0
Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

ICO: Britische Datenschutzbehörde verlangt Datenschutzvorkehrungen für das Home Office

Mit Pressemitteilung vom 09. März 2012 hat das ICO deutlich gemacht, dass die Arbeit im Home-Office datenschutzrechtlichen Bedenken begegnet, denen die verantwortliche Stelle durch organisatorische Maßnahmen begegnen muss. Hintergrund war ein Datenschutzvorfall bei der schottischen Wohltätigkeitsorganisation Enable Scotland. Ihr wurde ein Thema zum Verhängnis, das viele Unternehmen bis heute unterschätzen: Datenschutzrecht im Home Office. ilex erklärt die Hintergründe.



Übersicht

1. Der Fall

Mit Pressemitteilung vom 09. März 2012 meldet die britische Datenschutzaufsichtsbehörde Information Commissioner’s Office (kurz: ICO) einen Datenschutzvorfall bei der schottischen Wohltätigkeitsorganisation Enable Scotland. Einem Angestellten der Organisation waren zwei unverschlüsselte Memory Sticks aus seiner Wohnung entwendet worden. Darauf befanden sich die Namen, Adressen, Geburtsdaten und in begrenztem Umfang sogar Gesundheitsdaten von Privatpersonen. Als Enable Scottland dies bemerkte, informierte die Organisation umgehend das ICO und die Betroffenen. Das war im November 2011.

Die sich anschließenden ICO-Ermittlungen ergaben, dass Enable Scotland keine Richtlinien für das Angestellte hat, die im Home-Office arbeiten. Insbesondere wurden Daten auf tragbaren Speichermedien nicht verschlüsselt.

2. Die Entscheidung

Die Aufsichtsbehörde stellte ausdrücklich heraus, dass Stellen, die Memory Sticks verwenden, zwingend vorsehen müssen, dass diese verschlüsselt werden.

“Organisations that use memory sticks to store personal information must make sure the devices are properly protected. Encrypting the data means that the information will remain safe even if the
device is later lost or stolen. It is also important that employers provide home workers with guidance on how to keep any personal data taken outside of the office secure, as this is potentially when the information is most vulnerable. We are pleased that Enable Scotland has taken action to keep people’s information safe, however this incident should act as a warning to all charities that they must ensure that personal information is handled correctly.”

Auch die Festlegung von internen Datenschutzregeln für Angestellte, die im Home Office arbeiten, seien dringend erforderlich.

3. Der Vergleich zu Deutschland

In Deutschland ist die Rechtslage im Wesentlichen vergleichbar. Auch hier sind alle verantwortlichen Stellen verpflichtet, diejenigen technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen allerdings nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht (vgl. § 9 BDSG).

Im Hinblick auf Angestellte die im Home Office arbeiten, wird diese Pflicht durch die Anlage zu § 9 BDSG und dort insbesondere den Ziffern 1 (Zugangskontrolle), 2 (Zugriffskontrolle) und 7 (Verfügbarkeitskontrolle) konkretisiert.

Rechtsvergleichend scheint es daher nicht völlig abwegig, dass auch in Deutschland eine Pflicht besteht, derartige interne Vorgaben zu machen.

Wie diese Maßnahmen konkret aussehen, kann nur im Einzelfall geklärt werden. Dies hängt gemäß § 9 Satz 2 BDSG („Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.“) von den Umständen im jeweiligen Unternehmen ab, etwa von der Größe des Unternehmens und der mitgegebenen Daten. Das Spektrum der „Umkleidung“ dieser Vorgaben reicht von einem internen Ehrencodex, über arbeitsvertragliche Vorgaben bis hin zur allumfassenden Konzernbetriebsvereinbarung.

4. Fazit

Im Ergebnis zeigt, dass auch Wohltätigkeitsorganisationen vor ganz normalen Problemen stehen, wie etwa auch jedes Unternehmen. Das Thema Home Office ist im Übrigen überall ein Thema, da die Möglichkeit, “einen Nachmittag mal von zu Hause arbeiten” für viele als ein Ansatz der familienverträglichen Arbeit gesehen wird. Da dieses Thema gesellschaftspolitisch an Bedeutung gewinnt, müssen auch die datenschutzrechtlichen Bedenken ausgeräumt werden.

Der Vorfall in Schottland war unnötig und hätte leicht vermieden werden können. Eine zwingende Verschlüsselung ist genauso leicht umzusetzen, wie interne Datenschutzregeln. Letzteres kostet weniger Geld als Bußgeldbescheid.

Autor

Dr. Ulrich Schulte am Hülse

Publikationen:

Veröffentlichungsliste Dr. Schulte am Hülse (PDF)

Auswahl (Sonderdrucke als PDF)

Das Abgreifen von Zugangsdaten zum Online-Banking, in: MMR 7/2016, S. 435-440.

Umfang des Auskunftsanspruches gegen die Schufa-Scorewerte, in: NJW 17/2014, S. 1235-1239

Der Anscheinsbeweis bei missbräuchlicher Bargeldabhebung an Geldautomaten mit Karte und Geheimzahl, in: NJW 18/2012, S. 1262-1266.

Das Abgreifen von Bankzugangsdaten im Online-Banking, in: MMR, 2010, S. 84-90.

Weitere Sonderdrucke auf Anfrage

ilex Rechtsanwälte – Berlin & Potsdam Yorckstraße 17, 14467 Potsdam Hohenzollerndamm 123, 14199 Berlin

Telefon +49 331 9793750
Telefax +49 331 97937520

E-Mail: schulte@ilex-recht.de
Internet: ilex-bankrecht.de

Verwandte Themen

Zurück

Sie haben Fragen? Gleich Kontakt aufnehmen!

Medienpräsenz

Chip Online
Frankfurter Allgemeine
Merkur
Berliner Morgenpost
Sat1
Der Spiegel
ZDF
Chip Online
Frankfurter Allgemeine
Merkur
Berliner Morgenpost
Sat1
Der Spiegel
ZDF
ilex Rechtsanwälte hat 4,99 von 5 Sternen 84 Bewertungen auf ProvenExpert.com