Lesezeit: 4 Min
Tipps für den richtigen Umgang um Strafen zu vermeiden
Im Moment sind wir alle dazu angehalten, wo es möglich ist, von zu Hause aus zu arbeiten. Aber schon vor Corona war das Homeoffice stark im Kommen. Die aktuelle Situation kann die Arbeitswelt darüber hinaus deutlich verändern.
Bei allen positiven Faktoren, die diese Art der Arbeit mit sich bringt, gilt es aber auch die des Datenschutzes und der IT-Sicherheit zu beleuchten. Wenn sich mehr und mehr die Arbeit in den privaten Raum verlagert, müssen auch die Gegebenheiten in einer professionellen Art und Weise angepasst werden.
Zum Thema Homeoffice und Datenschutz haben wir Ihnen bereits wichtige erste Punkte in unserem Datenschutz-Blog zusammengefasst. Die Arbeit mit personenbezogenen Daten umfasst dabei aber eben nicht nur deren Erfassung und Bearbeitung, sondern auch das Vernichten. Datenschutzberater.NRW fasst Ihnen die ersten Schritte dabei zusammen.
Wann müssen Daten nach DS-GVO gelöscht werden?
Wenn wir von Daten im Sinne der Datenschutzgrundverordnung (DS-GVO) sprechen, dann geht es in der Regel um sogenannte personenbezogene Daten, die theoretisch einen Rückschluss auf den sogenannten Betroffenen zulassen. Mehr zum Thema „Was sind personenbezogene Daten?“ finden Sie hier.
Egal ob Sie als Mitarbeiter im Homeoffice sitzen, als Unternehmer verpflichtet sind Ihre Mitarbeiter von zu Hause arbeiten zu lassen oder als Selbständiger sowieso aus Ihren eigenen Räumen heraus arbeiten: Der Datenschutz und die ordnungsgemäße Aufbewahrung von Unterlagen sind für alle gleich verpflichtend unabhängig vom Arbeitsort. Dies gilt im Übrigen auch für Vereine, Kanzleien, Schulen, Kindergärten, Praxen usw.
Daher gilt: Personenbezogene Daten sind nach Artikel 1 der DS-GVO unverzüglich zu löschen, wenn sie nicht mehr für den Zweck, für den sie erhoben wurden gespeichert werden müssen. Dabei sind natürlich die gesetzlichen Vorgaben zu beachten, die mögliche Aufbewahrungspflichten vorschreiben. Vernichtung, Löschung und Aufbewahrung sind nach diesen zu erfolgen und entsprechend zu dokumentieren.
Datenvernichtung und Löschung sind auch Arten der Datenverarbeitung nach DS-GVO
Die DS-GVO greift, wenn personenbezogene Daten verarbeitet werden. Was oft dabei übersehen wird: Auch das Löschen und Vernichten von personenbezogenen Daten sind eine Datenverarbeitung nach den Vorgaben der DS-GVO.
Dabei müssen auch das Löschen und die Datenvernichtung im Homeoffice den Regeln der DS-GVO folgen. Prüfen Sie daher, ob Sie die Sicherstellung der Daten über die technischen und organisatorischen Maßnahmen (TOM) anpassen müssen oder ob eine gesonderte Dokumentation im Verzeichnis von Verarbeitungstätigkeiten (VVT) notwendig ist. Auch die ADV-Verträge (Auftragsdatenverarbeitung) müssen ggf. angepasst werden.
Besonders heikel werden Verarbeitung und Vernichtung von personenbezogenen Daten im Homeoffice, wenn es sich um Daten der besonderen Art handelt (z.B. Gesundheitsdaten o.ä.), die besonders schützenswert sind. Eine Risikoanalyse, gefolgt von einer Datenschutzfolgenabschätzung können hier unverzichtbar sein.
Mehr zum richtigen Vernichten von Daten finden Sie auch noch hier.
Besonderheiten bei der Datenvernichtung im Homeoffice
Wer im Homeoffice arbeitet, der weiß, dass die Sicherheitsmaßnahmen aus dem Unternehmen hier oft anders oder angepasst umzusetzen sind. Viele Kontrollmechanismen aus dem Unternehmensbüro fallen in den privaten Räumen weg und müssen durch andere ersetzt werden. Umso wichtiger, dass der Datenschutz in der Homeoffice-Vereinbarung oder auch gesondert ausführlich definiert wird und festgelegt ist, worauf zu achten ist.
