Vertraulichkeit im Homeoffice von Justizvollzugsbediensteten – Datenschutz zwischen Verantwortung und technischer Realität

Die zunehmende Digitalisierung der öffentlichen Verwaltung und die anhaltenden Veränderungen in der Arbeitswelt haben das Homeoffice auch in Bereichen etabliert, die traditionell stark an Präsenz gebunden sind. Dazu gehört der Justizvollzug, in dem Fragen der Sicherheit, Ordnung und des Datenschutzes besonders sensibel sind. Während der COVID-19-Pandemie wurde deutlich, dass auch Bedienstete in Justizvollzugsanstalten – etwa im medizinischen, psychologischen oder administrativen Dienst – teilweise von zu Hause aus arbeiten mussten. Damit stellte sich unweigerlich die Frage, wie sichergestellt werden kann, dass die Vertraulichkeit personenbezogener Daten auch außerhalb der geschützten Mauern einer Justizvollzugsanstalt gewährleistet bleibt.

Ein konkreter Anlass zur Überprüfung dieser Thematik ergab sich durch die Beschwerde eines Gefangenen, der befürchtete, dass medizinische Gespräche, die während der Pandemie per Videokonferenz geführt wurden, im häuslichen Umfeld von Angehörigen des medizinischen Personals mitgehört werden könnten. Diese Besorgnis war durchaus nachvollziehbar, denn im häuslichen Umfeld bestehen naturgemäß andere Risiken als im geschützten Bereich einer Behörde. Es stellte sich daher die berechtigte Frage, ob die datenschutzrechtlichen Anforderungen im Homeoffice ausreichend berücksichtigt werden.

Dienstvereinbarung schafft verbindliche Rahmenbedingungen

Das Bayerische Staatsministerium der Justiz hat auf diese neuen Arbeitsformen reagiert und eine Dienstvereinbarung über Telearbeit und mobile Arbeit im Geschäftsbereich des Justizvollzugs veröffentlicht. Diese Regelung stellt klar, dass Sicherheit und Ordnung in Justizvollzugsanstalten sowie der ordnungsgemäße Dienstbetrieb durch Homeoffice oder mobile Arbeit keinesfalls beeinträchtigt werden dürfen. Datenschutz und Datensicherheit stehen dabei an oberster Stelle.

Die Dienstvereinbarung enthält detaillierte Vorgaben zur Handhabung von Akten, Geräten und Daten außerhalb der Dienststelle. So wird festgelegt, dass sämtliche Unterlagen, die personenbezogene Daten enthalten, gegen Einsichtnahme durch unbefugte Dritte zu schützen sind. Der Transport von Akten ist nur in begründeten Fällen zulässig, und für besonders sensible Unterlagen gilt ein striktes Mitnahmeverbot. Auch zur Aufbewahrung und Vernichtung von Dokumenten gibt es klare Regeln.

Besondere Aufmerksamkeit gilt den technischen Geräten: Rechner und Datenträger, die von der Dienststelle zur Verfügung gestellt werden, müssen nicht nur gegen unbefugte Inbetriebnahme gesichert sein, sondern auch im laufenden Betrieb bei kurzfristigem Verlassen des Arbeitsplatzes gesperrt werden. Dies verhindert, dass Dritte – etwa Familienangehörige oder Mitbewohner – versehentlich oder absichtlich Einsicht in sensible Daten nehmen können.

Darüber hinaus wird betont, dass Tätigkeiten im medizinischen, psychologischen oder seelsorgerischen Bereich grundsätzlich nicht für das Homeoffice geeignet sind. Nur in klar definierten Ausnahmefällen und mit besonderer Genehmigung dürfen diese Bediensteten außerhalb der Justizvollzugsanstalt arbeiten.

Ergebnisse der datenschutzrechtlichen Prüfung

Die geprüfte Justizvollzugsanstalt bestätigte, dass Bedienstete des medizinischen Dienstes aktuell keine Möglichkeit zum Homeoffice haben. Eine Ausnahme bestand lediglich während der COVID-19-Pandemie, als aus gesundheitlichen Gründen zeitweise eine Verlagerung ins Homeoffice notwendig war. Dabei kam es jedoch zu keinen bekannten Datenschutzverletzungen oder unbefugten Zugriffen auf personenbezogene Daten.

