganz andere Hürde im Jahr 2020 entgegen:

Viele Unternehmen sind (immer noch) nicht darauf vorbereitet, dass ihre Mitarbeiter auch remote arbeiten können bzw. können müssen. Die Infrastruktur sieht nur vor, dass die Mitarbeiter*innen ins Büro kommen und über das firmeninterne Netzwerk auf den im Keller oder hinter dem Büroschrank stehenden Server zugreifen. Fine.

O tempora o mores. So manche*r Unternehmer*in wünscht jetzt, er oder sie hätte dazu schon frühe eine andere Haltung gehabt. Aber was soll es. Es nützt ja nichts. Die Mitarbeiter gehören jetzt ins Home Office. Und das nicht nur aus Solidarität gegenüber der Gesellschaft, sondern aus handfestem unternehmerischem Eigeninteresse. Schließlich hilft es dem Unternehmen nicht, wenn Corona-Infektionen in der Firma auftauchen und binnen Tagen faktisch ein 10-, 20-, 150- oder 420-köpfiges Team komplett lahmgelegt wird.

Was können wir  jetzt tun?

An sich müsste eine Menge getan werden. Aus arbeitsrechtlicher wie datenschutzrechtlicher Sicht sowie aus der Perspektive der IT-Sicherheit. Aber ganz ehrlich, dazu hat in der aktuten Krise niemand den Kopf, die Zeit und die Ressourcen. Deswegen müssen jetzt pragmatische Ansätze gewählt und das Nötigste getan werden. Jetzt geht es um die Erhaltung der Arbeitsfähigkeit des Unternehmens und eine Art Grundsicherung in Sachen Datenschutz und IT-Sicherheit. Sobald wieder mehr als auf Sicht gefahren werden kann, muss dann die notwendige Re- bzw. Erststrukturierung im Ganzen umgesetzt werden. Was das heißt, das können Sie am Ende des Artikels gerne nachlesen.

Nun kommen aber die zwei versprochenen Ansätze, mit denen Sie Ihre Firma ebenso zügig wie halbwegs rechts- und IT-sicher ins Home Office bekommen. Zunächst befassen wir uns mit dem komplizierten Fall, dass Ihre Mitarbeiter nicht über firmeneigene mobile Geräte verfügen und nur private Devices zur Verfügung stehen. Im Anschluss befassen wir uns mit dem „einfacheren“ Fall, dass Sie „nur noch“ das Home Office regeln müssen.

Den ganzen Artikel lesen.

Aus Sicht der Datenschutz- und Arbeitsrechtlerin wahrlich nichts Neues: Bewerbungsmanagement- und Personalmanagement- sowie Personalentwicklungssoftware sind vor der Implementierung und dem Einsatz im Unternehmen nicht nur von der Fachabteilung auf Anwenderfreundlichkeit und Effektivität zu bewerten, sondern auch von der IT-Abteilung auf Datensicherheit sowie wie dem Legal Department oder den entsprechend spezialisierten Anwälten auf datenschutz- und arbeitsrechtliche Fallstricke zu prüfen. Hierauf weise ich nicht nur im Rahmen meiner Beratungen stets hin, sondern schrieb dazu bereits unter anderem hier (DSGVO-Praxisleitfaden für KMU: In acht Schritten zur Compliance) und hier (Recruiting- und Personalauswahlverfahren unter DSGVO und BDSG) sowie hier (Datenschutz im Beschäftigtenverhältnis–Teil 2).

Und doch, oh weh, oh ach, dieser Datenschutz. Da wird doch der Anbieter des Systems schon drauf geachtet haben. Und überhaupt, es passiert ja doch nichts.

Tja. In diesem Glauben kann man bleiben, sollte man jedoch aus purem Eigeninteresse im Hinblick auf die Firmenbilanz wie auch die Integrität vielleicht besser doch nicht.

Nicht nur, dass die recht langsamen Mühlen der Behörden inzwischen mit all ihrer Gründlichkeit den einen oder anderen Sack Mehl fertig gemahlen, vielmehr Bußgeldbescheide versendet haben. So wie beispielsweise

• die Berliner Beauftragte für Datenschutz und Informationssicherheit mit dem Bußgeldbescheid über 14,5 Millionen Euro gegenüber der Deutschen Wohnen SE
• der Bundesdatenschutzbeauftragte mit dem Bußgeldbescheid über 9,5 Millionen Euro gegenüber der 1&1 GmbH
• der Landesbeauftragte Rheinland-Pfalz mit dem Bußgeldbescheid über 105.000 EUR gegenüber der Universitätsklinik Mainz
• der Bundesdatenschutzbeauftragte mit einem Bußgeld in Höhe von 10.000 EUR gegenüber der Rapidate GmbH.

