Am 7. April traten geänderte Bestimmungen des Arbeitsgesetzbuches zur Einführung von Telearbeit in Kraft. Bislang bildete das sogenannte COVID-Gesetz die Grundlage für die Ausübung von Tätigkeiten außerhalb der Büroräume des Arbeitgebers.

Es ist jedoch zu beachten, dass die Einführung von Telearbeit zusätzliche Pflichten im Zusammenhang mit dem Datenschutz mit sich bringt. Arbeitgeber fungieren als Verantwortliche für die Datenverarbeitung ihrer Mitarbeiter, Auftragnehmer und Kunden und können gleichzeitig aufgrund der Vertragserfüllung auch als Auftragsverarbeiter auftreten.

Die Verarbeitung personenbezogener Daten durch einen Mitarbeiter im Homeoffice ist als zusätzliche Verarbeitungstätigkeit zu betrachten. Daher ist es zwingend erforderlich, diesen Vorgang im Verzeichnis der Verarbeitungstätigkeiten zu erfassen sowie eine Risikoanalyse durchzuführen und Vermögenswerte zu überprüfen, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen könnten.

Es ist wichtig zu beachten, dass Mitarbeiter aufgrund ihrer Aufgaben und Positionen unterschiedliche Datentypen in unterschiedlichem Umfang und Umfang verarbeiten. Positionen in den Bereichen Personalwesen, Gehaltsabrechnung, Arbeitsschutz und Analytik, die auf Daten statt auf aggregierten Daten basieren, können die Verarbeitung großer Datenmengen oder besonderer Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 DSGVO, insbesondere gesundheitsbezogener Daten, umfassen. In solchen Fällen ist ein angemessenes Sicherheitsniveau erforderlich, das ein höheres Sicherheitsniveau gewährleistet als für Mitarbeiter und Positionen, deren Hauptaufgabe nicht die Verarbeitung personenbezogener Daten ist.

Ein notwendiger, aber oft übersehener Aspekt ist die Überprüfung von Verträgen durch den Arbeitgeber, in denen er als Auftragsverarbeiter fungiert. Ein Verantwortlicher kann einem Auftragsverarbeiter die Pflicht auferlegen, personenbezogene Daten an einem bestimmten Ort zu verarbeiten, beispielsweise indem er die Verarbeitungstätigkeiten auf die Büroräume des Auftragsverarbeiters beschränkt. In solchen Fällen muss der Vertrag neu verhandelt werden, oder die unter die Datenverarbeitung eines bestimmten Verantwortlichen fallenden Prozesse müssen vor Ort durchgeführt werden, um die Bestimmungen der zwischen den Parteien geschlossenen Auftragsverarbeitungsvereinbarung nicht zu verletzen.

Der Verantwortliche für die Datenverarbeitung ist verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, um ein angemessenes Datenschutzniveau zu gewährleisten. Diese Maßnahmen bedürfen einer zusätzlichen Überprüfung, da die bestehenden Verfahren des Arbeitgebers zum Schutz personenbezogener Daten vor Ort möglicherweise nicht ausreichen, wenn sich das Arbeitsumfeld zum Wohn- oder Aufenthaltsort des Mitarbeiters verlagert. Daher muss die Datenschutzrichtlinie unter Berücksichtigung der Organisation von Telearbeit aktualisiert werden. Alternativ ist die Erstellung interner Regelungen zur Telearbeit, die die Anforderungen an den Datenschutz festlegen, zwingend erforderlich.

Der Arbeitgeber ist außerdem verpflichtet, die Arbeitnehmer nachzuschulen und sich gemäß dem Grundsatz der Rechenschaftspflicht bestätigen zu lassen, dass dies geschehen ist.

Die Schulung sollte insbesondere folgende Punkte betonen:

Phishing erkennen und angemessen darauf reagieren;
Grundlagen der Datenverarbeitung;
Aufbewahrungsfristen für Daten;
Datenverarbeitungssicherheit;
Meldung von Verstößen;
Grundsätze der Datenverarbeitung;
Strafen für Verstöße gegen den Schutz personenbezogener Daten;
Standorte der Datenverarbeitung, d.h. insbesondere der Hinweis, dass die Erledigung von Fernarbeit an öffentlichen Orten (einschließlich Orten, an denen der Mitarbeiter an einem öffentlichen Ort vor einem Computerbildschirm überwacht wird) zur Offenlegung vertraulicher Informationen sowie personenbezogener Daten führen kann.

Die Informationspflichten gemäß Artikel 13 Absatz 1 und 2 DSGVO, die für neu eingestellte Mitarbeiter und bereits beschäftigte Mitarbeiter gelten, die Telearbeit beantragen, ändern sich ebenfalls. Es ist wichtig zu beachten, dass sich der Zweck der Verarbeitung personenbezogener Daten geändert hat und nun auch Telearbeit und die damit verbundenen Prüfungen umfasst. Der Grundsatz der Datenminimierung gemäß Artikel 5 Absatz 1 Buchstabe c DSGVO ist unbedingt zu beachten, kann aber aufgrund der Natur der Telearbeit, die eng mit dem Privatleben der Mitarbeiter verknüpft ist, leicht überschritten werden. Daher ist es entscheidend, den konkreten Umfang der Verarbeitung personenbezogener Daten festzulegen und ihn auf die für die Durchführung der Prüfung notwendigen Daten zu beschränken, wobei die Privatsphäre des Mitarbeiters und anderer im selben Haushalt lebender Personen zu wahren ist. Es empfiehlt sich daher, ein Formular zu erstellen, das den Umfang der Datenverarbeitung im Zusammenhang mit der Prüfung festlegt und die Grundlage für deren rechtmäßige Durchführung bildet.

