Skip to content
AKARIONSep 17, 2024 9:45:00 AM1 min Lesezeit

Datenschutz-Durchsuchung im Home-Office

Datenschutz-Durchsuchung im Home-Office
6:18

Kann die Wohnung tatsächlich auf Einhaltung von datenschutzrechtlichen Pflichten kontrolliert werden? Wenn ja, von wem?

Klopf, klopf – wer ist da? Dein schlimmster Alptraum! WER? Die Datenschutzbehörde!

Ein schlechter Scherz, der sich schon bald als neue Realität entpuppen könnte. Gut, es mag übertrieben sein die Datenschutzbehörde als personifizierten Alptraum zu beschreiben, der eines Tages vor der eigenen Haustüre stehen könnte. Zumal dieser Titel bereits exklusiv an Gerichtsvollzieher und Rundfunkgebühren-Eintreiber vergeben wurde. Angenehm wäre es trotzdem nicht, wenn die Behörde die eigene Wohnung auf Einhaltung von datenschutzrechtlichen Pflichten kontrollieren würde. Aber, dürfen die das überhaupt?

Nationale Datenschutzbehörden sind grundsätzlich befugt, Räumlichkeiten zu betreten, in denen Datenverarbeitungen vorgenommen werden. Das betrifft private und betrieblich genutzte Räumlichkeiten des Verantwortlichen, des Auftragsverarbeiters und von Dritten (wie etwa der Arbeitnehmer), sofern dort personenbezogene Daten verarbeitet werden. 

Die Verlagerung ins Home-Office erweitert daher den örtlichen Umfang des Betretungsrechts spürbar. Jede Wohnung dürfte von der Datenschutzbehörde betreten werden, um die Einhaltung von DSGVO-Pflichten zu überprüfen. Durchsuchen im eigentlichen Sinne (wie etwa das Öffnen und Durchwühlen von Schubladen) darf die Behörde allerdings nicht. Bei Zutrittsverweigerungen droht eine Verwaltungsstrafe.

Es ist allerdings nicht nur die Datenschutzbehörde, die plötzlich einen ungewollten Hausbesuch abstatten könnte. Auch der Verantwortliche einer Datenverarbeitung ist zumeist vertraglich berechtigt, das Home-Office sämtlicher Mitarbeiter seines Auftragsverarbeiters zu durchsuchen. Ein solches Recht muss dem Verantwortlichen sogar zwingend im entsprechenden Auftragsverarbeitungsvertrag eingeräumt werden (Art. 28 Abs 3 lit h DSGVO).

Sollte die Behörde und/oder der Verantwortliche auf Datenschutzverletzungen stoßen, drohen enorme Verwaltungsstrafen, Schadenersatzforderungen und/oder Vertragspönalen. Ein Home-Office-Besuch beim Mitarbeiter dürfte daher den meisten Arbeitgebern Schweißperlen auf die Stirn treiben. Die von Arbeitgebern gewöhnlich gewählten Schutzmaßnahmen zur Gewährleistung des Datenschutzniveaus im Home-Office sind – paradoxer-weise – meist analoger Natur. Mitarbeiter werden mit unternehmensinternen Richtlinien (meist als Produkt eines ISMS) und Home-Office-Vereinbarungen zur Einhaltung des Datenschutzes verpflichtet. Ein zahnloser Papier-Tiger als Antwort auf eine digitale Herausforderung, der auch den Ansprüchen von Art. 32 DSGVO nicht gerecht wird.

Es gilt vielmehr das (hoffentlich vorhandene) ISMS in der Praxis mit technischen Datenschutz-Maßnahmen zu leben und im Home-Office einzusetzen. Dabei ist insbesondere an Technologien für automatisiertes Daten-, Zugriffs- und Workflow-management zu denken. 

avatar

AKARION

Seit 2017 entwickeln wir herausragende und einzigartige Software-Lösungen für die Bereiche Compliance, GRC und Information Security. Unser Team aus engagierten Expert:innen entwickelt mit viel Leidenschaft, Nähe zum Kunden sowie besonderer Berufserfahrung die modernsten GRC und Information Security Management Lösungen auf dem Markt.

VERWANDTE ARTIKEL