Die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) kennen keine Ausnahmen oder Spezialregelungen für das mobile Arbeiten. Werden personenbezogene Daten gem. Art. 4 Nr. 1 DSGVO verarbeitet, so sind die datenschutzrechtlichen Regelungen der DSGVO und des BDSG zu beachten.
Arbeitgeber bleiben Verantwortliche für die Verarbeitung personenbezogener Daten i.S.d. Art. 4 Nr. 7 DSGVO. Das bedeutet, dass sie nach Art. 5 Abs. 2 DSGVO für die Einhaltung der Grundsätze der Verarbeitung des Art. 5 Abs. 1 DSGVO verantwortlich sind und deren Einhaltung nachweisen müssen. Die Beschäftigten verarbeiten personenbezogene Daten nach Art. 29 DSGVO auf Weisung der Arbeitgeber. Entsprechend müssen Arbeitgeber auch im Bereich der mobilen Arbeit für die Umsetzung und Einhaltung der datenschutzrechtlichen Anforderungen sorgen und haften in der Konsequenz für mögliche Verstöße.
Arbeitgeber, die selbst Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO sind, müssen außerdem ihre vertraglich übernommenen Verpflichtungen (Auftragsverarbeitungsverträge im Sinne von Art. 28 DSGVO) daraufhin überprüfen, ob die Verarbeitung personenbezogener Daten im Rahmen des mobilen Arbeitens möglicherweise ausgeschlossen ist.
Mit Blick auf die Thematik des mobilen Arbeitens steht für Verantwortliche insbesondere der Grundsatz der Integrität und Vertraulichkeit des Art. 5 Abs. 1 Buchstabe f DSGVO im Vordergrund, der durch Art. 32 DSGVO konkretisiert wird.
Nach Art. 32 Abs. 1 DSGVO treffen Verantwortliche und Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Bei der Bestimmung der zu ergreifenden technischen und organisatorischen Maßnahmen gem. Art. 32 Abs. 1 DSGVO ist – trotz fehlender spezieller Regelung – den besonderen, mit dem mobilen Arbeiten einhergehenden Gefahren Rechnung zu tragen. Im Rahmen der Risikobetrachtung ist daher zunächst das aus dem mobilen Arbeiten resultierende Risiko zu ermitteln und zu bewerten. Als konkrete Beispiele sind etwa die beschränkte Einwirkungs- und Kontrollmöglichkeit der Arbeitgeber (aufgrund der räumlichen Trennung) sowie die Nutzung technischer Einrichtungen außerhalb ihres Einflussbereichs (z. B. Gebrauch des privaten Internetanschlusses der Beschäftigten) zu nennen.
Weiterhin ist zu prüfen, ob aufgrund des mit dem mobilen Arbeiten einhergehenden Risikos für die Rechte und Freiheiten betroffener Personen eine Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO durchzuführen ist. Zu denken ist in diesem Zusammenhang an die besonderen Risiken des Datenverlustes, Datenmissbrauchs oder des Zugriffs durch unbefugte Dritte, wodurch Gefahren für die Vertraulichkeit, die Integrität und die Verfügbarkeit personenbezogener Daten entstehen können.