Die Untersuchung ergab außerdem, dass die bestehenden Regelungen zur Wahrung der Vertraulichkeit den datenschutzrechtlichen Anforderungen entsprechen. Potenzielle Gefährdungen – insbesondere durch Dritte im häuslichen Umfeld – wurden erkannt und durch organisatorische sowie technische Maßnahmen adressiert. Das zeigt, dass auch im Bereich des Justizvollzugs die Sensibilität für Datenschutzbelange deutlich gestiegen ist.

Technisch-organisatorische Maßnahmen als Schlüssel zum Datenschutz

Gemäß Art. 32 Abs. 1 DSGVO müssen Verantwortliche geeignete technische und organisatorische Maßnahmen (TOMs) treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Im Homeoffice bedeutet dies, dass sowohl der Arbeitsplatz als auch die Kommunikation datenschutzkonform gestaltet werden müssen. Dabei spielt die Sensibilisierung der Beschäftigten eine entscheidende Rolle.

Zu den empfohlenen Maßnahmen zählen:

• Räumliche Abschirmung: Dienstliche Gespräche sollten grundsätzlich in einem abgeschlossenen Raum geführt werden. Türen und Fenster sind zu schließen, um ungewollte Zuhörer auszuschließen.
• Sichtschutz und Headsets: Bildschirme sollten so positioniert sein, dass Dritte keine Einsicht nehmen können. Der Einsatz von Sichtschutzfolien und Headsets ist sinnvoll, um das Mithören zu verhindern.
• Datensparsamkeit bei Videokonferenzen: Beschäftigte sollten darauf achten, dass im Hintergrund keine persönlichen Informationen sichtbar sind, die Rückschlüsse auf den Wohnort oder die Lebensumstände zulassen.
• Technische Sicherheit: Sprachassistenten und Smart-Home-Geräte wie Amazon Alexa, Siri oder Google Assistant dürfen während dienstlicher Gespräche nicht aktiv sein. Diese Systeme können unbeabsichtigt Gesprächsinhalte aufzeichnen oder an Dritte übermitteln.
• Sichere Vernichtung: Notizen und Ausdrucke mit personenbezogenen Daten müssen nach Gebrauch datenschutzgerecht vernichtet werden – entweder durch Rückgabe an die Dienststelle oder mittels Aktenvernichter, der den Sicherheitsanforderungen genügt.
• Passwort- und Geräteschutz: Geräte sind mit starken Passwörtern, Verschlüsselung und automatischen Sperrfunktionen zu sichern.

Bedeutung der Sensibilisierung

Technische Maßnahmen allein reichen jedoch nicht aus. Entscheidend ist das Bewusstsein der Mitarbeitenden für die Bedeutung von Vertraulichkeit und Datenschutz. Jeder Beschäftigte muss wissen, dass auch vermeintlich harmlose Informationen – etwa Namen, Gesundheitsdaten oder dienstliche Vorgänge – dem Datenschutz unterliegen. Die Schulung und regelmäßige Information der Bediensteten sind daher unverzichtbare Bestandteile eines funktionierenden Datenschutzkonzepts.

Die Dokumentationspflicht nach Art. 5 Abs. 2 DSGVO verlangt zudem, dass alle getroffenen Maßnahmen nachvollziehbar dokumentiert werden. Das gilt auch für die Nutzung von Homeoffice: Verantwortliche müssen belegen können, welche Schutzvorkehrungen getroffen wurden, um die Vertraulichkeit der Daten sicherzustellen.

Der Fall aus dem bayerischen Justizvollzug zeigt exemplarisch, wie wichtig klare Regeln und technische Absicherungen für datenschutzgerechtes Arbeiten im Homeoffice sind. Selbst in hochsensiblen Bereichen kann mobiles Arbeiten möglich sein – vorausgesetzt, die Vertraulichkeit wird konsequent gewahrt.

Die Dienstvereinbarung des Bayerischen Staatsministeriums der Justiz bietet hierfür eine solide Grundlage. Sie verbindet organisatorische Vorgaben mit technischen Schutzmaßnahmen und schafft damit ein Sicherheitsnetz, das sowohl die institutionellen Anforderungen als auch die individuelle Verantwortung der Beschäftigten berücksichtigt.

Letztlich steht und fällt die Wahrung der Vertraulichkeit jedoch mit der Sensibilisierung der Mitarbeitenden. Nur wenn alle Beteiligten das Bewusstsein für Datenschutz und Datensicherheit verinnerlichen, können Risiken minimiert werden. Die Kombination aus klaren Richtlinien, sicherer Technik und verantwortungsvollem Handeln stellt sicher, dass auch im Homeoffice die hohen Datenschutzstandards des öffentlichen Dienstes eingehalten werden.

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz 

Quelle: BayLfD