Die Maßnahmen zur Eindämmung des Virus COVID-19 wurden vorerst bis 13. April 2020 verlängert. Für viele Unternehmen bedeutet dies, dass Büro- und Verwaltungstätigkeiten zumindest mehrere Wochen aus dem Home-Office erledigt werden müssen. Diese Umstellung des gewohnten Bürobetriebs erfordert Überlegungen, ob dadurch neue rechtliche Risiken entstehen, auf die reagiert werden muss:
Datenschutz
Auch während dieser Krise ist die DSGVO einzuhalten und die Grundsätze des Datengeheimnisses und der Datenminimierung und die Pflicht zur rechtzeitigen Löschung sind weiterhin zu achten. Unternehmen sind insbesondere verpflichtet, durch technische und organisatorische Maßnahmen ein angemessenes Schutzniveau sicherzustellen (Art. 32 DSGVO). Dabei sind insbesondere der Stand der Technik, Implementierungskosten, die Umstände der Datenverarbeitung und der Risikowahrscheinlichkeit zu berücksichtigen. Durch die kurzfristige Umstellung des Bürobetriebs besteht die Gefahr neuer „leaks“.
Werden Cloud Lösungen eingesetzt, ist sicherzustellen, dass nur Cloud-Anbietern beauftragt werden, die – als Auftragsdatenverarbeiter Garantien für geeignete technische und organisatorische Maßnahmen bieten.
Hat eine Datenverarbeitung, insbesondere aufgrund neuer Technologien, voraussichtlich ein hohes Risiko, so muss vorab eine Datenschutz-Folgenabschätzung durchgeführt werden (Art. 35 DSGVO). Da im Home-Office häufig andere technische Lösungen zur Anwendung kommen, sollte die Notwendigkeit einer (aktualisierten) Folgenabschätzung bedacht werden.
Datenschutzverstöße sind unverzüglich und möglichst binnen 72 Stunden der Datenschutzbehörde zu und bei hohem Risiko den Betroffenen zu melden (Art. 33, 34 DSGVO). Es empfiehlt sich, einen vorhandenen Notfallplan an die neuen Umstände anzupassen.
Geschäftsgeheimnisse/Vertraulichkeit
Geschäftsgeheimnisse sind nur gegen Missbrauch geschützt, wenn angemessene Geheimhaltungsmaßnahmen getroffen wurden (§ 26b UWG). Diese können technischer Art (Zugangsbeschränkungen, Passwortschutz etc.) sein, aber auch in Vertraulichkeitsvereinbarungen bestehen. Für den Normalbetrieb eingerichtete Maßnahmen können durch die Arbeit im Home-Office durchlöchert werden. Im eigenen Interesse, zum Schutz des eigenen Know-Hows, sollten daher Sicherungsmaßnahmen getroffen werden.
Bestimmte Berufsgruppen können besonderen Vertraulichkeitsverpflichtungen unterliegen, etwa Steuerberater, Rechtsanwälte oder Angehörige medizinischer Berufe. Solche berufsrechtlichen Pflichten können zusätzliche Maßnahmen erfordern.
Cybercrime
Seit Beginn der Corona-Krise wurden verstärkt Phising-Mails verschickt und Cyberattacken von Kriminellen gestartet, die von der allgemeinen Verunsicherung profitieren wollen. Je nach Ausstattung des Home-Office und der Kommunikationskultur in dieser Umgebung, könnten bestehende Risiken erhöht werden, zu denken ist dabei etwa an Presidential-E-Mails. Neben technischen Sicherheitsmaßnahmen sind Mitarbeiter besonders bezüglich solcher erhöhten Gefahren zu sensibilisieren.
In folgender Tabelle haben wir typische Problembereiche herausgegriffen und mögliche Ansatzpunkte für Lösungen zusammengefasst. Konkrete technische und organisatorische Maßnahmen müssen individuell auf Größe und Art des Unternehmens sowie die verarbeiteten Daten angepasst werden. Die Zurverfügungstellung dieses Leitfadens ist keine Rechtsberatung und für dessen Verwendung übernimmt die Binder Grösswang keine Haftung.
Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.
