Homeoffice, Datenschutz, speziell in der Arztpraxis und Corona-Krise
Aktueller Anlass für Homeoffice-Regelungen
Aus aktuellem Anlass hat die Arbeit im Homeoffice bei den Arbeitsplätzen, bei denen es überhaupt möglich ist, sie in die privaten vier Wände zu verlagern, eine enorme Bedeutung erlangt (vgl. SARS-CoV-2-Arbeitsschutzstandard vom 16.04.2020 [Update: neuer Stand vom 22.02.2021] – dort Ziff. 6 i.V.m. § 4 Nr. 1 ArbSchG). Im Gesundheitsbereich ist dies z.B. bei Begutachtung, Befundung, Arztbriefen, Abrechnungen, Terminvereinbarungen-/Absagen, Videosprechstunden etc. gut vorstellbar.
Trotz aller Eile und wirtschaftlicher Notwendigkeit, statt in der Praxis im Homeoffice zu arbeiten, sind jedoch einige Dinge vertraglich zu regeln, Regeln zu befolgen und Folgen eventueller Regelverstöße oder Datenschutzpannen zu bedenken. (Update) Das Bayerisches Landesamt für Datenschutzaufsicht stellt eine Checkliste „Datenschutzrechtliche Regelungen bei Homeoffice – Best-Practice-Prüfkriterien“ bereit (Stand 18.05.2020).
Nachfolgend erhalten Sie einen Überblick über einige wichtige Punkte, die Sie bei der Einrichtung und dem Betrieb von Arbeit im Homeoffice beachten sollten.
Generelle Eignung von Homeoffice für die konkrete Datenverarbeitung
Die Arbeit ist mehr oder minder für eine Erledigung im Homeoffice geeignet, und zwar je nach Art der zu verarbeitenden Daten, der Datenverarbeitungsprozesse (z. B. papierhaft oder nur elektronisch per Fernzugriff auf Server des Arbeitgebers) und der häuslichen Situation (separat abschließbarer Raum oder Küchentisch, Mitbewohner etc.). Die Eignung sollte im Rahmen eines Antragformulars abgefragt werden. Bei der Verarbeitung von Gesundheitsdaten, Art. 4 Nr. 15 DSGVO, Art. 9 Abs. 1 DSGVO, insbesondere wenn diese papierhaft vorliegen oder wenn diese telefonisch, im Rahmen einer Videokonferenz oder Videosprechstunde erörtert werden sollen, sind auch im häuslichen Umfeld strenge Anforderungen an die Vertraulichkeit zu stellen. Unberechtigte Personen sollen diese Gesundheitsinformationen weder zu Gesicht bekommen noch mithören können. Wer nicht alleine wohnt, wird dies nur in einem separaten Arbeitszimmer, nicht aber am Küchen- oder Wohnzimmertisch sicherstellen können.
Datenschutzrecht und Berufsgeheimnis parallel beachten – Mustervereinbarung
Sofern Gesundheitsdaten von Ärzten und deren Mitarbeitern oder sonstigen mitwirkenden Dritten (z.B. IT-Dienstleistern) verarbeitet werden, unterliegen diese Daten dem Berufsgeheimnisschutz (Arztgeheimnis), welches sowohl im ärztlichen Berufsrecht (Standesrecht, § 9 MBOÄ) als auch im Strafgesetzbuch, § 203 StGB, geregelt ist. Berufsgeheimnisträger, also der Arzt, der IT-Dienstleistungen derart in Anspruch nimmt, dass die Kenntnisnahme von Patientendaten durch den IT-Dienstleister nicht ausgeschlossen ist, macht sich potenziell strafbar, wenn er den IT-Dienstleister nicht auf dessen gesetzlich neu geregelte Strafbarkeit im Falle der Verletzung des Arztgeheimnisses belehrt und entsprechend – zu Beweiszwecken schriftlich – verpflichtet. Die BITKOM hat hierzu zusammen mit einigen ärztlichen Berufsverbänden Informationen zusammengestellt und ein Muster entwickelt, welches ggf. auf den konkreten Fall anzupassen ist.
