Updates des Artikels mit weiteren Hinweisen von Aufsichtsbehörden und weiteren arzt(datenschutz)rechtlichen Besonderheiten finden Sie online auf meiner Blog-Seite.

Aktueller Anlass für Homeoffice-Regelungen

Aus aktuellem Anlass – Corona Pandemie und Covid 19 Bekämpfung – hat die Arbeit im Homeoffice bei den Arbeitsplätzen, bei denen es überhaupt möglich ist, sie in die privaten vier Wände zu verlagern, eine enorme Bedeutung erlangt. Im Gesundheitsbereich ist dies z.B. bei Begutachtung, Befundung, Arztbriefen, Abrechnungen, Terminvereinbarungen-/Absagen, Videosprechstunden etc. vorstellbar, also dort, wo kein unmittelbarer Patientenkontakt erforderlich ist.

Trotz aller Eile und wirtschaftlicher Notwendigkeit, statt in der Praxis im Homeoffice zu arbeiten, sind jedoch einige Dinge vertraglich zu regeln, Gesetze zu befolgen und Folgen eventueller Regelverstöße oder Datenschutzpannen zu bedenken.

Nachfolgend erhalten Sie einen Überblick über einige wichtige Punkte, die Sie bei der Einrichtung und dem Betrieb von Arbeiten im Homeoffice beachten sollten.

Generelle Eignung von Homeoffice für die konkrete Datenverarbeitung

Die Arbeit ist mehr oder minder für eine Erledigung im Homeoffice geeignet, und zwar je nach Art der zu verarbeitenden Daten, der Datenverarbeitungsprozesse (z. B. papierhaft oder nur elektronisch per Fernzugriff auf Server des Arbeitgebers) und der häuslichen Situation (separat abschließbarer Raum oder Küchentisch, Mitbewohner etc.). Die Eignung sollte im Rahmen eines Antragformulars abgefragt werden. Bei der Verarbeitung von Gesundheitsdaten, Art. 4 Nr. 15 DSGVO, Art. 9 Abs. 1 DSGVO, insbesondere wenn diese papierhaft vorliegen oder wenn diese telefonisch, im Rahmen einer Videokonferenz oder Videosprechstunde erörtert werden sollen, sind auch im häuslichen Umfeld strenge Anforderungen an die Vertraulichkeit zu stellen. Unberechtigte Personen sollen diese Gesundheitsinformationen weder zu Gesicht bekommen noch mithören können. Wer nicht alleine wohnt, wird dies nur in einem separaten Arbeitszimmer, nicht aber am Küchen- oder Wohnzimmertisch sicherstellen können.

Datenschutzrecht und Berufsgeheimnis parallel beachten – Mustervereinbarung

Sofern Gesundheitsdaten von Ärzten und deren Mitarbeitern oder sonstigen mitwirkenden Dritten (z.B. IT-Dienstleistern) verarbeitet werden, unterliegen diese Daten dem Berufsgeheimnisschutz (Arztgeheimnis), welches sowohl im ärztlichen Berufsrecht (Standesrecht, § 9 MBOÄ) als auch im Strafgesetzbuch, § 203 StGB, geregelt ist. Berufsgeheimnisträger, also der Arzt, der IT-Dienstleistungen derart in Anspruch nimmt, dass die Kenntnisnahme von Patientendaten durch den IT-Dienstleister nicht ausgeschlossen ist, macht sich potentiell strafbar, wenn er den IT-Dienstleister nicht auf dessen gesetzlich neu geregelte Strafbarkeit im Falle der Verletzung des Arztgeheimnisses belehrt und entsprechend – zu Beweiszwecken schriftlich – verpflichtet. Die BITKOM hat hierzu zusammen mit einigen ärztlichen Berufsverbänden Informationen zusammengestellt und ein Muster entwickelt, welches ggf. auf den konkreten Fall anzupassen ist.

