Liebe Grüße aus der Welt des Datenschutzes und herzlich willkommen zum ersten regulären DSGVO.CARE Newsletter.

Wir schreiben den Juni in diesem verrückten Jahr 2020 in welches langsam wieder eine gewisse Normalität – wenn auch eine „neue“ Normalität – einkehrt. Aufgrund Pandemie-induzierten Lockdowns kehrte in die Welt des Datenschutzes zwar etwas Ruhe, jedoch kein Stillstand ein. Das Team von DSGVO.CARE war - wie immer - fleißig damit beschäftigt aktuelle Entscheidungen der Auftragsbehörden zu sammeln und aufzubereiten. Die aktuellen Beiträge sehen Sie unten verlinkt.

Weil dieser Newsletter nicht nur eine Compilation von Verlinkungen sein soll, gibt’s auch hier den ein oder anderen DSGVO-relevanten Sermon und der dreht sich diesmal – wie ja zur Zeit die ganze Welt um Trommelwirbel CORONA:

Corona, Home-Office und Auftragsverarbeitung

Home-Office hat sich in den letzten Wochen mit einem aberwitzig hohen Basis-Reproduktionsfaktor in der Wirtschaft verbreitet. Eine Entwicklung die uns dabei aufgefallen ist, sind Änderungen bei Auftragsverarbeiter-Vereinbarungen (AVVs): und zwar finden sich mittlerweile zusehends Klauseln in AVVs welche speziell diese Thematik ansprechen. In den meisten Fällen, schreibt hierbei der Verantwortliche vor, dass Home-Office nur mit ausdrücklicher Zustimmung des Verantwortlichen zulässig ist. Zusätzlich wird oft verlangt, dass der Auftragsverarbeiter sich von seinen Mitarbeitern das Einverständnis holt **in deren Privatwohnung Nachschau halten zu dürfen.

Solche Klauseln sollten unserer Meinung nach nicht verwendet werden und schon gar nicht akzeptiert werden, wenn sie einem vorgelegt werden.**

Eine Zustimmung des Verantwortlichen dafür, dass der Auftragsverarbeiter seine Datenverarbeitung im Home-Office macht, lässt sich unserer Meinung nach aus Artikel 28 DSGVO nicht ableiten. Zwar räumt Art 28 DSGVO dem Verantwortlichen ein umfassendes Kontrollrecht gegenüber dem Auftragsverarbeiter ein, aber hieraus ein Recht abzuleiten, dass man derart intensiv in die innerbetrieblichen Angelgenheiten eingreifen kann ist schon eine gewagte Interpretation.

Da der Auftragsverarbeiter ohnehin für etwaige Verstöße (auch jenen im Home-Office!) in der (Regress-)Haftung ist, erblicken wir in so einer Zustimmungspflicht auch keinen Mehrgewinn des Verantwortlichen.

Das Argument, dass somit der Verantwortliche sicherstellen könne, dass auch im Home-Office bestimmte Regeln der Daten- und Informationssicherheit einzuhalten haben, stimmt! ….theoretisch. Unserer Meinung nach ist dafür jedoch keine gesonderte Regelung notwendig, da dies ohnehin aus der allgemeinen Sorgfaltspflicht des Auftragsverarbeiters resultiert. Außerdem verpflichtet praktisch ohnehin jedes ernst zu nehmende Unternehmen seine Mitarbeiter seit jeher zu Daten- und Informationschutz, auch im Home-Office.

Der Sache mit dem Betreten der Mitarbeiterwohnungen stehen wir aus Gründen des Arbeitsrechtes höchst skeptisch gegenüber. Zwar hat jedes Unternehmen bis zu einem gewissen Grad das Recht und auch die Verpflichtung seine Mitarbeiter kontrollieren zu können. Eine Nachschau in der privaten Wohnstätte des Mitarbeiters ist allerdings faktisch tabu, da hier das Hausrecht einen buchstäblichen Riegel vorschiebt.

Freilich ist es unter bestimmten Aspekten zulässig, dass Arbeitgeber ihre Mitarbeiter auch privat kontrollieren können, doch gilt es hier abzuwägen zwischen den Grundrechten einerseits und der Sensibilität der betroffenen Daten andererseits. Nur wenn wirklich besonders sensible Daten verarbeitet werden, kann hier überhaupt argumentiert werden, dass die Wichtigkeit der Daten das Interesse des Mitarbeiters (und seiner Mitbewohner) auf Privatsphäre überwiegt.

Zudem muss die Nachschau in der persönlichen Wohnstätte das einzige zur Verfügung stehende Mittel sein. Was allerdings in der Regel nicht gegeben ist, da sich der Mitarbeiter bereits umfassenden Informationssicherheitsrichtlinien unterworfen hat und meist noch technische und organisatorische Maßnahmen – wie etwa VPN-Tunnelzugriff – zur Anwendung kommen.

Unternehmen welche sich daher mit solchen Klauseln konfrontiert sehen raten wir dringend an, dass diese nicht ohne weiteres hingenommen werden.

Und last but not least wollen wir auch noch jemanden zum Geburtstag gratulieren, denn – wie wir ja alle wissen – feierte die DSGVO am 25. Mai Geburtstag und wurde spektakuläre zwei Jahre alt. Wir hoffen alle, dass sie sich weiter entwickelt, einige Jugendflausen ablegt und groß und stark wird. Es stehen nämlich ein paar große Verfahren gegen Facebook, Google, WhatsApp und Co an.