Richtlinie zum Datenschutz im Home-Office - Formular Pro · DE-law

Richtlinie zum Datenschutz im Home-Office

________

(nachfolgend „Arbeitgeber“)

§ 1 Zweck und rechtlicher Rahmen

(1) Der Arbeitgeber ist als Verantwortlicher im Sinne des Art. 4 Nr. 7 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – nachfolgend „DSGVO“) verpflichtet, gemäß Art. 5 Abs. 2, Art. 24 und Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen zu treffen, die gewährleisten, dass die Verarbeitung personenbezogener Daten den Anforderungen der DSGVO sowie des Bundesdatenschutzgesetzes (BDSG) entspricht.

(2) Bei der Verarbeitung personenbezogener Daten außerhalb der Betriebsstätte, insbesondere im Home-Office, bestehen besondere Risiken für die Vertraulichkeit, Integrität und Verfügbarkeit der Daten.

(3) Diese Richtlinie konkretisiert die Pflichten der Arbeitnehmer beim Umgang mit personenbezogenen Daten im Home-Office. Sie dient der Vermeidung von Verstößen gegen die DSGVO und das BDSG und ist im Rahmen des Weisungsrechts des Arbeitgebers gemäß § 106 GewO verbindlich zu beachten.

§ 2 Anwendungsbereich

(1) Diese Richtlinie regelt den ordnungsgemäßen Umgang mit der Verarbeitung personenbezogener Daten im Home-Office.

(2) Personenbezogene Daten sind gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Hierzu zählen insbesondere Vor- und Nachnamen, Anschriften, Staatsangehörigkeit, Telefonnummern sowie besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO (z. B. Gesundheitsdaten, Daten zur religiösen Überzeugung).

(3) Die Richtlinie gilt für alle Arbeitnehmer des Arbeitgebers an sämtlichen Standorten sowie bei jeder Tätigkeit außerhalb der Betriebsstätte.

(4) Die Verantwortlichkeit für die Durchsetzung und Fortentwicklung dieser Richtlinie liegt bei dem Datenschutzbeauftragten.

(5) Im Zweifelsfall hat diese Richtlinie Vorrang vor abweichenden Vereinbarungen im Arbeitsvertrag, soweit nicht zwingende gesetzliche oder kollektivrechtliche Regelungen entgegenstehen.

§ 3 Nutzung von Arbeitsmitteln im Home-Office

(1) Der Arbeitnehmer ist verpflichtet, im Home-Office ausschließlich die vom Arbeitgeber zur Verfügung gestellten Arbeitsmittel zu verwenden. Arbeitsmittel im Sinne dieser Richtlinie sind insbesondere bereitgestellte Laptops, PCs, Mobiltelefone, Datenträger sowie Software-Programme.

(2) Die Installation der erforderlichen Software erfolgt durch den Arbeitgeber oder einen hierzu bevollmächtigten Mitarbeiter beziehungsweise Dritten (z. B. einen IT-Dienstleister). Der Arbeitnehmer darf die Installation von Software nur vornehmen, wenn der Arbeitgeber dies zuvor ausdrücklich genehmigt hat. Dies gilt entsprechend für die Durchführung von Updates sowie die Behebung von Softwarefehlern.

(3) Die private Nutzung der zur Verfügung gestellten Arbeitsmittel ist untersagt.

§ 4 Datenübertragung und Datensicherung

(1) Die Übertragung personenbezogener Daten hat ausschließlich über eine verschlüsselte und gesicherte Verbindung zu erfolgen. Eine solche Verbindung kann insbesondere über einen VPN-Zugang („Virtual Private Network“) oder eine VDI-Lösung („virtuelle Desktop-Infrastruktur“) hergestellt werden. Personenbezogene Daten sind grundsätzlich ausschließlich auf serverbasierten Laufwerken des Arbeitgebers zu verarbeiten und zu speichern.

Lorem ipsum dolor sit amet consectetur adipiscing elit sed do eiusmod tempor incididunt ut labore et dolore magna aliqua ut enim ad minim veniam quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat duis aute irure dolor in reprehenderit voluptate velit esse cillum dolore eu fugiat nulla pariatur lorem ipsum dolor sit amet consectetur adipiscing elit sed do eiusmod tempor incididunt ut labore et dolore magna aliqua ut enim ad minim veniam quis nostrud exercitation ullamco laboris.

(3) Bei vertraulichen Gesprächen (z. B. Telefonaten und Videokonferenzen), die personenbezogene Daten zum Gegenstand haben können, hat der Arbeitnehmer die erforderlichen Maßnahmen zu treffen, um ein Mithören durch unberechtigte Dritte zu verhindern.