Ein absolutes No-Go ist dabei, die Entsorgung von personenbezogenen Daten in Form von Papieren, Datenträgern usw. über die Altpapierentsorgung oder den Hausmüll. Diese Dokumente und Datensammlungen müssen zwingend, wie auch im Unternehmen, nach DIN-Normen geschreddert, gelöscht oder anderweitig vernichtet werden.
Checkliste für den Datenschutz im Homeoffice
Grundlegend sollte im Homeoffice zusätzlich auf folgende Punkte geachtet werden:
- Kein Zugriff Unbefugter auf personenbezogene Daten (dazu gehört auch die eigene Familie)
- Personenbezogene Daten sicher und unzugänglich aufbewahren (abschließbarer Raum oder Schrank)
- Beim Verlassen des Arbeitsplatzes Daten nicht liegen lassen und Bildschirm sperren
- Außentüren oder Fenster nicht offenstehen lassen, wenn personenbezogene Daten zugänglich
- Arbeitsplatz sollte nicht einsehbar sein
- VPN-Leitungen oder ähnliches nutzen, um Daten sicher zu übermitteln
- Aktenvernichter nach DIN-Norm zur Vernichtung von Datenträgern und Papier nutzen
- Keine personenbezogenen Daten im Hausmüll vernichten
- Keine E-Mails über privaten Account versenden oder Daten über diesen Account abrufen und löschen
- Möglichst keine privaten Endgeräte nutzen, wenn unumgänglich entsprechende BYOD-Richtlinien festlegen (BYOD=Bring Your Own Device)
- IT-Sicherheit regelmäßig überprüfen
Das Vernichten von Daten sollte auch in der Homeoffice-Vereinbarung oder der zusätzlichen Datenschutz-Vereinbarung für das Homeoffice festgelegt und vom Mitarbeiter unterschrieben werden.
Auftragsdatenverarbeitung bei der Datenvernichtung
Dass Dokumente und Datenträger DS-GVO-konform durch Fremdanbieter vernichtet werden, ist gerade bei Unternehmen nichts Neues. In Zeiten der sich wandelnden Arbeitswelt werden solche Angebote nun auch für das Homeoffice angepasst und angeboten. Mit sogenannten Dokumentenboxen soll beispielsweise sichergestellt werden, dass die Unterlagen DS-GVO-konform entsorgt werden.
Dabei ist, genauso wie bei jeder Vernichtung von personenbezogenen Daten, zu beachten, dass die Vorgaben der DS-GVO eingehalten werden (VVT, TOM, ADV-Verträge usw.). Prüfen Sie die Anbieter auf diese Vorgaben hin sorgfältig.
Unter Umständen kann es von Vorteil sein, dass der Mitarbeiter seinen Datenmüll im Unternehmen entsorgt, sollte keine andere sichere Lösung gefunden werden.
IT-Lösungen für das richtige Löschen von personenbezogenen Daten
In jedem Fall sollte das digitale Arbeiten mit personenbezogenen Daten immer über einen gesicherten Zugang des Unternehmens erfolgen. Somit ist auch die Löschung der Daten nach den im Unternehmen getroffenen Maßnahmen zum Datenschutz gesichert. Mitarbeiter sollten dafür sensibilisiert und darauf verpflichtet werden. Die Gegebenheiten im Unternehmen müssen auf jeden Fall durch einen Fachmann beurteilt und ggf. überarbeitet werden.
Hilfestellung zum Datenschutz im Homeoffice durch externen Datenschutzbeauftragten
Die Umsetzung der DS-GVO ist unter Umständen komplex und muss gerade im Homeoffice auf die verschiedenen Gegebenheiten hin überprüft werden. Ein externer Datenschutzbeauftragter kann als Fachmann vor allem bei der Bewertung hilfreich sein. Individuelle Beratung und angepasste Hinweise stehen dabei sicher im Vordergrund.
Wenn Sie einen externen Datenschutzbeauftragten für den Raum Köln, Bonn, Düsseldorf, Siegburg, Leverkusen, Siegen, Gummersbach und ganz NRW suchen, dann lassen Sie sich gerne von uns beraten. Einen Auszug aus unserem Angebot finden Sie hier. Darüber hinaus bieten wir Ihnen einen projektbezogenen Datenschutz, Website-Scans für eine DS-GVO-konforme Website und IT-Audits an. Wir beraten Sie gerne über die individuellen Möglichkeiten in Ihrer Organisation.
Erfüllen Sie alle Richtlinien im Datenschutz? Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz im Homeoffice ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.