Das sogenannt Kontrollrecht bei der Auftragsverarbeitung ist ein wichtiges Thema, das im Zusammenhang mit der Datenschutz-Grundverordnung (Art. 28 3c DSGVO) steht. Die DSGVO verpflichtet den Verantwortlichen geeignete und angemessene technische und organisatorische Maßnahmen (TOM) zum Schutz der personenbezogenen Daten zu ergreifen. Gleiches gilt auch für den Auftragsverarbeiter der personenbezogene Daten eines Verantwortlichen verarbeitet. Auch dieser muss für geeignete und angemessene technische und organisatorische Maßnahmen (TOM) sorgen, um die Sicherheit und den Schutz der Daten zu gewährleisten.
Der Verantwortliche muss in der Lage sein die Einhaltung der vereinbarten Maßnahmen auch jetzt noch problemlos überprüfen und nachweisen zu können. Gilt bei den Geschäftsräumen doch meist: Alarmanlage, Zutritts- und Zugriffskonzept usw., ist dies meist im heimeligen Büro eine andere Sache. Streng genommen darf keine Verarbeitung personenbezogener Daten erfolgen, wenn dies außerhalb der Kontrollmöglichkeiten des Verantwortlichen geschieht. Dies gilt sowohl für die Mitarbeitenden des Verantwortlichen wie für die des Auftragsverarbeiters.
Oftmals führen auftragsverarbeitende Unternehmen und auch deren Datenschutzbeauftragte das Grundrecht der Unverletzlichkeit der Wohnung als Argumentation heran, weshalb eine Durchsetzung des Kontrollrechts im Homeoffice quasi nicht möglich sei. Hier kollidieren das Grundgesetz Art. 13 (Unverletzlichkeit der Wohnung) mit der europäischen Gesetzgebung in der mit der Verarbeitung personenbezogener Daten das „Recht auf informationelle Selbstbestimmung“ garantiert wird.
Die Datenschutz-Grundverordnung steht als EU-Recht rangmäßig über dem nationalen Recht, inklusive der Verfassung (also des Grundgesetzes). Somit birgt die Berufung auf das Grundgesetz rechtlich gesehen ein Konflikt, da beides Grundrechte auf EU-Ebene sind.
In Vergessenheit gerät in der Debatte häufig, dass es überhaupt kein Recht auf Homeoffice gibt. Die Verarbeitung von personenbezogenen Daten ist ohne Gefährdung des Schutzes der eigenen Wohnung und gleichzeitig unter Beachtung des Datenschutzes aus den Geschäftsräumen heraus jeder Zeit möglich.
Sollten Mitarbeitende und Unternehmen die Möglichkeiten des Arbeitens von zuhause in Anspruch nehmen und gewähren, muss somit im erforderlichen Rahmen auf das Recht der Unverletzlichkeit der Wohnung ein Stück weit verzichten werden. Mit anderen Worten: Wer dem Verantwortlichen, egal ob Arbeitgeber oder Auftraggeber, die Wahrnehmung seiner eigenen Pflichten nicht ermöglichen will, und ist zur Präsenz in den Geschäftsräumen verpflichtet.
Außerdem bedeutet ein vertraglich vereinbartes Kontrollrecht, bspw. des Auftraggebers im Rahmen einer Auftragsverarbeitung, nicht gleichzeitig, dass dieser auch tatsächlich einen Mitarbeitenden zum Zwecke der Kontrolle in seinem trauten Heim besucht. Die Kontrolle kann schließlich beispielsweise auch stellvertretend ausgeübt und nachgewiesen werden, etwa durch den eigenen Arbeitgeber. Dass Fremde neugierig in der Wohnung herumspazieren, ist also gar nicht zwingend gesagt. Durch entsprechende Ausgestaltung der Technik wie aber auch entsprechender Verpflichtungen der Mitarbeitenden kann der tatsächlich zu kontrollierende Bereich eingeschränkt und dementsprechend auch eher einfach nachgewiesen werden. Das Kontrollrecht des verantwortlichen Auftraggebers kann damit für Fälle vorbehalten bleiben, in denen die Selbstkontrolle im Hause des Auftragsverarbeiters nicht erfolgt oder aber Geschehnisse eine Kontrolle erforderlich machen.
Die Kontrolle bei der Auftragsverarbeitung im Home-Office ist also eine Herausforderung, die sowohl vom Verantwortlichen als auch vom Auftragsverarbeiter verlangt, die bestehenden Vereinbarungen und Maßnahmen zu überprüfen und gegebenenfalls anzupassen. Dabei sollten sie die Risiken für die personenbezogenen Daten, die Rechte der betroffenen Personen und die möglichen Sanktionen bei Verstößen gegen die DSGVO berücksichtigen. Denn das Risiko eines Zugriffs durch Dritte, wenn auch unbeabsichtigt, steigt bei der Arbeit aus dem eigenen Heim oder von unterwegs.
Daher empfehlen wir unseren Mandaten entsprechende Spielregeln für die Arbeiten außerhalb der Geschäftsräume, bspw. im Homeoffice, aufzustellen und entsprechende technische und organisatorische Maßnahmen zu implementieren. Auch Ihre Mitarbeitenden werden durch klare Vorgaben und Regeln an Handlungssicherheit gewinnen.
Sie sind sich nicht sicher, ob die Umsetzung in Ihrem Unternehmen den Erfordernissen im Datenschutz angemessen ist? Sprechen Sie uns an. Gerne begleiten wir Sie.