Es ist wichtig zu verstehen, dass beide rechtlichen Aspekte parallel betrachtet und geregelt werden müssen. Sofern nach der Art der Datenverarbeitung (im wesentlichen streng weisungsabhängig) eine Auftragsverarbeitung vorliegt, muss diese um datenschutzkonform zu sein, vor der ersten Datenverarbeitung in einem Vertrag zur Auftragsverarbeitung nach Art. 29 DSGVO geregelt werden. Wenn dabei Gesundheitsdaten für einen Berufsgeheimnisträger (z.B. Arzt, Apotheker, Psychologe) verarbeitet werden, muss parallel der Dienstleister durch den Berufsgeheimnisträger zur Wahrung des Berufsgeheimnisses nach § 203 Abs. 4 Satz 2 Nr. 1 StGB verpflichtet werden, um sich nicht strafbar zu machen. Leider ist der Aspekt in vielen Standardverträgen (zur Auftragsverarbeitung, AVV) von IT-Dienstleistern, auch solchen, die auf Leistungen für die Gesundheitsbranche spezialisiert sind, nicht enthalten. Dann muss vor Inanspruchnahme der IT-Leistung nicht nur der Vertrag zur Auftragsverarbeitung geschlossen werden, sondern eine Zusatzvereinbarung zur Verpflichtung auf das Arztgeheimnis getroffen werden. Diese muss der IT-Dienstleister auch durch entsprechende Verpflichtung seiner Mitarbeiter in die Praxis umsetzen.

Da gerade im Bereich Home-Office oft IT-Produkt von US-Herstellern in der engeren Wahl sind, ist besonders kritisch zu prüfen, ob diese für die Verarbeitung von Gesundheitsdaten durch Berufsgeheimnisträger oder von deren Mitarbeitern eingesetzt werden können. Neben den meist lösbaren zusätzlichen Anforderungen des Datenschutzrechts an die Datenverarbeitung in Drittstaaten (= außerhalb EU, s.u.) kommt hinzu, dass der strafrechtliche Schutz des § 203 StGB nicht durch Verlagerung der Datenverarbeitung in Staaten ausgehöhlt werden darf, in denen die strafrechtliche Verfolgung eines etwaigen Verstoßes nicht möglich ist.

Technische und organisatorische Anforderungen an Homeoffice

Die technischen und organisatorischen Anforderungen, Art. 32 DSGVO, § 22 Abs. 2 BDSG, an die Arbeit und den Arbeitsplatz im Homeoffice sollten generell in einer Homeoffice-Richtlinie und sofern ein Betriebs- oder Personalrat besteht einer Betriebsvereinbarung festgelegt werden.

Arbeitsvertragliche Vereinbarung für Homeoffice

Da Homeoffice arbeitsvertraglich nicht zwingend angeordnet werden kann, bedarf es einer Vereinbarung mit den Mitarbeitern, die Fragen von Arbeitszeit, Datenschutz, IT-Sicherheit, IT-Ausstattung, Kostenerstattung etc. regelt.

Meldung bei Behörden

Die Zahl der in Heimarbeit Beschäftigten ist, nach § 23 Abs. 1 Nr. 1 Arbeitsschutzgesetz, nach Geschlecht, Alter und Staatsangehörigkeit der zuständigen Behörde zu melden.

Private Geräte im Homeoffice, BYOD

Die Nutzung privater Geräte sollte tunlichst unterbleiben, oder zumindest in einer Arbeitsanweisung zu „Bring your own device“ (BYOD, oder genauer am Heimarbeitsplatz: Use your own device) geregelt sein. Die Installation von Containersoftware, die vom Arbeitgeber administriert werden kann und privaten von dienstlichen Daten trennt, sollte in Erwägung gezogen werden.

