Homeoffice und Datenschutz - So geht`s!

Das Homeoffice bietet zunächst zahlreiche Risiken hinsichtlich Datenschutz. So viel vorab: Es gibt zahlreiche Möglichkeiten das Homeoffice aus datenschutzrechtlichen Gesichtspunkten sicher zu machen.

Wir möchten Sie darüber informieren, worauf Unternehmen und ArbeitnehmerInnen bezüglich des Datenschutzes im Homeoffice achten müssen.

Hard- und Software.

Um im Homeoffice arbeiten zu können, benötigt jede(r) ArbeitnehmerIn entsprechende Hard- und Software. Die Datenschutzgrundverordnung (DSGVO) sieht vor, dass diese durch den Arbeitgeber bereitgestellt wird. Ausschließlich diese darf letztendlich für die Arbeit genutzt werden. Private Soft- und Hardware darf nicht für die dienstliche Tätigkeit genutzt werden. Dies gilt auch für das Speichern von Medien. Beim Sichern von Medien auf USB-Sticks oder Festplatten müssen diese zusätzlich verschlüsselt werden.

Zugriff auf die IT-Infrastruktur.

Um Zugriff auf die IT-Infrastruktur des Unternehmens zu erhalten sind Unternehmen dazu angehalten eine sichere Verbindung über einen Virtual Private Network (kurz: VPN) oder eine Remote Lösung zur Verfügung zu stellen.

Mittels VPN können sich Nutzer mit einem Unternehmensnetzwerk sicher verbinden. Der Datenverkehr wird verschlüsselt und vom öffentlichen Datenverkehr getrennt. Einen VPN Zugang kann man sich als eine Erweiterung des Unternehmens-Netzwerks zum Endgerät im Homeoffice vorstellen.

Ein Remote-Desktop hat eine andere Herangehensweise. Mithilfe eines Remote-Desktops können Nutzer direkt auf ein Endgerät im Unternehmensnetzwerk zugreifen und darauf arbeiten, so als würde man davorsitzen.

Die Einsatzmöglichkeiten von VPN und einem Remote-Desktop sind unterschiedlich. Eine VPN-Verbindung hat die essentielle Funktion der Sicherheit. Der Grund hierfür ist, dass es sich bei einer VPN-Verbindung um eine Erweiterung der Netzwerke handelt. VPN ist das Mittel der Wahl für Unternehmen, um die Sicherheit und einen datenschutzkonformen Einsatz im Homeoffice in einer dezentralen Arbeitsumgebung zu verbessern.

Eine Nutzung des Remote-Desktops im Homeoffice ist dann sinnvoll, wenn Unternehmen eine weitreichende Kontrolle über beispielsweise Daten erreichen möchte. Dies wird möglich, da alle Arbeiten auf einem Server stattfinden und nur auf einem lokalen PC ausgeführt werden. Aus datenschutzrechtlichen Gesichtspunkten ist zusätzlich die Data Loss Prevention ein essentieller Faktor. Hierbei geht es darum, dass durch das Arbeiten über Remote eine Verbindung mit einem Desktop hergestellt wird, der auf einem Server des Unternehmens gehostet wird. Hierdurch haben Unternehmen die Möglichkeit die Rechte des Nutzers einzuschränken.

Auf welche Variante Unternehmen im Homeoffice zurückgreifen, müssen diese individuell entscheiden. Es ist auch denkbar und datenschutzrechtlich vertretbar MitarbeiterInnen eine Kombination aus einem VPN-Zugang als auch einem Remote-Desktop zur Verfügung zu stellen um in allen Arbeitsbereichen im Homeoffice datenschutzrechtlich geschützt zu sein.

Diese Maßnahmen sollten ergriffen werden:

Damit Arbeitnehmer und Arbeitgeber auch im Homeoffice datenschutzkonform arbeiten können, sind zahlreiche Maßnahmen erforderlich.

• Sensibilisierung der Mitarbeiter:
  Gerade beim Arbeiten von zuhause ist es von besonderer Bedeutung, dass die Mitarbeiter im Umgang mit beispielsweise personenbezogenen Daten sensibilisiert werden. Um einen Nachweis zu haben, empfiehlt es sich die Einweisung in den Datenschutz im Homeoffice zu dokumentieren.
• Ansprechpartner für Datenschutz:
  Damit ArbeitnehmerInnen auch im Homeoffice bei Fragen und Vorkommnissen einen Ansprechpartner bezüglich Datenschutz haben, empfiehlt es einen geeigneten Datenschutz-Ansprechpartner zu benennen und diesen offen zu kommunizieren.
• Technische und räumliche Sicherheit:
  Je schützenswerter die personenbezogenen Daten sind, desto notwendiger ist es, dass Arbeitgeber sowohl die Hard- als auch die Software bereitstellen oder zur Verfügung stehende Devices genehmigen, mit der die Daten verarbeitet werden. Wenn Arbeitgeber private Endgeräte genehmigen, sollte bedacht werden, dass Schutzmaßnahmen auch auf privaten Endgeräten erforderlich sind, da der Arbeitgeber für Verarbeitung personenbezogener Daten verantwortlich ist. Sichere Aufbewahrung von ausgedruckten Dokumenten und die sorgfältige Nutzung von Daten und Geräten, wie Handy, Tablets, PC oder USB-Sticks, ist auch im Homeoffice von essentieller Bedeutung. Im Homeoffice sollte gewährleistet werden, dass Dritte nicht in Berührung mit personenbezogenen oder sensiblen Daten geraten. In diesem Zusammenhang empfiehlt es sich, dass der Arbeitsplatz sich in einem abschließbaren Raum befindet. Bei Konferenzen und Telefonaten sollten Mitarbeiter darauf achten, dass keine externen Personen mithören können.
• Übermittlung von Daten:
  Vertrauliche Daten sollten in einem verschließbaren Behälter zwischen Homeoffice und Büro transportiert werden. Gleichzeitig sollten ausschließlich dienstlich zur Verfügung gestellte Datenträger verschlüsselt übertragen werden. Zur Kommunikation und zum digitalen Datenaustausch sind ausschließlich die vom Arbeitgeber genehmigten Kanäle zu nutzen. Die Weiterleitung dienstlicher Mails auf eine private E-Mail-Adresse ist in diesem Zusammenhang beispielsweise strengstens untersagt. Für die Übermittlung von sensiblen und personenbezogenen Dabei gilt es festzuhalten die MitarbeiterInnen Daten ist es notwendig, dass zum Beispiel eine transportverschlüsselte HTTPS- oder VPN-Anbindung besteht.