Es ist wichtig zu verstehen, dass beide rechtlichen Aspekte parallel betrachtet und geregelt werden müssen. Sofern nach der Art der Datenverarbeitung (im wesentlichen streng weisungsabhängig) eine Auftragsverarbeitung vorliegt, muss diese um datenschutzkonform zu sein, vor der ersten Datenverarbeitung in einem Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO geregelt werden. Wenn dabei Gesundheitsdaten für einen Berufsgeheimnisträger (z.B. Arzt, Apotheker, Psychologe) verarbeitet werden, muss parallel der Dienstleister durch den Berufsgeheimnisträger zur Wahrung des Berufsgeheimnisses nach § 203 Abs. 4 Satz 2 Nr. 1 StGB verpflichtet werden, um sich nicht strafbar zu machen. Leider ist der Aspekt in vielen Standardverträgen (zur Auftragsverarbeitung, AVV) von IT-Dienstleistern, auch solchen, die auf Leistungen für die Gesundheitsbranche spezialisiert sind, nicht enthalten. Dann muss vor Inanspruchnahme der IT-Leistung nicht nur der Vertrag zur Auftragsverarbeitung geschlossen werden, sondern eine Zusatzvereinbarung zur Verpflichtung auf das Arztgeheimnis getroffen werden. Diese muss der IT-Dienstleister auch durch entsprechende Verpflichtung seiner Mitarbeiter in die Praxis umsetzen.
Da gerade im Bereich Home-Office oft IT-Produkte von US-Herstellern in der engeren Wahl sind, ist besonders kritisch zu prüfen, ob diese für die Verarbeitung von Gesundheitsdaten durch Berufsgeheimnisträger oder von deren Mitarbeitern eingesetzt werden können. Neben den meist lösbaren zusätzlichen Anforderungen des Datenschutzrechts an die Datenverarbeitung in Drittstaaten (= außerhalb EU, s.u.) kommt hinzu, dass der strafrechtliche Schutz des § 203 StGB nicht durch Verlagerung der Datenverarbeitung in Staaten ausgehöhlt werden darf, in denen die strafrechtliche Verfolgung eines etwaigen Verstoßes nicht möglich ist.
Z.B. bietet Microsoft, welches permanent der datenschutzrechtlichen Kritik seitens der Datenschutzaufsichtsbehörden ausgesetzt ist (s.u.), „auf Nachfrage“ eine Zusatzvereinbarung für Berufsgeheimnisträger an. Diese Zusatzvereinbarung enthält eher mit blumigen Worten ein Bekenntnis zur Vertraulichkeit und ein Anerkenntnis der Berufsgeheimnispflichten des Kunden, als die Verpflichtung von Microsoft auf das Berufsgeheimnis nach § 203 StGB (der nicht mal ausdrücklich erwähnt wird) und der Verdeutlichung, dass sich Microsoftmitarbeiter oder Subunternehmer strafbar machen, wenn sie dagegen verstoßen. Beschlagnahmeschutz und Zeugnisverweigerungsrecht nach der Strafprozessordnung sowie eingeschränkte Kontrollbefugnisse der Datenschutzaufsichtsbehörden finden keine Erwähnung. Ob Microsoft die Verpflichtung in Anbetracht des US-CLOUD-Act überhaupt wirksam abgeben kann, bleibt offen.
Dadurch dass sich Microsoft die Freiheit herausnimmt, Subunternehmer – ohne nähere Einschränkung wo in der Welt – einschalten zu dürfen, könnte die Gefahr bestehen, dass der strafrechtliche Schutz des Berufsgeheimnisses durch Verlagerung in Länder, in denen dieses nicht durchgesetzt werden kann, ausgehöhlt wird. Genau das sollte durch die Pflicht des Berufsgeheimnisträgers, die an seiner Tätigkeit in sonstiger Weise „Mitwirkenden“ über die neu geschaffene eigenen Strafbarkeit zu belehren, vermieden werden.
Die von Microsoft angebotene Zusatzvereinbarung für Berufsgeheimnisträger zeigt zwar lobenswerterweise, dass Microsoft das Thema gesehen und adressiert hat, bleibt aber von der Regelungstiefe so sehr an der Oberfläche, dass nicht mit abschließender Sicherheit beurteilt werden kann, ob dadurch etwaige Strafbarkeitsrisiken für Berufsgeheimnisträger durch Einsatz von MC-Cloud-Diensten ausgeschlossen ist. Wer sich trotz des Restrisikos dazu entschließt als Berufsgeheimnisträger Microsoft Cloud-Produkte auch zur Verarbeitung von Berufsgeheimnissen, z.B. Patientengeheimnis, einzusetzen, sollte zumindest die Vereinbarungen, die Microsoft zur Absicherung anbietet, abschließen. Die Microsoft Volumenlizenzierung Online Services-Bedingungen verweisen in der Einleitung auf einen Datenschutznachtrag (DPA).
