Zur Umsetzung der Datenschutzgrundverordnung (DSGVO) gehört auch die Erfüllung von technischen und organisatorischen Maßnahmen zur Sicherstellung des Datenschutzes. Sofern im Homeoffice personenbezogene Daten verarbeitet werden – was fast immer der Fall ist –, ist der Mitarbeiter zu schulen, um eben diese Sicherstellung dieser technischen und organisatorischen Maßnahmen (sog. TOMs) zu gewährleisten.

Der Mitarbeiter muss sich darüber im Klaren sein, welche Konsequenzen mit seiner Tätigkeit im Homeoffice verbunden sind. Er sollte beispielsweise darüber informiert werden, ein separates abschließbares Arbeitszimmer oder ein abschließbarer Schrank für Unterlagen und Datenträger zum Schutz vor unberechtigten Zugriffen und Einsichten (Stichwort Passwortsicherheit) zu haben. Außerdem darf die technische Ausstattung (PC, Handy etc.) nur für berufliche Zwecke genutzt werden, damit es zu keinen Sicherheitsproblemen kommt. Inhalte der Schulungen sollten auch sein, wie Daten verschlüsselt werden, wie mit Dokumenten in Papierform zu verfahren ist, ob ein Download von Software und ggf. von welcher Software zulässig ist und vieles mehr. Auch ist der Mitarbeiter peinlichst genau zu belehren, was im Fall eines Datenverlustes zu unternehmen ist. Gerade dies kann die schlimmsten Auswirkungen für das Unternehmen haben.

Der Arbeitgeber haftet, wenn der Mitarbeiter gegen die DSGVO verstößt

Setzt der Mitarbeiter die entsprechenden Sicherheitsvorkehrungen nicht um und kommt es zu Verletzungen aufgrund der Verarbeitung von personenbezogenen Daten, haftet immer der Arbeitgeber. Zu denken seien hierbei etwa an Unterlassungsverpflichtungen, Schadensersatzansprüchen oder gar an die Bußgelder.

Zudem macht sich ein Unternehmen, welches die Mitarbeiter für die Tätigkeit im Homeoffice nicht geschult hat, bereits allein aufgrund der Tatsache bußgeldpflichtig, weil es die entsprechenden technischen und organisatorischen Maßnahmen nicht wahrt.

Es gibt keine Übergangsregelungen

Übergangsregelungen gibt es insoweit nicht. Mitarbeiter sind daher unverzüglich zu schulen, sei es durch ein Webinar, durch ein Videomeeting oder auch durch eine entsprechende Richtlinie zur Arbeit im Homeoffice. Die Richtlinie sollte beispielsweise Maßnahmen ansprechen, wie Passwortsicherheit, Datenträgerverwendung, Vernichtung, Meldung von Datenschutzvorfällen, Umgang mit geschäftlichen E-Mails, Verschlüsselungen, Installation von Software, Umgang mit besonders schutzbedürftigen Informationen, Datensicherung usw. Der Unternehmer ist aufgrund der in der DSGVO normierten Nachweispflichten gehalten, die Unterrichtung seiner Mitarbeiter schriftlich zu dokumentieren.

