Allgemein

Datenschutz als Teil des Corona-Krisenmanagement

By 5. März 2020 April 10th, 2020 No Comments

 

Das Coronavirus (SARS-CoV-2; Covid-19) stellt derzeit die Menschen um den gesamten Globus vor Herausforderungen. Herausforderungen im medizinischen, im alltäglichen, im sozialen, im persönlichen, im wirtschaftlichen und auch im unternehmerischen Bereich ganz allgemein.

Wo die Entwicklungen mittelfristig hingehen, kann noch niemand seriös abschätzen, sodass unter diesen Bedingungen eine „Krisenplanung“ schwerfällt. Festzuhalten ist jedoch, dass das Robert Koch Institut die Gefahr für die Gesundheit der deutschen Bevölkerung als „mäßig“ einstuft (https://www.rki.de/DE/Content/InfAZ/N/Neuartiges_Coronavirus/Risikobewertung.html).

Erste Unternehmen, kleine und auch große, gehen dazu über, ihre Mitarbeiter soweit möglich aus der „Risikozone“ menschlicher Kontakte herauszunehmen und lassen diese von Zuhause aus arbeiten und schicken sie ins „Home-Office“.

In dem Moment, in dem die Datenverarbeitungen den „Hoheitsbereich“ der Unternehmen verlassen, ist auch immer der Datenschutz mit zu bedenken, denn es gibt wenige Umgebungen, die pannenanfälliger sind als Umgebungen, die sich außerhalb der Einflusssphäre des eigenen Unternehmens befinden. Man denke hier nur an öffentliche Netzwerke, Mitnutzung des heimischen Computers durch Familie und Freunde, „Shoulder Surfing“ und vieles mehr.

Hier müssen Regelungen zum richtigen Umgang der Mitarbeiter getroffen und vereinbart werden, die ein angemessenes Schutzniveau gewährleisten. Diese Regelungen sind notwendige technisch-organisatorische Maßnahmen nach Artt. 24, 25 und 32 Datenschutz-Grundverordnung (Verordnung (EU) 2016/679, „DS-GVO“) und bewahren einen bei richtiger Umsetzung auch vor Datenschutzverletzungen nach Artt 33, 34 DS-GVO. Eine frühzeitige Einbindung und Abstimmung mit dem Betriebsrat ist zu empfehlen und auch zwingend, §§ 87, Abs. 1 Nr. 1, 6 BetrVG.

Dabei gibt es grundsätzlich zwei Arten des „Heimarbeitens“:

Das ist zum einen die Nutzung eigener Endgeräte wie Laptops, Smartphones, Computer oder Mitarbeiter, also das klassische „Bring Your Own Device“ (BYOD) und zum anderen die Nutzung betrieblich gestellter IT. Ist die Nutzung betrieblich gestellter IT auch für private Zwecke gestattet, spricht man von „Corporate Owned, Personally Enabled“ (COPE).

In allen genannten Varianten sollten grundsätzliche Regeln zu u.a. folgenden Schwerpunkten getroffen werden:

  • Welche Endgeräte sind betroffen?
  • Wie wird gewährleistet, dass private und betriebliche Inhalte getrennt werden?
  • Welche technisch-organisatorischen Maßnahmen werden zum Schutz ergriffen?
    • Abschließbare Schränke
    • Passwortschutz
    • Virenschutz
    • u.a.
  • Wie werden die Daten gesichert?
  • Welche Verbindungen dürfen genutzt werden?
  • Wer haftet für welche Schäden?
  • Wie umgehen mit Verlust und Angriffen?
  • Wer ist für was verantwortlich?
  • Wie sehen die Kontrollbefugnisse des Arbeitgebers aus?

Bei allen Nutzungsformen liegt ein datenschutzrechtlicher Schwerpunkt auf dem Umfang des Zugriffs des Arbeitgebers auf private Inhalte, wie etwa E-Mails, Chatverläufe, Browserchronik, vor allem bei „Corporate Owned, Personally Enabled“ – Nutzung. Hierzu gibt es dezidierte Rechtsprechung, über dementsprechend viele Fallstricke kann man fallen.

Das unternehmerische Krisenmanagement zum Corona-Virus wird also durch weitsichtige Regelungen im Datenschutz abgerundet und gibt die Sicherheit, auch im Einklang mit der DS-GVO sinnvolle Maßnahmen zu ergreifen. Ganz nebenbei tragen klare Regelungen, insbesondere im Bereich privater Inhalte, zur guten Stimmung im Unternehmen bei.

Patronus- Datenschutz unterstützt Sie auch kurzfristig bei der punktgenauen Lösung für Ihre Situation – sprechen Sie uns an und bleiben Sie gesund!

kontakt@patronus-datenschutz.de oder +49 (0)3594 77 76 70 6 erreichbar

Sie finden uns in Leipzig, Dresden sowie im Raum Bautzen. Kommen Sie gerne auf einen Kaffee vorbei.

Kontakt