Im datenschutzrechtlichen Spannungsfeld des „Home-Office“

Die Jahre 2020 und 2021 erforderten, bedingt durch das pandemische Geschehen (Sars-CoV-2), zunehmend eine gewisse unternehmerische Flexibilität (Stichwort: „Home-Office“). [...]

(c) Marlon POSSARD, B.A., M.A., M.Sc., EMA®

Viele Unternehmen mussten in kurzer Zeit die gesamten betrieblichen Abläufe nach außen, respektive in die jeweiligen Wohnräume der Mitarbeiterinnen, verlagern und das Phänomen „Home-Office“ weitete sich ebenso in Österreich aus. Auch im Jahr 2022 zeichnet sich ab, dass das „Home-Office“ weiterhin eine zentrale Rolle einnehmen wird. Diese betrieblichen Veränderungen innerhalb des Arbeitsablaufes sind auch mit datenschutzrechtlichen Fragestellungen verbunden, mit denen sowohl Buchhalterinnen als auch andere Mitarbeiter*innen des Rechnungswesens vertraut sein sollten.

Stellen Sie sich beispielhaft folgenden Sachverhalt vor:

Eine Mitarbeiterin bearbeitet einen Arbeitsauftrag im Home-Office, in dem personenbezogene Daten vorkommen. Aufgrund einer Kaffeepause am Balkon wird der Arbeitsplatz verlassen, die Daten sind jedoch weiterhin am Bildschirm ersichtlich1 . Da auch eine Reinigungskraft im Wohnhaus anwesend ist, stellt sich die Frage nach dem rechtskonformen Umgang der Datensicherung und des Datenschutzes, da die Reinigungskraft als Unbefugte*r im Sinne des Datenschutzes gilt. [1]

Von besonderer Bedeutung sind in Österreich i. d. Z. das DSG (Datenschutzgesetz) und die DS-GVO (Datenschutz-Grundverordnung). Die Verpflichtung zur Schaffung geeigneter datenschutzrechtlicher Maßnahmen trifft grundsätzlich die Arbeitgeberinnen als zuständige Verantwortliche. In Art. 32 Abs. 1 der DS-GVO normiert der Gesetzgeber folgende Notwendigkeiten sowohl für Arbeitgeberinnen als auch für Verarbeiterinnen, sprich Mitarbeiterinnen:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte 1 Im Sachverhalt wird angenommen, dass keine automatische Bildschirmsperre erfolgt. Eine solche Sperre wird jedoch dringend empfohlen, denn mittels einer solchen Einstellung kann die Zugänglichmachung von Daten gegenüber Unbefugten relativ leicht blockiert werden. Gedruckte Schriftstücke müssen, sofern das Zimmer nicht abgeschlossen wird, für die Zeit der Abwesenheit versperrt werden. und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; […].“ [2]

Wichtig in diesem Kontext ist, dass trotz der örtlichen Veränderung (= Abkehr von der Ausübung der Tätigkeit am Arbeitsplatz und Zuwendung zur Verrichtung der Arbeitsleistungen im „Home-Office“) Arbeitgeberinnen weiterhin verpflichtet sind, die datenschutzrechtlichen Aspekte des DSG und der DS-GVO einzuhalten. Die Örtlichkeit spielt also bei der Beurteilung der Einhaltung der datenschutzrechtlichen Regulierungen primär keine Rolle. Dahingehend stellt sich die Frage, wie solche datenschutzrechtlichen Aspekte im Home-Office implementierbar bzw. umsetzbar sind.

Tatsache in der Praxis ist, dass die EDV-Ausstattungen der Mitarbeiterinnen stark variieren, auch im buchhalterischen Sektor. Es eröffnet sich also eine Grauzone, die jedoch für die praktische Anwendung von hoher Priorität ist und die es zu klären gilt: Die Frage nach einer möglichen Haftung. Letztere ist i. d. Z. prinzipiell geregelt: So liegt die Haftung bzw. das Risiko einer ebensolchen, trotz „Home-Office“, weiterhin bei den Arbeitgeberinnen. Dadurch zeigt sich die Wichtigkeit der Thematik im Speziellen für Arbeitgeberinnen. Es ist sinnvoll, sich als Arbeitgeberin mit der Umsetzung von EDV-gestützten Systemen im „Home-Office“ bei den ausgelagerten Mitarbeiterinnen vertraut zu machen, diese dementsprechend auszustatten und in weiterer Folge auch zu schulen.

