ICO: Britische Datenschutzbehörde verlangt Datenschutzvorkehrungen für das Home Office
Mit Pressemitteilung vom 09. März 2012 hat das ICO deutlich gemacht, dass die Arbeit im Home-Office datenschutzrechtlichen Bedenken begegnet, denen die verantwortliche Stelle durch organisatorische Maßnahmen begegnen muss. Hintergrund war ein Datenschutzvorfall bei der schottischen Wohltätigkeitsorganisation Enable Scotland. Ihr wurde ein Thema zum Verhängnis, das viele Unternehmen bis heute unterschätzen: Datenschutzrecht im Home Office. ilex erklärt die Hintergründe.
Übersicht
1. Der Fall
Mit Pressemitteilung vom 09. März 2012 meldet die britische Datenschutzaufsichtsbehörde Information Commissioner’s Office (kurz: ICO) einen Datenschutzvorfall bei der schottischen Wohltätigkeitsorganisation Enable Scotland. Einem Angestellten der Organisation waren zwei unverschlüsselte Memory Sticks aus seiner Wohnung entwendet worden. Darauf befanden sich die Namen, Adressen, Geburtsdaten und in begrenztem Umfang sogar Gesundheitsdaten von Privatpersonen. Als Enable Scottland dies bemerkte, informierte die Organisation umgehend das ICO und die Betroffenen. Das war im November 2011.
Die sich anschließenden ICO-Ermittlungen ergaben, dass Enable Scotland keine Richtlinien für das Angestellte hat, die im Home-Office arbeiten. Insbesondere wurden Daten auf tragbaren Speichermedien nicht verschlüsselt.
2. Die Entscheidung
Die Aufsichtsbehörde stellte ausdrücklich heraus, dass Stellen, die Memory Sticks verwenden, zwingend vorsehen müssen, dass diese verschlüsselt werden.
“Organisations that use memory sticks to store personal information must make sure the devices are properly protected. Encrypting the data means that the information will remain safe even if the
device is later lost or stolen. It is also important that employers provide home workers with guidance on how to keep any personal data taken outside of the office secure, as this is potentially when the information is most vulnerable. We are pleased that Enable Scotland has taken action to keep people’s information safe, however this incident should act as a warning to all charities that they must ensure that personal information is handled correctly.”
Auch die Festlegung von internen Datenschutzregeln für Angestellte, die im Home Office arbeiten, seien dringend erforderlich.
3. Der Vergleich zu Deutschland
In Deutschland ist die Rechtslage im Wesentlichen vergleichbar. Auch hier sind alle verantwortlichen Stellen verpflichtet, diejenigen technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen allerdings nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht (vgl. § 9 BDSG).
Im Hinblick auf Angestellte die im Home Office arbeiten, wird diese Pflicht durch die Anlage zu § 9 BDSG und dort insbesondere den Ziffern 1 (Zugangskontrolle), 2 (Zugriffskontrolle) und 7 (Verfügbarkeitskontrolle) konkretisiert.
Rechtsvergleichend scheint es daher nicht völlig abwegig, dass auch in Deutschland eine Pflicht besteht, derartige interne Vorgaben zu machen.
Wie diese Maßnahmen konkret aussehen, kann nur im Einzelfall geklärt werden. Dies hängt gemäß § 9 Satz 2 BDSG („Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.“) von den Umständen im jeweiligen Unternehmen ab, etwa von der Größe des Unternehmens und der mitgegebenen Daten. Das Spektrum der „Umkleidung“ dieser Vorgaben reicht von einem internen Ehrencodex, über arbeitsvertragliche Vorgaben bis hin zur allumfassenden Konzernbetriebsvereinbarung.
4. Fazit
Im Ergebnis zeigt, dass auch Wohltätigkeitsorganisationen vor ganz normalen Problemen stehen, wie etwa auch jedes Unternehmen. Das Thema Home Office ist im Übrigen überall ein Thema, da die Möglichkeit, “einen Nachmittag mal von zu Hause arbeiten” für viele als ein Ansatz der familienverträglichen Arbeit gesehen wird. Da dieses Thema gesellschaftspolitisch an Bedeutung gewinnt, müssen auch die datenschutzrechtlichen Bedenken ausgeräumt werden.
Der Vorfall in Schottland war unnötig und hätte leicht vermieden werden können. Eine zwingende Verschlüsselung ist genauso leicht umzusetzen, wie interne Datenschutzregeln. Letzteres kostet weniger Geld als Bußgeldbescheid.