- DPA – Data Processing Addendum Anhang zu den Datenschutzbestimmungen für Microsoft-Online-Dienste – Januar 2020 (26 Seiten) – dieses beinhalten die EU-Standardvertragsklauseln (Anlage 2, S. 19ff), die auf technisch organisatorische Maßnahmen (Anhang 2, Nr. 3 zu den Standardvertragsklauseln), vgl. Art. 32 DSGVO, kurz TOMs im DPA verweisen (S. 18), welches auf die Microsoft-Sicherheitsrichtlinie verweist, die leider nicht verlinkt ist und die der Autor nicht finden konnte, sondern die Microsoft dem Kunden auf Anforderung zur Verfügung stellt (was die Vorabprüfung erschwert).
- Zusatzvereinbarung für Berufsgeheimnisträger ( 1 Seite)
Technische und organisatorische Anforderungen an Homeoffice
Die technischen und organisatorischen Anforderungen, Art. 32 DSGVO, § 22 Abs. 2 BDSG, an die Arbeit und den Arbeitsplatz im Homeoffice sollten generell in einer Homeoffice-Richtlinie und sofern ein Betriebs- oder Personalrat besteht einer Betriebsvereinbarung festgelegt werden. Speziell für das Thema Videokonferenzsysteme stellt das BSI ein Kompendium zum IT-Sicherheit bereit. Siehe zum Stand der Technik die Handrechnung von TeleTrusT (01-2020)
Arbeitsvertragliche Vereinbarung für Homeoffice
Da Homeoffice arbeitsvertraglich nicht zwingend angeordnet werden kann, bedarf es einer Vereinbarung mit den Mitarbeitern, die Fragen von Arbeitszeit, Datenschutz, IT-Sicherheit, IT-Ausstattung, Kostenerstattung etc. regelt. Siehe generell zum Beschäftigtendatenschutz den Ratgeber der Landesdatenschutzaufsicht Baden-Württemberg (4. Auflage 04.2020).
Muster für Homeoffice-Regelungen finden Sie unter: https://www.datenschutz-in-arztpraxen.de/
Meldung bei Behörden
Die Zahl der in Heimarbeit Beschäftigten ist, nach § 23 Abs. 1 Nr. 1 Arbeitsschutzgesetz, nach Geschlecht, Alter und Staatsangehörigkeit der zuständigen Behörde zu melden.
Nach § 6 IfSG – Infektionsschutzgesetz und der aktuell dazu ergangenen Covid-19 Meldeverordnung sind beim Verdacht (oder positivem Befund) auf Covid-19 Infektion durch den Arzt, das Labor oder andere Meldepflichtige, § 8 IfSG, umfangreiche Daten an das Gesundheitsamt und von da an das Robert-Koch-Institut (RKI) zu melden.
Private Geräte im Homeoffice, BYOD
Die Nutzung privater Geräte sollte tunlichst unterbleiben, oder zumindest in einer Arbeitsanweisung zu „Bring your own device“ (BYOD, oder genauer am Heimarbeitsplatz: Use your own device) geregelt sein. Die Installation von Containersoftware, die vom Arbeitgeber administriert werden kann und privaten von dienstlichen Daten trennt, sollte in Erwägung gezogen werden.
Datenspeicherung
Internet-Cloud-Speicherdienste dürfen nur mit AVV-Vereinbarungen genutzt werden. Bei Dienstleistern aus Drittstaaten (außerhalb der EU) gelten zusätzlich Anforderungen (s.u.), Daten sind nach Möglichkeit verschlüsselt abzulegen, vgl. § 22 Abs. 2 BDSG (siehe z.B. Angebot von Teamdrive).