Anmerkung: Die Liste stellt einen Ausschnitt der Maßnahmen dar und kann nicht als eine vollständige Auflistung gesehen werden.

Vereinbarung für das Homeoffice.

Für Unternehmen ist es ratsam, eine Zusatzvereinbarung mit den MitarbeiterInnen zu treffen. Diese ist als Ergänzung zu den klassischen Datenschutzbestimmungen zu sehen und enthält Verpflichtungen für die Beschäftigten zur Einhaltung gewisser Sicherheitsmaßnahmen. Dabei gilt es festzuhalten die MitarbeiterInnen für das Thema Datenschutz im Homeoffice zu sensibilisieren und wichtige Maßnahmen in der Vereinbarung festzuhalten.

Hier besteht auch die Option zu vereinbaren, wie die dienstlichen Geräte sowohl geschäftlich als auch privat korrekt und sicher genutzt werden können. Hierbei gilt zu beachten, dass Unternehmen dies nicht zwingend für jede(n) ArbeitnehmerIn gesondert regeln müssen, sondern dies auch über eine allgemeine Richtlinie erfolgen kann.

Verantwortlichkeiten bei einer Datenschutzpanne.

Auch bei einer Datenschutzpanne im Homeoffice muss gemäß Artikel 33 DSGVO eine Meldung vorgenommen werden. Dazu sind alle Unternehmen unabhängig vom Arbeitsort in der Datenschutzgrundverordnung verpflichtet.

Bei der Verantwortlichkeit bei einer Datenschutzpanne im Homeoffice gilt folgendes zu beachten: Zunächst ist der Arbeitgeber für eine Datenschutzpanne verantwortlich, wenn dieser keine geeigneten technischen und organisatorischen Maßnahmen ergriffen hat. Wird die Panne jedoch durch den Arbeitnehmer verschuldet, kann dieser je nach Umfang haftbar gemacht werden. Dies muss jedoch im Einzelfall entschieden werden.

Maßnahmen zur Einhaltung der DSGVO im Homeoffice.

Um die MitarbeiterInnen zu sensibilisieren, sind Unternehmen dazu angehalten für ihre Mitarbeiter einen Maßnahmenkatalog zur Verfügung zu stellen, in dem festgehalten ist, wie im Homeoffice datenschutzkonform gearbeitet werden kann.

Folgende Maßnahmen sollten im Katalog enthalten sein:

• Der Homeoffice-Arbeitsplatz sollte sich in einem eigenen Zimmer befinden. Der Raum sollte zusätzlich abschließbar sein.
• Wenn unternehmensinterne Unterlagen in ausgedruckter Form vorliegen, sollten diese in einem abschließbaren Schrank aufbewahrt werden.
• Berufliche E-Mails dürfen nicht auf private E-Mail-Postfächer weitergeleitet werden.
• Wie beim Verlassen des Arbeitsplatzes im Büro sollte auch im Homeoffice der Bildschirm gesperrt werden.
• Das Verwenden von starken Passwörtern ist auch im Homeoffice zwingend erforderlich.
• Das Verschlüsseln von Festplatten sowie sonstigen elektronischen Daten ist unerlässlich und muss gemäß dem derzeitigen Stand der Technik erfolgen.

Anmerkung: Die aufgezählten Punkte stellen nur einen Ausschnitt an Maßnahmen dar, die Unternehmen ihren MitarbeiterInnen im Rahmen eines Maßnahmenkataloges zur Verfügung stellen sollten.

Fazit.

Das Arbeiten im Homeoffice kann sowohl für Arbeitnehmer als auch Arbeitgeber gewinnbringend sein und kann gleichzeitig genauso funktionieren wie im Büro, wenn man die Vorschriften beachtet und entsprechende Maßnahmen ergreift. Hierzu zählen vor allem die technischen und organisatorischen Maßnahmen, die für jedes Unternehmen zwingend erforderlich sind, wenn diese ArbeitnehmerInnen im Homeoffice beschäftigen. Unternehmen sind hierbei unter Zugzwang und dazu aufgefordert eine individuelle Vereinbarung oder eine Betriebsvereinbarung bezüglich der Datenschutzgrundsätze im Homeoffice zu erstellen.