Es sei darauf hingewiesen, dass ein Mitarbeiter, der die Fernarbeit eines Mitarbeiters kontrolliert, der zu den in Artikel 6719 § 6 des französischen Arbeitsgesetzbuches genannten privilegierten Gruppen gehört, über eine entsprechende Ermächtigung gemäß Artikel 29 DSGVO verfügen muss, um Daten, einschließlich Daten besonderer Kategorien, ausschließlich zum Zwecke der Durchführung der Kontrolle zu verarbeiten.

Es ist wichtig, die Bedeutung der Sensibilisierung der Mitarbeiter für Sicherheitsvorfälle und Datenschutzverletzungen hervorzuheben. Die Erkennung einer Datenschutzverletzung liegt in der Verantwortung des Administrators. Allerdings ist es für die Verantwortlichen für die Datensicherheit unmöglich, alle Risiken oder Ereignisse zu überprüfen, die zur Offenlegung, zum Verlust oder zur Beschädigung von Daten führen könnten, insbesondere im Homeoffice. Mitarbeiter sollten daher ausreichend geschult sein, um einen solchen Vorfall zu erkennen oder einen begründeten Verdacht auf eine Datenschutzverletzung zu entwickeln. Arbeitgeber müssen daher ihre internen Verfahren zur Meldung von Datenschutzverletzungen überprüfen und fortlaufende Sensibilisierungsmaßnahmen für ihre Mitarbeiter durchführen, insbesondere durch Schulungen und kurze Informationsbroschüren, die die erforderlichen Schritte im Falle einer Datenschutzverletzung erläutern.

Es ist wichtig, dass der Mitarbeiter verpflichtet wird, während der Ausübung seiner beruflichen Tätigkeit keine privaten Geräte zu verwenden oder öffentliche WLAN-Netzwerke zu nutzen – das Gerät oder das Netzwerk könnte zuvor mit Schadsoftware infiziert worden sein, was folglich zur Infektion der gesamten IT-Infrastruktur des Arbeitgebers führen und die darauf gespeicherten Daten verschlüsseln, vermischen oder dauerhaft löschen könnte.

Ebenso sollten Arbeitgeber ihre Mitarbeiter darin schulen, Phishing-Angriffe richtig zu erkennen. Solche Nachrichten werden typischerweise so formuliert, dass Dringlichkeit vorgetäuscht wird oder von Personen stammen, die sich als Führungskräfte oder Mitarbeiter der Personalabteilung ausgeben. Diese gängige Taktik beeinflusst die Mitarbeiter emotional und vermittelt ihnen ein Gefühl der Verantwortung für die Ausführung offizieller Anweisungen, obwohl der einzige Zweck dieser Aktivitäten darin besteht, die Mitarbeiter zur Preisgabe ihrer Zugangsdaten zu den IT-Systemen oder dem Online-Banking des Arbeitgebers zu verleiten, um Informationen oder Gelder für einen unbefugten Empfänger zu erlangen.

Arbeitgeber sollten mehrstufige Risikominderungsmaßnahmen in Betracht ziehen, insbesondere durch die Identifizierung der Risiken, die mit der manuellen Datenmanipulation durch Mitarbeiter verbunden sind. Daher ist es entscheidend, die Zugriffsrechte für IT-Ressourcen angemessen zu verwalten, insbesondere für Portal-Logins, SharePoint-Zugriff und Netzlaufwerke. Es ist unerlässlich zu betonen, dass Mitarbeiter, die nur Zugriff auf die benötigten Ressourcen haben, keine für den Administrator relevanten Daten unbefugt kopieren, weitergeben oder anderweitig verwenden dürfen.

Fernarbeit sollte keine privaten Aktivitäten beinhalten. Daher ist es notwendig, Daten ordnungsgemäß zu trennen und vor Mitbewohnern zu schützen, die nicht zur Verarbeitung der Administratordaten berechtigt sind. Mitarbeiter sind daher verpflichtet, ihren Arbeitsplatz so einzurichten, dass der Schutz personenbezogener Daten und vertraulicher Informationen gewährleistet ist, insbesondere durch eine geeignete Schreibtischposition und Monitoreinstellungen. Es ist außerdem wichtig, die Erstellung von Papierkopien zu beschränken, da diese deutlich schwieriger zu sichern sind als elektronische Kopien. Darüber hinaus ist zu bedenken, dass Mitarbeiter wahrscheinlich nicht über die notwendigen Mittel verfügen, um Papierdokumente so zu vernichten, dass ein erneutes Lesen ausgeschlossen ist.

Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar.

Rechtsstatus ab dem 9. Mai 2023.

Autor:

Reihenherausgeber:

Mateusz Grosicki

Rechtsanwalt, Partner
+48 506 367 109 | m.grosicki@kglegal.pl

Beitragsaufrufe: 7

Die Anwaltskanzlei Graś i Wspólnicy steht für Professionalität, Erfahrung und Unterstützung.

Fernarbeit im Hinblick auf den Datenschutz

Neueste Beiträge

Wird KOWR das Problem des Mangels an Baugrundstücken lösen?

Entwurf einer Änderung des Gesetzes über das Eigentum an Grundstücken

Sanktionen im KSeF

Der Grundsatz der Lohngleichheit im Arbeitsrecht – Anwendungsbereich, Bedeutung und rechtliche Konsequenzen

Kofinanzierung für die Registrierung von Marken und Geschmacksmustern

Unsere Zyklen

Anwaltskanzlei Warschau
Graś und Partner

Unsere Dienstleistungen

Speisekarte

Kontaktieren Sie uns!