Von Relevanz kann in diesem Sinne also sein, dass Arbeitgeberinnen die technischen Ausstattungen für das Home-Office zur Verfügung stellen. Hier können Sicherheitsmaßnahmen[3] bereits im Vorfeld der Arbeitsaufnahme im „Home-Office“ implementiert werden, was das Risiko einer möglichen Haftung, im Gegensatz zur Verwendung von privaten EDV-Geräten der Mitarbeiterinnen, stark reduziert. Es muss in herausfordernden Zeiten – wie in jener der COVID-19-Pandemie – im Interesse der Arbeitgeberinnen sein, die Mitarbeiterinnen für ein effektives Arbeiten vom „Home-Office“ aus zu schulen, respektive zu instruieren, und sie im Umgang mit datenschutzrechtlichen Aspekten zu sensibilisieren. Gerade i. V. m. der Entsorgung von personenbezogenen Daten[4] ist hohe Vorsicht geboten, z. B. können ausgedruckte Dokumente nicht einfach gemeinsam mit dem Hausmüll entsorgt werden, sondern müssen gesondert beseitigt werden.

Conclusio: Empfohlen werden kann somit, dass Arbeitgeberinnen geeignete IT-Geräte für die Verwendung im Home-Office zur Verfügung stellen[5] , da die Verwendung von privaten IT-Geräten mit rechtlichen Problemfeldern verbunden ist (z. B. i. V. m. der Speicherung und Löschung von personenbezogenen Daten). Ideal wäre es auch, diese mit datenschutzrechtlichen Schutzmaßnahmen auszustatten, da bei Datenpannen die Folgen grundsätzlich von den Arbeitgeberinnen zu tragen sind. Somit kann einerseits erreicht werden, dass die private Nutzung von EDV-Geräten seitens der Mitarbeiterinnen für unternehmerische Zwecke eingeschränkt wird, andererseits die Möglichkeit der Senkung eines Haftungsrisikos für Arbeitgeberinnen.

Summa summarum liegt es im Verantwortungsbereich der Arbeitgeberinnen, geeignete Schutzmechanismen[6] – in Bezug auf den Datenschutz – im „Home-Office“ zu treffen. Vor dem Hintergrund der hohen Strafandrohungen sollte dies eine Selbstverständlichkeit darstellen, wenngleich das pandemische Geschehen für viele Arbeitgeberinnen und Mitarbeiter*innen mit tiefgreifenden Umbrüchen verbunden ist und auch vor dem Bereich des Rechnungswesens nicht Halt macht.

*Marlon Possard, geb. 1995 in Innsbruck, ist Fachhochschuldozent, Lehrbeauftragter und Lehrgangsleiter für Externes Rechnungswesen und digitale Buchhaltung mit den Schwerpunkten Unternehmens- und Steuerrecht. Er beschäftigt sich zudem mit Fragen der Rechnungslegungsethik.


[1] Im Sachverhalt wird angenommen, dass keine automatische Bildschirmsperre erfolgt. Eine solche Sperre wird jedoch dringend empfohlen, denn mittels einer solchen Einstellung kann die Zugänglichmachung von Daten gegenüber Unbefugten relativ leicht blockiert werden. Gedruckte Schriftstücke müssen, sofern das Zimmer nicht abgeschlossen wird, für die Zeit der Abwesenheit versperrt werden.

[2] Art. 32 Abs. 1 DS-GVO (Sicherheit der Verarbeitung), Online: https://www.jusline.at/gesetz/dsgvo/paragraf/32 [abgefragt am: 04.03.2021]

[3] Solche Sicherheitsmaßnahmen sollten immer im Rahmen eines Sicherheitskonzeptes erfolgen und ebendort professionell ausgearbeitet werden.

[4] Nicht nur bei der Entsorgung von personenbezogenen Daten sind bestimmte Schutzmechanismen (z. B. das Schreddern von vertraulichen Informationen) zu erfüllen, sondern bspw. auch bei Telefonaten, die mit geschäftlichen Zwecken verbunden sind. Dritte dürfen vom Inhalt solcher Gespräche, die auf dem Wege der Telekommunikation basieren, keine Kenntnis erhalten.

[5] Für ein solches Vorgehen spricht sich zum Beispiel auch die Wirtschaftskammer Vorarlberg aus. Siehe hierzu: ORF Vorarlberg (2020), Online: https://vorarlberg.orf.at/stories/3041044/ [abgefragt am: 05.03.2021]

[6] Dahingehend kann auch auf die sechs Sicherheitsmaßnahmen der Rechtsanwälte Gerald Ganzger und Daniel Söllner und des Informatikers Thomas Hrdinka verwiesen werden. Siehe hierzu: Ganzger, G.; Söllner, D.; Hrdinka Th. (2020), Online: https://www.trend.at/branchen/digital/datenschutz-datensicherheit-home-office-11761645 [abgefragt am: 05.03.2021]

Literaturempfehlungen:

Diregger, E. (2018): Handbuch Datenschutzrecht. Linde Verlag

Knyrim, R. (Hrsg.) (2020): Praxishandbuch Datenschutzrecht. (4. Auflage). MANZ Verlag

Nagel, N. (2019): Praxishandbuch Datenschutz. Leitfaden zur DSGVO für Juristen und Laien. TÜV Austria Fachverlag


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*