Gesetzliche Regelungen die den Einsatz von Telearbeit besonderen Voraussetzungen unterwerfen existieren nicht

3. Tätigkeitsbericht des 1998/1999

Arbeitgeber/Dienstherrn zur Nutzung im Rahmen des Telearbeitsverhältnisses vorgegeben werden. Damit kommt eine Anwendung der bereichsspezifischen Datenschutzvorschriften des TKG und des TDDG allenfalls bzgl. einer privaten Nutzung der vom Arbeitgeber/Dienstherr zur Verfügung gestellten Technik in Frage. Da sich bei der Anwendung dieser Vorschriften keine Besonderheiten im Vergleich zur privaten Nutzung von Telekommunikationsanlagen im Betrieb bzw. in der Dienststelle ergeben, gehe ich im weiteren von einer ausschließlich dienstlichen Nutzungsmöglichkeit der Technik durch den Telearbeiter aus. Zudem wird der Arbeitgeber/Dienstherr im Regelfall aus Gründen der Sicherheit der Kommunikation die Nutzung der zur Erledigung der Telearbeit zur Verfügung gestellten Kommunikationsanlagen ausschließlich zur dienstlichen Verwendung gestatten.

Gesetzliche Regelungen, die den Einsatz von Telearbeit besonderen Voraussetzungen unterwerfen, existieren nicht. Daher gelten grundsätzlich dieselben Vorschriften wie für eine Datenverarbeitung im Betrieb bzw. in der Dienststelle, wobei unter Berücksichtigung der Sensibilität der verarbeiteten Daten besondere Vorkehrungen im Hinblick auf die Verarbeitung außerhalb der unmittelbaren Einwirkungsmöglichkeiten des Arbeitgebers/Dienstherrn zu treffen sind.

Die datenschutzrechtliche Verantwortlichkeit für die Telearbeit trägt gem. § 9 Satz 1 BDSG und § 9 Abs. 1 Satz 1 der Dienstherr/Arbeitgeber. Dazu haben die Stellen, die personenbezogene Daten verarbeiten, die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Vorschriften des Datenschutzes zu gewährleisten. Die gesetzlichen Anforderungen sind in der Anlage zu § 9 BDSG bzw. im § 9 Abs. 2 aufgeführt.

Wie bei jeglicher Verarbeitung personenbezogener Daten, sind insbesondere die Vertraulichkeit, die Integrität, die Verfügbarkeit und die Authentizität der Daten sowie die Ordnungsmäßigkeit, Revisionsfähigkeit und Transparenz der Datenverarbeitung sicherzustellen.

Desweiteren sind dem Arbeitgeber bzw. Auftraggeber, dem behördlichen oder betrieblichen Datenschutzbeauftragten sowie für öffentliche Stellen den Landesbeauftragten für den Datenschutz bzw. für nicht-öffentliche Stellen den Aufsichtsbehörden die gesetzlich vorgegebenen Kontrollrechte vor Ort einzuräumen. Hierfür ist der Ar3. Tätigkeitsbericht des 1998/1999 beitgeber bzw. Auftraggeber verantwortlich. Die Ausübung des Kontrollrechtes bedarf jedoch der ausdrücklichen Einwilligung des Telearbeiters. Die Einwilligung seitens des Telearbeiters zu einem Zutrittsrecht der datenschutzrechtlichen Kontrollinstanzen in seine private Wohnung ist deshalb unumgänglich, da durch Art. 13 GG die Unverletzlichkeit der Wohnung garantiert ist. Da die Möglichkeit der Kontrolle gesetzlich vorgegeben ist, kann Telearbeit nur dann ausgeführt werden, wenn dieses Kontrollrecht auch praktisch ausgeübt werden kann. D. h., wenn der Telearbeiter im Voraus keine Einwilligung zu einem solchen Kontrollrecht leistet, und dahingehend keine Vereinbarung zwischen Arbeitgeber/Dienstherr und dem Telearbeiter zustande kommt, wäre die Verarbeitung der personenbezogenen Daten beim Telearbeiter aus datenschutzrechtlicher Sicht aufgrund der eingeschränkten Kontrollmöglichkeiten unzulässig.