Telekommunikation, VPN, Telefon- und Videokonferenzen
VPN-Verbindungen auf Grundlage der BSI-Empfehlungen mit Zwei-Faktoren-Authentifizierungen bei Homeoffice und Telearbeit sollten Standard sein (IT-Grundschutz NET.3.3 VPN – vgl. ISi-Reihe des BSI). Telefon- und Videokonferenzen sollten ohne unberechtigte Zuhörer erfolgen. Die eingesetzten Messenger, Telefon- und Videokonferenzsysteme sind vom Arbeitgeber vorzugeben, wobei entsprechende Verträge zur Auftragsverarbeitung, Art. 28 DSGVO, mit der Vereinbarung von technisch-organisatorischen Maßnahmen, Art. 32 DSGVO, abzuschließen sind. (vgl. Empfehlungen der LDA Baden-Württemberg zur datenschutzfreundlichen Kommunikationsmöglichkeit – und: GDD-Praxishilfe DSGVO XVI – Videokonferenzen und Datenschutz, Version 1.0, Stand April 2020; vgl. LDA Berlin zu Videokonferenzen und Datenschutz mit Kritik an Microsoft Teams, Skype und Zoom:
Leider erfüllen auch einige der Anbieter, die technisch ausgereifte Lösungen bereitstellen, die datenschutzrechtlichen Anforderungen bisher nicht. Dies trifft derzeit (Stand 2. April 2020) z. B. auf Zoom Video Communications, Inc. zu.
Zoom ist jedoch ein Anbieter, der die Kritik ernst nimmt und an Verbesserungen arbeitet, so dass man sich immer den aktuellen Stand der Technik sowie der vertraglichen Dokumentation bei Zoom ansehen muss, wenn man diesen Anbieter in die engere Wahl zieht.
In einer Checkliste schreibt die LDA Berlin ohne nähere Begründung:
Wir weisen darauf hin, dass einige verbreitet eingesetzte Anbieter die aufgeführten Bedingungen nicht erfüllen, darunter Microsoft, Skype Communications und Zoom Video Communications.
Nicht datenschutzgerechte Lösungen, die aufgrund der Einführung der Kontaktbeschränkungen von Ihrer Institution kurzfristig eingesetzt wurden, sollten so bald wie möglich abgelöst werden.)
In den Hinweisen zur Videokonferenz wird die LDA Berlin etwas konkreter:
… Jedoch ist auch dadurch nicht sichergestellt, dass der Anbieter sich im Konfliktfall an EU-Recht hält und nicht an sein lokales Recht. Dies könnte beispielsweise der Fall sein bei Dienstleistungen der Unternehmensgruppe von Microsoft Corporation (z. B. Microsoft Teams) einschließlich seiner Tochter Skype Communications S.à.r.l. mit Sitz in Luxemburg (mit dem gleichnamigen Produkt).
Im letztgenannten Fall wie auch bei der direkten Beauftragung eines der außereuropäischen Anbieter mit signifikantem Marktanteil – in der Regel mit Sitz in den USA – müssen Sie neben den Fragen, die auch bei rein europäischen Anbietern eine Rolle spielen, die zusätzlichen Risiken bedenken und die rechtlichen Garantien prüfen. Leider erfüllen auch einige der Anbieter, die technisch ausgereifte Lösungen bereitstellen, die datenschutzrechtlichen Anforderungen bisher nicht. Dies trifft derzeit (Stand 22. Mai 2020) z. B. auf Zoom Video Communications, Inc. zu.
Microsoft hat diese nicht näher begründete Kritik unter Verweis auf die technische und rechtlichen Absicherung ihrer Softwareangebote zurückgewiesen (siehe Stellungnahme von Microsoft vom 07.05.2020). Die LDA Berlin hat daraufhin die Argumenten von Microsoft geprüft (Pressemitteilung vom 25.05.2020), bleibt aber bei seiner Kritik, hat eine Neufassung seiner Hinweise zur Durchführung von Videokonferenzen und der Checkliste für Videokonferenzen mit Stand vom 22.05.2020 veröffentlicht. Das Team von Prof. Hoeren, Uni Münster, hält hingegen Zoom an Universitäten unter Berücksichtigung einiger Maßgaben (10 Punkte-Programm, u.a. AVV + EU-Standardvertragsklauseln, datensparsame Voreinstellung, DSGVO-Info der Nutzer, Verarbeitungsverzeichnis) für datenschutzkonform einsatzfähig (vgl. Leitfaden Zoom-Angebote durch Hochschulen vom 18.05.2020).
Informationen zur Telearbeit im Homeoffice stellen die Datenschutzaufsichtsbehörden bereit, z.B. für Rheinland-Pfalz und Schleswig-Holstein.
