Die Arbeitswelt hat sich verändert – Home-Office und Home-Office-Geräte ist ein längst gelebter Alltag in vielen Einrichtungen, Betrieben und Unternehmen. Im digitalen Arbeitsalltag verschwimmen die Grenzen zwischen beruflicher und privater Nutzung von Geräten zunehmend. Viele Einrichtungen und Betriebe setzen dabei auf BYOD („Bring Your Own Device“) – also die dienstliche Nutzung privater Smartphones, Laptops oder Tablets (Home-Office-Geräte).
Doch was passiert im Fall einer Datenschutzprüfung durch die Aufsichtsbehörde?
Sobald personenbezogene Daten im Rahmen betrieblicher Tätigkeiten auf privaten Geräten oder in privaten Umgebungen (Home-Office) verarbeitet werden, fallen diese Geräte unter die datenschutzrechtliche Verantwortung der Einrichtung bzw. des Betriebes. Ob der Laptop oder das Smartphone im Eigentum des Mitarbeitenden steht, spielt dabei keine Rolle – entscheidend ist allein die Verarbeitung personenbezogener Daten im beruflichen Kontext.
Die Datenschutzaufsichtsbehörden verfügen gemäß § 44 KDG (Art. 58 DS-GVO) über weitreichende Befugnisse, um die Einhaltung der Datenschutzgesetze auch außerhalb der klassischen Büroräume zu überprüfen – und dazu zählen Home-Office-Arbeitsplätze sowie Office-Geräte (private Geräte) – sofern sie für berufliche/betriebliche Zwecke genutzt werden, wenn dort personenbezogene Daten verarbeitet werden.
Dazu gehört u.a. das Recht:
- Informationen über Datenverarbeitungen anzufordern
- Zugang zu relevanten IT-Systemen und Datenverarbeitungsvorgängen zu erhalten
- technische und organisatorische Maßnahmen zu prüfen
Datenschutz hört zu Hause nicht auf!
Wenn Mitarbeitende im Home-Office mit personenbezogenen Daten arbeiten, gelten die gleichen Datenschutzanforderungen wie im Büro. Dazu zählen u. a.:
- Schutz vor unbefugtem Zugriff (z. B. Familienmitglieder)
- Sichere Datenverbindungen (VPN, Verschlüsselung)
- Passwortschutz und Gerätehärtung
- Sichere Aufbewahrung physischer Unterlagen
Was darf die Datenschutzaufsicht prüfen?
Die Datenschutzaufsichtsbehörden haben gemäß § 44 KDG (Art. 58 DSGVO) das Recht:
- Informationen über die Datenverarbeitung zu verlangen
- technische und organisatorische Maßnahmen zu prüfen
- Zugang zu Geräten und Systemen zu erhalten, auf denen personenbezogene Daten verarbeitet werden
Das gilt auch für Home-Office-Geräte (private Geräte) – sofern sie für berufliche/betriebliche Zwecke genutzt werden.
Kontrolle des Home-Office!
Obwohl ein rechtlicher Anspruch auf Zugang besteht, ist so ein Eingriff in die Privatsphäre von Mitarbeitenden besonders sensibel. Eine Prüfung im Home-Office ist nur zulässig, wenn:
- personenbezogene Daten dort tatsächlich verarbeitet werden, und
- kein milderes Mittel zur Kontrolle zur Verfügung steht, z.B.:
- Vorlage von Screenshots
- technische Auskünfte
- Videobesichtigung mit Zustimmung
- Zugriff auf Systeme aus der Ferne
Eine unangekündigte oder erzwungene Vor-Ort-Kontrolle im privaten Wohnraum ist in der Regel nicht zulässig, es sei denn:
Es besteht ein dringender Verdacht auf schwere Datenschutzverstöße und eine freiwillige Einwilligung zur Besichtigung liegt nicht vor.
In der Praxis geschieht eine Prüfung von Home-Office-Arbeitsplätzen oder Home-Office-Geräten daher meist:
- mit Zustimmung des Betroffenen
- durch Remote-Kontrollen, technische Prüfprotokolle oder Nachweise
- im Rahmen organisatorischer Prüfungen des Betriebes (z. B. zur Kontrolle, ob Home-Office-Richtlinien vorhanden sind) mit Nachweis wie diese kontrolliert werden
Empfehlungen
Um rechtssicher auf Prüfungen vorbereitet zu sein, sollten Betrieb und Einrichtungen entsprechende Maßnahmen ergreifen:
- Home-Office-Vereinbarungen einführen, die Datenschutzmaßnahmen regeln (z. B. keine Familiennutzung, Verschlüsselung, Sichtschutz, Passwortschutz) und das im Rahmen einer datenschutzrechtlichen Überprüfung dem Verantwortlichen sowie der Datenschutzaufsicht Zugang gewährt wird
- Technische Schutzmaßnahmen ergreifen (VPN, verschlüsselte Endgeräte und Datenträger, Zugriffsbeschränkungen)
- Organisatorische Kontrolle ermöglichen – z. B. durch Fotos, Checklisten oder Remote-Audits
- Mitarbeitende informieren, dass eine behördliche Prüfung – mit ihrer Zustimmung – auch zu Hause möglich sein kann
Fazit
Eine Datenschutzaufsicht darf auch Home-Office-Arbeitsplätze oder privat genutzte Geräte, wenn sie für berufliche/betriebliche Zwecke genutzt werden, prüfen – sofern dort personenbezogene Daten verarbeitet werden.
Im Rahmen einer Prüfung durch die Datenschutzaufsicht kann unter bestimmten Voraussetzungen auch ein Zugriff auf private Geräte erfolgen – allerdings nur auf dienstliche Daten und unter Beachtung der Verhältnismäßigkeit und des Schutzes der Privatsphäre.
Klare Regeln, technische Maßnahmen und transparente Kommunikation helfen, sowohl die gesetzlichen Anforderungen zu erfüllen, als auch die Rechte der Mitarbeitenden zu wahren.
In der Praxis ist dies jedoch nur mit Zustimmung oder in besonders begründeten Fällen zulässig, da das Grundrecht auf Unverletzlichkeit der Wohnung (Art. 13 GG) besonders geschützt ist.