Generell ist zu bemerken, dass Telearbeitsplätze ohne entsprechende zusätzliche Schutzmaßnahmen größeren Gefahren im Hinblick auf die Vertraulichkeit, der Integrität und der Verfügbarkeit der Daten ausgesetzt sind, als die PC-Arbeitsplätze in der Daten verarbeitenden Stelle selbst. So ist der Kontroll- und Einflussbereich seitens des Arbeitgebers oder Dienstherrn aufgrund der räumlichen Trennung nicht unmittelbar gegeben. Besondere Gefährdungen ergeben sich insofern, dass der häusliche Arbeitsplatz zumindest gegenüber den Familienangehörigen bzw. Vertrauten des Telearbeiters keiner Zutrittskontrolle unterliegt, der Zugang auf den Rechner nicht ausreichend abgesichert ist und durch das einfache Einspielen privater Software Risiken für die Vertraulichkeit und Integrität der Daten bestehen. Ebenso kann die datenschutzgerechte Entsorgung von Datenträgern und Schriftgut unzureichend sein.

Gem. § 9 ist der Arbeitgeber/Dienstherr verpflichtet, eine datenschutzgerechte Gestaltung der Telearbeitsplätze so vorzunehmen, dass die Betroffenen, um deren Daten es geht, angemessen d. h. ausreichend durch erforderliche technische und organisatorische Maßnahmen im Sinne von § 9 geschützt werden. Die notwendigen Sicherheitsüberlegungen dürfen sich dabei nicht nur auf den Arbeitsplatz des Telearbeiters beschränken, sondern müssen die Übermittlung der Daten von und zur Daten verar3. Tätigkeitsbericht des 1998/1999 beitenden Stelle und den Übergang in das behörden- bzw. firmeneigene Netz in die Betrachtungen einbeziehen.

Die für einen Telearbeitsplatz zu ergreifenden Sicherheitsmaßnahmen sollten im Ergebnis eine der Daten verarbeitenden Stelle äquivalentes Sicherheitsniveau ermöglichen. Auf keinen Fall ist die Verarbeitung personenbezogener Daten mittels Telearbeit zulässig, wenn im konkreten Fall die vorgesehenen Maßnahmen in ihrer Gesamtheit unzureichend sind, um einen Missbrauch von Daten zu verhindern. Nachfolgend sind grundlegende technische und organisatorische Maßnahmen aufgezeigt, die unabhängig von speziellen Gegebenheiten allgemein bei der Einrichtung von Telearbeitsplätzen zur Verarbeitung personenbezogener Daten zu beachten sind:

- Die zum Einsatz kommenden IT-Geräte, die erforderliche System-, Anwendungs- und Kommunikationssoftware sollten Eigentum der Daten verarbeitenden Stelle sein und nur für dienstliche Angelegenheiten benutzt werden.

- Der Einsatz von der Daten verarbeitenden Stelle nicht freigegebener Software oder die Nutzung nicht lizensierter Software ist unzulässig.

- Das automatisierte Verfahren und der Telearbeitsrechner sind in das Anlagen- und Verfahrensverzeichnis gem. § 10 aufzunehmen.

- Der Telearbeiter muss umfassend über die Nutzung der bereitgestellten Hard- und Software unterrichtet sein.

- Das Einrichten, Aktualisieren sowie erforderliche Wartungsarbeiten sollte durch hierfür geschultes Personal der Daten verarbeitenden Stelle durchgeführt werden.

- Es wird empfohlen den Telearbeitsplatz in einem separatem Raum einzurichten. Dienstliche Unterlagen und Datenträger müssen vor unbefugtem Zugriff aufbewahrt werden. Hierfür sind entsprechende verschließbare Behältnisse erforderlich.

- Die datenschutzgerechte Entsorgung von dienstlichen Unterlagen und Datenträgern ist abzusichern. Soweit hierfür keine zentrale Entsorgung vorgesehen ist, sind Schriftgut mit Personenbezug zu schreddern und maschinenlesbare Datenträger, soweit sie noch funktionstüchtig sind, physikalisch zu löschen bzw. bei einem Defekt mechanisch zu vernichten.