Datenspeicherung

Internet-Cloud-Speicherdienste dürfen nur mit AVV-Vereinbarungen genutzt werden. Bei Dienstleistern aus Drittstaaten (außerhalb der EU) gelten zusätzlich Anforderungen (s.u.), Daten sind nach Möglichkeit verschlüsselt abzulegen, vgl. § 22 Abs. 2 BDSG (siehe z.B. Angebot von Teamdrive).

Telekommunikation

VPN-Verbindungen auf Grundlage der BSI-Empfehlungen mit Zwei-Faktoren-Authentifizierungen sollten Standard sein (IT-Grundschutz NET.3.3 VPN – vgl. ISi-Reihe des BSI). Telefon- und Videokonferenzen sollten ohne unberechtigte Zuhörer erfolgen. Die eingesetzten Messenger, Telefon- und Videokonferenzsysteme sind vom Arbeitgeber vorzugeben, wobei entsprechende Verträge zur Auftragsverarbeitung, Art. 28 DSGVO, mit der Vereinbarung von technisch-organisatorischen Maßnahmen, Art. 32 DSGVO, abzuschließen sind. (vgl. Empfehlungender LDA Baden-Württemberg zur datenschutzfreundlichen Kommunikationsmöglichkeit)

Informationen zur Telearbeit im Homeoffice stellen die Datenschutzaufsichtsbehörden bereit, z.B. für Rheinland-Pfalzund Schleswig-Holstein.

Dienstleister aus Drittstaaten für Homeoffice-Tools

Sofern die Nutzung von US-Dienstleistern nicht zu vermeiden ist, müssen diese zumindest dem EU-US-Privacy-Shieldunterliegen. Generell ist bei Dienstleistern aus Drittstaaten ein der EU vergleichbares Sicherheitsniveau vertraglich durch den Abschluss von EU-Standardvertragsklausel (EU-Model-Clauses oder auch DPA – Data Processing Addendum genannt) geboten.

Datenpannen im Homeoffice

Auch das Verhalten bei Datenpannen, nach Art. 33 DSGVO, insbesondere bei Verletzung der Vertraulichkeit oder bei Datenverlust (z. B. Diebstahl oder Verlust von Datenträgern), sollte durch Arbeitsanweisungen und in der Vereinbarung zum Homeoffice geregelt werden.

Wenn nicht alles vertragsgemäß gelaufen ist, stellt sich die mit dem betrieblichen Datenschutzbeauftragten oder einem spezialisierten externen Berater binnen 72 Stunden zu klärende Frage, ob eine meldepflichtige Datenpanne, nach Art. 33 DSGVO, vorliegt. Geprüft werden sollte auch die Möglichkeit einer nachträglichen Genehmigung.

Sofern entgegen der gesetzlichen oder vertraglichen Vorgaben gehandelt wurde, sind die Verstöße schnellstmöglich zu heilen und die erforderliche Dokumentation „nachzuziehen“. Sofern sich bei der Aufarbeitung herausstellt, dass dabei Daten unrechtmäßig in der Weise verarbeitet wurde, dass unberechtigte Dritte Zugriff darauf hatten, sollte die Meldung einer Datenpanne, nach Art. 33 DSGVO, geprüft werden. Das Unterlassen der Meldung kann nach Art. 83 Abs. 4a DSGVO zu einem Bußgeld von bis zu 10 Mio. Euro oder 2 % des Jahresgesamtumsatzes führen. Nach § 43 Abs. 4 BDSG dürften die bei der Meldung einer Datenpanne übermittelten Informationen nicht in einem Bußgeldverfahren genutzt werden.

Dokumentation der Homeoffice-Datenverarbeitung, Information

Nicht vergessen werden sollte das intern zu erstellende Verarbeitungsverzeichnis, Art. 30 DSGVO, „Homeoffice“ und die Erfüllung der Informationspflicht nach Art. 13 DSGVO gegenüber den Mitarbeitern (und sonstigen Kommunikationspartnern – z. B. durch Verlinken von Datenschutzhinweisen bei Einladungsmails zu Telefon-/Videokonferenzen).

