Compliance Cloud | 24.04.2020
Datenschutz-Hausdurchsuchung im Home-Office
#Datenschutz
von Mag. Sascha Smets
Klopf, klopf – wer ist da? Dein schlimmster Alptraum! WER? Die Datenschutzbehörde!
Ein schlechter Scherz, der sich schon bald als neue Realität entpuppen könnte. Gut, es mag übertrieben sein die Datenschutzbehörde als personifizierten Alptraum zu beschreiben, der eines Tages vor der eigenen Haustüre stehen könnte. Zumal dieser Titel bereits exklusiv an Gerichtsvollzieher und Rundfunkgebühren-Eintreiber vergeben wurde. Angenehm wäre es trotzdem nicht, wenn die Behörde die eigene Wohnung auf Einhaltung von datenschutzrechtlichen Pflichten kontrollieren würde. Aber, dürfen die das überhaupt?
Nationale Datenschutzbehörden sind grundsätzlich befugt, Räumlichkeiten zu betreten, in denen Datenverarbeitungen vorgenommen werden. Das betrifft private und betrieblich genutzte Räumlichkeiten des Verantwortlichen, des Auftragsverarbeiters und von Dritten (wie etwa der Arbeitnehmer), sofern dort personenbezogene Daten verarbeitet werden. Wie Sie Ihre eigene datenschutzrechtliche Rolle richtig einschätzen, dazu gibt es hier auf dem Blog einen ausführlichen Artikel von Dr. Jana Moser.
Die Verlagerung ins Home-Office erweitert daher den örtlichen Umfang des Betretungsrechts spürbar. Jede Wohnung dürfte von der Datenschutzbehörde betreten werden, um die Einhaltung von DSGVO-Pflichten zu überprüfen. Durchsuchen im eigentlichen Sinne (wie etwa das Öffnen und Durchwühlen von Schubladen) darf die Behörde allerdings nicht. Bei Zutrittsverweigerungen droht eine Verwaltungsstrafe.
Es ist allerdings nicht nur die Datenschutzbehörde, die plötzlich einen ungewollten Hausbesuch abstatten könnte. Auch der Verantwortliche einer Datenverarbeitung ist zumeist vertraglich berechtigt, das Home-Office sämtlicher Mitarbeiter seines Auftragsverarbeiters zu durchsuchen. Ein solches Recht muss dem Verantwortlichen sogar zwingend im entsprechenden Auftragsverarbeitungsvertrag eingeräumt werden (Art. 28 Abs 3 lit h DSGVO).
Sollte die Behörde und/oder der Verantwortliche auf Datenschutzverletzungen stoßen, drohen enorme Verwaltungsstrafen, Schadenersatzforderungen und/oder Vertragspönalen. Ein Home-Office-Besuch beim Mitarbeiter dürfte daher den meisten Arbeitgebern Schweißperlen auf die Stirn treiben. Die von Arbeitgebern gewöhnlich gewählten Schutzmaßnahmen zur Gewährleistung des Datenschutzniveaus im Home-Office sind – paradoxer-weise – meist analoger Natur. Mitarbeiter werden mit unternehmensinternen Richtlinien (meist als Produkt eines ISMS) und Home-Office-Vereinbarungen zur Einhaltung des Datenschutzes verpflichtet. Ein zahnloser Papier-Tiger als Antwort auf eine digitale Herausforderung, der auch den Ansprüchen von Art. 32 DSGVO nicht gerecht wird.
Es gilt vielmehr das (hoffentlich vorhandene) ISMS in der Praxis mit technischen Datenschutz-Maßnahmen zu leben und im Home-Office einzusetzen. Dabei ist insbesondere an Technologien für automatisiertes Daten-, Zugriffs- und Workflow-management zu denken.
Hier gelangen Sie zum LinkedIn-Profil unseres Gast-Autors Mag. Sascha Smets.
Über den Autor
Mag. Sascha Smets
Rechtsanwaltsanwärter bei der Schönherr Rechtsanwälte GmbH und Experte für Datenschutz, IT und Venture Capital.
Aktuelles