Die Verhängung von Bußgeldern durch eine Behörde bedeutet dabei selbstverständlich nicht, dass diese Bescheide rechtskräftig sind. Gegen diese kann Einspruch erhoben werden. Und sowohl von der Deutsche Wohnen SE als auch der 1&1 GmbH heißt es, dass diese Einsprüche getätigt haben oder tätigen wollen. Die Frage, ob man aber überhaupt erst einmal auf diese Art und Weise mit einer Datenschutzbehörde in Kontakt kommen möchte und dann vor einem Amtsrichter am Strafgericht (bei Geldbußen bis zu 100.000 EUR) oder vor der Kammer am Landgericht für Strafsachen (bei Geldbußen ab 100.000 EUR) Fragen der DSGVO erörtern möchte, wenn doch die Richter sich bisher mit Verkehrsordnungswidrigkeiten bzw. Raub und Totschlag befassten, das würde ich als Geschäftsführer wohl mit „Nein“ beantworten. (Also als Anwältin mit jubelndem Herzen mit „JA!“… aber das ist wohl eine andere Perspektive 😉 ).

Sondern inzwischen ist auch die erste Personalsoftware fest im Blick einer Behörde. Genau genommen steht die die von Zalando zur Mitarbeiterbewertung eingesetzte Software Zonar im Blick der Berliner Beauftragten für Datenschutz und Informationssicherheit.

Grund genug einmal einen Blick auf den Fall Zonar sowie  auf die grundsätzlichen datenschutz- und arbeitsrechtlichen Anforderungen an Personalsoftware zu werfen.

Den ganzen Artikel lesen.

Am 14. Mai erging das EuGH Urteil C-55/18 zur #Arbeitszeiterfassung, #Arbeitszeit, #Arbeitsrecht (so die Hashtags auf Twitter). Wilde Aufregung macht sich breit. Aus, Aus, Auuuus! für die Vertrauensarbeitszeit, Stechuhren regieren das Land, ein neues Bürokratiemonster rennt durch die EU. So jedenfalls der Eindruck, wenn man den vorgenannten Hashtags folgt und den „Analysen“ Glauben schenkte, die zuweilen gefühlte drei Sekunden nach der Pressemitteilung (sic!) des EuGH unter den vorgenannten Hashtags zu finden und zu lesen waren.

Nach dem ich mein Unbehagen (latent genervt) über die Untergangspropheten kundtat (btw, seit wann ist diese Empörungskultur eigentlich in die iwS juristische Blase gedrungen?!), wurde ich immer wieder gefragt, was denn aber  dann in dem Urteil stünde bzw. dran sei.

Uff, eigentlich hab ich gerade gar nicht die Zeit. Aber hier in aller Kürze. (Rechtschreibfehler können Sie deswegen gerne behalten.)

tl,dr: Nicht viel.

Doch der Reihe nach.

Den ganzen Artikel lesen.

Sie werden sich jetzt sicherlich fragen: „Huch, bin ich auf der falschen Internetseite? Wo sind die langen Blogartikel zu einem Thema, die Diercks-Digital-Recht normalerweise veröffentlicht?“.

Keine Angst, Sie sind hier schon ganz richtig. Wir machen nur einfach mal etwas Neues neben dem Alten. Mit dem „Rechtsüberblick“ wird es an dieser Stelle künftig  in mehr oder weniger regelmäßigen Abständen zusätzlich Hinweise zu aktuellen und/oder schlicht interessanten Artikeln, Themen und/oder Rechtsentwicklungen aus dem Datenschutz-, IT- und Arbeitsrecht geben. Kuratiert von allen in der Kanzlei, aufbereitet von mir, Hannah Zink, der neuen studentischen Mitarbeiterin der Anwaltskanzlei Diercks. (An dieser Stelle sage ich, Nina Diercks: Herzlich Willkommen Hannah!)

Viel Spaß beim Lesen!

 Den ganzen Artikel lesen.