Update 18.02.2021: Die LDA Berlin hat ihre „Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenzdiensten“ in einer Version 2.0 mit Stand 18.02.2021 veröffentlicht und darin verschiedene Videokonferenztechniken und Anbieter sowohl technisch als auch rechtlich bewertet. Die LDA Hamburg schließt sich diesen Hinweisen an (Tätigkeitsbericht 2020, S. 57), verweist aber zugleich darauf, dass sich die zugrundliegende Technik der Videokonferenzsysteme weiterentwickelt hat. Das ist ein generelles Problem bei den datenschutzrechtlichen Bewertungen: Die Anbieter von Videokonferenzsystemen entwickeln ihre Systeme ständig weiter und aktualisieren auch ihre Vertragsdokumente, so dass sich die in einer behördlichen Stellungnahme geäußerte Kritik längst überholt haben kann. Durch die EuGH-Entscheidung zu Schrems II ist ein generelles Problem bei der Nutzung von Anbietern aus Drittländern (Staaten außerhalb EU/EWR) hinzugekommen: das EU-US-Privacy-Shield ist unwirksam und bei EU-Standardvertragsklauseln (SCC) – die sich ohnehin gerade in Überarbeitung seitens der EU befinden – muss man die Rechtslage im Empfängerland prüfen, ob dort die Vertragsklauseln überhaupt eingehalten werden können.
GDD-Praxishilfe DS-GVO XVI – Videokonferenzen und Datenschutz, Version 1.0, Stand April 2020, enthält u.a. als Anlage ein Merkblatt für Beschäftigte, das als organisatorische Datenschutzmaßnahme empfehlenswert ist, jedoch nicht zur Erfüllung der Art. 13 DSGVO Informationspflichten geeignet ist. Eine Exceltabelle mit einer Übersicht über Videokonferenz- und Fernwartungssoftware sowie Instant Messenger (Version 2.0, Stand Januar 2021 – 30 Videokonferenzsysteme) mit Links zu Datenschutzdokumenten und ggf. Stellungnahmen von Aufsichtsbehörden ist ebenfalls verfügbar.
Speziell für Ärzte lohnt sich ein Blick auf die zertifizierten Anbieter von Software für Videosprechstunden. (Liste der Videodienstanbieter mit Stand 04.01.2021).
Der Betriebsrat im Homeoffice und Videokonferenz
Am 23.04.2020 hat der Bundestag eine bis Ende 2020 befristete Regelungen für Videokonferenzen von Konzern-/Gesamt-/Betriebsrat beschlossen. Beschluss: BT Drs 19/18753 (S. 10 – 11), Gesetzentwurf: BT Drs. 19/17740
§ 129 BetrVerfG Sonderregelungen aus Anlass der Covid-19-Pandemie
(1) Die Teilnahme an Sitzungen des Betriebsrats, Gesamtbetriebsrats, Konzernbetriebsrats, der Jugend- und Auszubildendenvertretung, der Gesamt-Jugend- und Auszubildendenvertretung und der Konzern- Jugend- und Auszubildendenvertretung sowie die Beschlussfassung können mittels Video- und Telefonkonferenz erfolgen, wenn sichergestellt ist, dass Dritte vom Inhalt der Sitzung keine Kenntnis nehmen können. Eine Aufzeichnung ist unzulässig. § 34 Absatz 1 Satz 3 gilt mit der Maßgabe, dass die Teilnehmer ihre Anwesenheit gegenüber dem Vorsitzenden in Textform bestätigen. Gleiches gilt für die von den in Satz 1 genannten Gremien gebildeten Ausschüsse.