§ 5 Sicherheitsanforderungen an den Arbeitsplatz im Home-Office

Lorem ipsum dolor sit amet consectetur adipiscing elit sed do eiusmod tempor incididunt ut labore et dolore magna aliqua ut enim ad minim veniam quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat duis aute irure dolor in reprehenderit voluptate velit esse cillum dolore eu fugiat nulla pariatur lorem ipsum dolor sit amet consectetur adipiscing elit sed do eiusmod tempor incididunt ut labore et dolore magna aliqua ut enim ad minim veniam quis nostrud exercitation ullamco laboris.

(2) Die zur Verfügung gestellten Arbeitsmittel sind durch geeignete, hinreichend sichere Passwörter vor unbefugtem Zugriff zu schützen. Der Arbeitnehmer hat dafür Sorge zu tragen, dass die Arbeitsmittel bei – auch nur kurzzeitigem – Verlassen des Arbeitsplatzes ausgeschaltet oder durch eine automatische, passwortgeschützte Bildschirmsperre gegen unbefugten Zugriff Dritter gesichert werden.

(3) Ausdrucke personenbezogener Daten sind nach Möglichkeit zu vermeiden. Ist ein Ausdruck im Einzelfall erforderlich, sind die Unterlagen sicher und unwiederbringlich zu vernichten, sobald sie nicht mehr benötigt werden. Verfügt der Arbeitnehmer nicht über geeignete Aktenvernichtungsgeräte, hat er die Unterlagen im Betrieb des Arbeitgebers ordnungsgemäß zu vernichten. Unterlagen mit personenbezogenen Daten sind verschlossen aufzubewahren.

(4) Der Arbeitnehmer hat geeignete Vorkehrungen zum Schutz der überlassenen Arbeitsmittel vor Verlust und Diebstahl zu treffen. Hierzu gehören insbesondere der sichere Transport der Arbeitsmittel außerhalb der Geschäftsräume des Arbeitgebers sowie deren Beaufsichtigung.

§ 6 Meldung von Datenschutzverstößen und Sicherheitsvorfällen

(1) Stellt der Arbeitnehmer einen tatsächlichen oder vermuteten Verstoß gegen die Bestimmungen dieser Richtlinie oder gegen datenschutzrechtliche Vorschriften fest, so hat er dies unverzüglich dem Arbeitgeber sowie dem Datenschutzbeauftragten zu melden.

(2) Dies gilt insbesondere bei Verlust oder Diebstahl von Arbeitsmitteln, bei einem unbefugten Zugriff Dritter auf personenbezogene Daten sowie bei dem Verdacht eines Schadprogramm- oder Cyberangriffs.

(3) Der Arbeitnehmer ist verpflichtet, im Falle eines solchen Vorfalls mit dem Arbeitgeber und dem Datenschutzbeauftragten zusammenzuarbeiten und alle zur Aufklärung und Behebung des Vorfalls erforderlichen Informationen unverzüglich zur Verfügung zu stellen. Die unverzügliche Meldung ist erforderlich, damit der Arbeitgeber seinen gesetzlichen Melde- und Benachrichtigungspflichten nach Art. 33 und Art. 34 DSGVO fristgerecht nachkommen kann.

§ 7 Ausnahmen

In begründeten Einzelfällen kann der Arbeitgeber Ausnahmen von den vorstehenden Regelungen zulassen. Eine solche Ausnahme bedarf der vorherigen Einholung des Einverständnisses des Arbeitgebers in Textform (§ 126b BGB).

§ 8 Arbeits- und strafrechtliche Konsequenzen

(1) Es wird ausdrücklich darauf hingewiesen, dass eine Verletzung der in dieser Richtlinie festgelegten Pflichten arbeitsrechtliche Konsequenzen haben kann, insbesondere eine Abmahnung.

(2) Im Einzelfall kann eine Verletzung dieser Pflichten eine ordentliche oder außerordentliche Kündigung (§§ 1, 626 BGB, KSchG) rechtfertigen. Darüber hinaus kann ein gesetzeswidriges Verhalten im Zusammenhang mit der Verarbeitung personenbezogener Daten zivilrechtliche Schadensersatzansprüche (Art. 82 DSGVO), bußgeldrechtliche Folgen (Art. 83 DSGVO, § 41 BDSG) sowie strafrechtliche Konsequenzen (§ 42 BDSG, §§ 202a ff. StGB) nach sich ziehen.

Hiermit bestätige ich, dass ich diese Richtlinie zur Kenntnis genommen habe und mit der Beachtung der darin getroffenen Regelungen einverstanden bin.

__________________________
Ort, Datum

_________________________
Arbeitnehmer