AVV und Unterschriftenerfordernis

Nach Art. 28 Abs. 9 DSGVO ist der Vertrag zur Auftragsverarbeitung (AVV) schriftlich zu fassen, er kann jedoch auch in einem elektronischen Format erfolgen. Die EU-Kommission hat als Hüterin der Verträge die Frage des EU-Parlaments nach dem Formerfordernis bei AVVs so beantwortet:

„Automatisierte Vertragsprozesse sind grundsätzlich zulässig. Es ist nicht notwendig, Verträge mit einer elektronischen Signatur zu versehen, damit sie rechtliche Wirkungen entfalten können.“

Diese Auffassung bestätigt auch das LDA Bayern, das eine beweiskräftige Dokumentation der AVV-Vereinbarung fordert, die Wahl der Mittel aber den Vertragsparteien überlässt. Somit kann auch ein im Homeoffice arbeitender Entscheidungsträger einen AVV schließen, ohne zum Leisten einer Unterschrift in den Betrieb fahren zu müssen.

AVV, Homeoffice und Drittland-Dienstleister

Der Mustervertrag zur Auftragsverarbeitung des Bundesdatenschutzbeauftragten sieht in § 3 Abs. 9 vor, dass der Auftragsverarbeiter die übernommenen Tätigkeiten nur mit vorherigen ausdrücklicher schriftlicher Zustimmung des Verantwortlichen in Homeoffice erledigen lassen darf, was die Festlegung angemessener technischer und organisatorischer Maßnahmen voraussetzt. Ähnliche Regelungen dürften sich in vielen Outsourcingverträgen mit IT-Dienstleistern finden. (vgl. Ziff. 6.5 aktuelles Muster zur AVV in EU/EWR der LDA Baden-Württemberg)

Entsprechendes gilt für die örtliche Beschränkung der Verarbeitung in der EU (vgl. § 3 Abs. 8 des Mustervertrages zur AVV). (vgl. Ziff. 9.1 aktuelles Muster zur AVV in EU/EWR der LDA Baden-Württemberg)

Da viele der im Rahmen der spontanen Corona-Homeoffice-Tätigkeit eingesetzten IT-Tools Angebote von US-Unternehmen sind oder selbst performante deutschen Angeboten auf US-Dienstleister (z. B. Amazon Web Services) basieren, besteht hier Anlass, bei den Dienstleistern/Auftragsverarbeitern nachzufragen, ob Homeoffice genutzt wird und welche technisch-organisatorischen Maßnahmen zur Absicherung getroffen wurden sowie ob Subunternehmer aus Drittstaaten zum Einsatz kommen und wie dabei das angemessene Schutzniveau sichergestellt ist.

Rechtsanwalt David Seiler, 09.04.2020 (aktualisiert 15.04.2020)

Muster für Homeoffice-Regelungen finden Sie unter: https://www.datenschutz-in-arztpraxen.de/

GDD-Praxishilfe DS-GVO XVI – Videokonferenzen und Datenschutz, Version 1.0, Stand April 2020

weiterführende Informationen:

Eine Zusammenstellung zahlreicher Links zu Gesetzen, Gerichtsentscheidungen und juristischen Aufsätzen sowie zum Datenschutzrecht mit Blick auf die COVID 19 – Maßnahmen findet sich unter: https://lexcorona.de/doku.php

GDD: Links zu DATENSCHUTZ BEIM MOBILEN ARBEITEN UND IM HOMEOFFICE

Das Wirtschaftsministerium NRW fördert aufgrund der Corona-Krise Homeoffice-, Videokonferenz- und Telemedizintechnik bei Investitionen ab 5.000 Euro mit einem Zuschuss bis zu 50% (Förderprogramm Digitalbonus).

Update 22.09.2020: Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK): Einsatz von Wärmebildkameras bzw. elektronischer Temperaturerfassung im Rahmender Corona-Pandemie vom 10.09.2020