Interessant dazu ist auch die Gesetzesbegründung, in der konkrete Produkte genannt werden, darunter eines, welches die Landesdatenschutzaufsicht Berlin als nicht datenschutzkonform bezeichnet:
Der neue Artikel 5 ändert das Betriebsverfassungsgesetz. Die Regelung trägt der Situation um die Covid-19-Pandemie und den damit verbundenen Schwierigkeiten einer Präsenzsitzung Rechnung. Sie schafft Rechtssicherheit für diese Ausnahmesituation und ermöglicht es dem Betriebsrat, dem Gesamt- und Konzernbetriebsrat sowie der Jugend- und Auszubildendenvertretung, der Gesamt-Jugend- und Auszubildendenvertretung und der Konzern- Jugend- und Auszubildendenvertretung sowie den Ausschüssen dieser Gremien für einen begrenzten Zeitraum, Sitzungen und Beschlussfassungen mittels Video- und Telefonkonferenz einschließlich online gestützter Anwendungen wie WebEx Meetings oder Skype durchzuführen. Dabei können sowohl einzelne teilnahmeberechtigte Personen zugeschaltet oder die Sitzung kann ausschließlich als Video- oder Telefonkonferenz mit den teilnahmeberechtigten Personen durchgeführt werden. Es soll sichergestellt sein, dass Dritte vom Inhalt der Sitzung keine Kenntnis nehmen können. Dies umfasst technische Maßnahmen wie zum Beispiel eine Verschlüsselung der Verbindung und organisatorische Maßnahmen wie die Nutzung eines nichtöffentlichen Raumes während der Dauer der Sitzung. Die zugeschalteten Sitzungsteilnehmer können zum Beispiel zu Protokoll versichern, dass nur teilnahmeberechtigte Personen in dem von ihnen genutzten Raum anwesend sind. Sobald nicht teilnahmeberechtigte Personen den Raum betreten, ist hierüber unverzüglich zu informieren. Aufzeichnungen sind aus Gründen des Persönlichkeitsschutzes der Teilnehmer und zur Wahrung der Nichtöffentlichkeit der Betriebsratssitzung nicht zulässig. Der Vorsitzende führt die nach § 34 Absatz 1 Satz 3 der Niederschrift beizufügende Anwesenheitsliste durch in Textform im Sinne des § 126b BGB bestätigte Anwesenheit der einzelnen zugeschalteten Teilnehmer. Die Nutzung von Video- und Telefonkonferenzen tritt als zusätzliche Option neben die hergebrachte Durchführung von Sitzungen unter physischer Anwesenheit der Teilnehmer vor Ort als Regelfall. Das Recht zur Teilnahme (z.B. §§ 32, 52, 59a für die jeweilige Schwerbehindertenvertretung oder § 67 für die Jugend- und Auszubildendenvertretung) bleibt unberührt.
Es sollte zumindest ein Verarbeitungsverzeichnis, Art. 30 DSGVO, durch den Betriebsrat samt technisch-organisatorischer Maßnahmen nach Art. 32 DSGVO erstellt werden. Die Videokonferenzsoftware sollte mindestens Transportverschlüsselung, besser Ende-Zu-Ende-Verschlüsselung bieten, um die Kenntnisnahme des Inhalts durch Dritte auszuschließen. Die Teilnehmer (Betriebsratsmitglieder) sind nach Art. 13 DSGVO über die Datenverarbeitung bei der Videokonferenz zu informieren. Mit dem Anbieter der Videokonfernzlösung – sofern keine selbstgehostete genutzt wird – muss ein Vertrag zur Auftragsverarbeitung (AVV), Art. 28 DSGVO, geschlossen werden. Sitzt der Anbieter in einem Drittstaat, sind zusätzlich geeignete Garantien für die Einhaltung eines angemessenen Datenschutzstandes, Art. 44ff DSGVO, zu regeln – praktisch meinst in Form der EU-Standardvertragsklauseln (SCC) im Rahmen eines DPA – Data Processing Addentums.
Dienstleister aus Drittstaaten für Homeoffice-Tools
Sofern die Nutzung von US-Dienstleistern nicht zu vermeiden ist, sollten diese zumindest dem EU-US-Privacy-Shield unterliegen, Art 45 Abs. 1 S. 1 DSGVO UPDATE: Achtung, das EU-US-Privacy-Shield wurde durch den EuGH in der Schrems II Entscheidung für ungültig erklärt. Generell ist bei Dienstleistern aus Drittstaaten – in der DSGVO „Drittländer“ genannt = Länder außerhalb EU/EWR – ein der EU vergleichbares Sicherheitsniveau vertraglich durch den Abschluss von EU-Standardvertragsklausel (EU-Model-Clauses oder auch DPA – Data Processing Addendum genannt) geboten, Art. 46 Abs. Abs. 2 c) DSGVO. Im Detail sind die verschiedenen rechtlichen Wege, die Datenverarbeitung in Drittstaaten rechtlich abzusichern, im fünften Kapitel der DSGVO, in Art. 44 – 50 DSGVO geregelt. Die EU-Standardvertragsklauseln sind die praktisch wichtigste Absicherung der Datenübermittlung in Drittländer, auch wenn gegen diese aktuell eine Klage vor dem EuGH anhängig ist. Wer darauf baut sollte also einen Plan B im Hinterkopf haben, wenn diese Verarbeitungsgrundlage durch ein EuGH-Urteil entfallen sollte. Aktuell sind die Standardvertragsklauseln jedoch der praktikabelste Weg.
Datenpannen im Homeoffice
Auch das Verhalten bei Datenpannen, nach Art. 33 DSGVO, insbesondere bei Verletzung der Vertraulichkeit oder bei Datenverlust (z. B. Diebstahl oder Verlust von Datenträgern), sollte durch Arbeitsanweisungen und in der Vereinbarung zum Homeoffice geregelt werden.
Wenn nicht alles vertragsgemäß gelaufen ist, stellt sich die mit dem betrieblichen Datenschutzbeauftragten oder einem spezialisierten externen Berater binnen 72 Stunden zu klärende Frage, ob eine meldepflichtige Datenpanne, nach Art. 33 DSGVO, vorliegt. Geprüft werden sollte auch die Möglichkeit einer nachträglichen Genehmigung.
Liegen besondere Risiken für die Rechte der betroffenen Person vor, was regelmäßig wenn Gesundheitsdaten (Art. 9 DSGVO) betroffen sind angenommen wird, ist zusätzlich an die Informationspflicht gegenüber den Betroffenen (Patienten) zu denken, vgl. Art. 34 DSGVO. Diese Informationspflicht ist unverzüglich zu erfüllen, also so schnell wie möglich und nicht erst nach 72 Stunden. Die Information soll beinhalten, was passiert ist und wie sich der Betroffenen vor etwaigen negativen Konsequenzen schützen kann.
Sofern entgegen der gesetzlichen oder vertraglichen Vorgaben gehandelt wurde, sind die Verstöße schnellstmöglich zu heilen und die erforderliche Dokumentation „nachzuziehen“. Sofern sich bei der Aufarbeitung herausstellt, dass dabei Daten unrechtmäßig in der Weise verarbeitet wurde, dass unberechtigte Dritte Zugriff darauf hatten, sollte die Meldung einer Datenpanne, nach Art. 33 DSGVO, bzw. Infopflicht nach Art. 34 DSGVO, geprüft werden. Das Unterlassen der Meldung bzw. Info kann nach Art. 83 Abs. 4a DSGVO zu einem Bußgeld von bis zu 10 Mio. Euro oder 2 % des Jahresgesamtumsatzes führen. Nach § 43 Abs. 4 BDSG dürften die bei der Meldung einer Datenpanne übermittelten Informationen nicht in einem Bußgeldverfahren genutzt werden.
Dokumentation der Homeoffice-Datenverarbeitung, Information
Nicht vergessen werden sollte das intern zu erstellende Verarbeitungsverzeichnis (kurz „VV“), Art. 30 DSGVO, „Homeoffice“ und die Erfüllung der Informationspflicht nach Art. 13 DSGVO gegenüber den Mitarbeitern (und sonstigen Kommunikationspartnern – z. B. durch Verlinken von Datenschutzhinweisen bei Einladungsmails zu Telefon-/Videokonferenzen).
(siehe Praxishilfe der GDD zum Verarbeitungsverzeichnis Stand 03-2020)
AVV und Unterschriftenerfordernis
Nach Art. 28 Abs. 9 DSGVO ist der Vertrag zur Auftragsverarbeitung (AVV) schriftlich zu fassen, er kann jedoch auch in einem elektronischen Format erfolgen. Die EU-Kommission hat als Hüterin der Verträge die Frage des EU-Parlaments nach dem Formerfordernis bei AVVs so beantwortet:
„Automatisierte Vertragsprozesse sind grundsätzlich zulässig. Es ist nicht notwendig, Verträge mit einer elektronischen Signatur zu versehen, damit sie rechtliche Wirkungen entfalten können.“
Diese Auffassung bestätigt auch das LDA Bayern, das eine beweiskräftige Dokumentation der AVV-Vereinbarung fordert, die Wahl der Mittel aber den Vertragsparteien überlässt. Somit kann auch ein im Homeoffice arbeitender Entscheidungsträger einen AVV schließen, ohne zum Leisten einer Unterschrift in den Betrieb fahren zu müssen.
AVV, Homeoffice und Drittland-Dienstleister
Der Mustervertrag zur Auftragsverarbeitung des Bundesdatenschutzbeauftragten sieht in § 3 Abs. 9 vor, dass der Auftragsverarbeiter die übernommenen Tätigkeiten nur mit vorherigen ausdrücklicher schriftlicher Zustimmung des Verantwortlichen in Homeoffice erledigen lassen darf, was die Festlegung angemessener technischer und organisatorischer Maßnahmen voraussetzt. Ähnliche Regelungen dürften sich in vielen Outsourcingverträgen mit IT-Dienstleistern finden.
(vgl. Ziff. 6.5 aktuelles Muster zur AVV in EU/EWR der LDA Baden-Württemberg)
Entsprechendes gilt für die örtliche Beschränkung der Verarbeitung in der EU (vgl. § 3 Abs. 8 des Mustervertrages zur AVV). (vgl. Ziff. 9.1 aktuelles Muster zur AVV in EU/EWR der LDA Baden-Württemberg; siehe auch Muster des LDA Bayern – 12/2017 – nebst Auslegungshilfen, z.B. für Ärzte (z.B. PVS, MDK, KVB, keine AVV mit Laborärzten), der Bitkom von 2017 nebst Erläuterungen und der GDD von 2017 in dt. und engl. als .docx; Tipp: ältere Muster mit aktuellen von Aufsichtsbehörden abgleichen und ggf. aktualisieren.)
Da viele der im Rahmen der spontanen Corona-Homeoffice-Tätigkeit eingesetzten IT-Tools Angebote von US-Unternehmen sind oder selbst performante deutsche Angebote auf US-Dienstleister (z. B. Amazon Web Services) basieren, besteht hier Anlass, bei den Dienstleistern/Auftragsverarbeitern nachzufragen, ob Homeoffice genutzt wird und welche technisch-organisatorischen Maßnahmen zur Absicherung getroffen wurden sowie ob Subunternehmer aus Drittstaaten zum Einsatz kommen und wie dabei das angemessene Schutzniveau sichergestellt ist.
Rechtsanwalt David Seiler, 09.04.2020 (aktualisiert 24.04./07.05.2020 / 27.05.2020 / 26.02.2021)
weiterführende Informationen:
Eine Zusammenstellung zahlreicher Links zu Gesetzen, Gerichtsentscheidungen und juristischen Aufsätzen sowie zum Datenschutzrecht mit Blick auf die COVID 19 – Maßnahmen findet sich unter: https://lexcorona.de/doku.php
GDD: Links zu DATENSCHUTZ BEIM MOBILEN ARBEITEN UND IM HOMEOFFICE
Update 05.10.2021: LDA Sachsen-Anhalt veröffentlicht: Hinweise zum Homeoffice in Behörden und Betrieben sowie eine Checkliste Homeoffice.
Bundesdatenschutzbeauftragter BfDI, Telearbeit und Mobiles Arbeiten, Juli 2020
Das Wirtschaftsministerium NRW fördert aufgrund der Corona-Krise Homeoffice-, Videokonferenz- und Telemedizintechnik bei Investitionen ab 5.000 Euro mit einem Zuschuss bis zu 50% (Förderprogramm Digitalbonus).
Empfehlungen LDA SA für KMU kleine und mittlere Unternehmen zur Verarbeitung personenbezogener Daten in Heimarbeit
Landesdatenschutzaufsicht Sachsen-Anhalt: Datenschutz und Corona-Pandemie
Landesdatenschutzaufsicht Hamburg FAQ: Datenschutz in Zeiten von Covid-19 dort auch mit ausführlichen zur Verarbeitung von Covid-Daten durch Ärzte: Verarbeitung von personenbezogene Covid-19-Daten durch infizierte Personen,Gesundheitseinrichtungen und Gesundheitsbehörden, S. 9
ULD Schleswig-Holstein mit Tipps zu Datenschutz im Homeoffice
Update 22.09.2020: Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK): Einsatz von Wärmebildkameras bzw. elektronischer Temperaturerfassung im Rahmender Corona-Pandemie vom 10.09.2020
Datenschutzbeauftragter Kanton Zürich u.a. mit Hinweisen zu datenschutzfreundlicher Software
siehe auch das auf NextCloud basierende Angebot einer Collaboration-Lösung von Ionos aus Deutschland
Datenschutzaufsicht Österreich u.a. mit folgenden Dokumenten: