Popular Topics
Trending NowView All

Homeoffice
Gesehen durch die datenschutzrechtliche Brille
byCI Redaktion
6 minute read
©215665703 - stock.adobe.com
Total
0
Shares
0
0
0
0
0

Das Arbeiten außerhalb der Büroräume des Arbeitgebers war schon vor der Corona-Pandemie im Trend. Der fehlende Arbeitsweg, die Flexibilität, die eingesparten Fahrtkosten – viele Vorteile machen das Homeoffice immer beliebter.

Neben den Vorteilen, welche die Homeoffice-Tätigkeit für die Beschäftigten und die Unternehmen mit sich bringt, birgt sie auch Risiken. So werden vor allem datenschutzrechtliche Herausforderungen und Risiken oft übersehen.

Dieser Beitrag befasst sich aus datenschutzrechtlicher Sicht mit den wichtigsten Fragen rund um Thema Homeoffice. Außerdem wird Unternehmen und Arbeitnehmer:innen eine Checkliste mit konkreten Maßnahmen bereitgestellt, welche Unternehmen beachten sollten, um die datenschutzrechtlichen Vorgaben bei einer Arbeitstätigkeit im Homeoffice gewährleisten zu können.

Allgemeine datenschutzrechtliche Grundsätze

Jedes Unternehmen ist als verantwortliche Stelle nach den Regelungen der Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) verpflichtet, angemessene Maßnahmen zu treffen, um den Datenschutz und die Datensicherheit zu gewährleisten. Der Umstand, dass Beschäftigte im Homeoffice arbeiten und dabei personenbezogene Daten verarbeiten, ändert nichts an der grundsätzlichen Verantwortlichkeit des Unternehmens. Der Arbeitgeber bleibt der datenschutzrechtliche Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO. Arbeitgeber haben somit auch bei Mitarbeiter:innen im Homeoffice sicherzustellen, dass sie jederzeit die Betroffenenrechte unter der DSGVO, darunter Auskunfts- und Löschrechte, nachweislich erfüllen können. Auch im Außenverhältnis haften in der Regel allein die Arbeitgeber für die Verletzung von Datenschutzvorschriften.

Tätigkeiten im Homeoffice unterliegen im Ausgangspunkt keinen datenschutzrechtlichen Besonderheiten, da es für die rechtliche Betrachtung eines Verarbeitungsvorgangs keine Rolle spielt, ob diese in den Räumlichkeiten des Arbeitgebers oder im Homeoffice des Arbeitnehmers durchgeführt wird. Durch eine Umstellung auf eine Tätigkeit im Homeoffice ändert sich daher weder die Rechtsgrundlage noch der erlaubte Umfang der Datenverarbeitung.

Allerdings müssen die Beschäftigten die datenschutzrechtlichen Vorgaben der DSGVO auch im Homeoffice beachten, so dass der Arbeitgeber angemessene technische und organisatorische Maßnahmen treffen muss, um einem möglichen Datenschutzverstoß vorzubeugen. So muss der Arbeitgeber nach Art. 32 DSGVO als Verantwortlicher insbesondere die Sicherstellung der Vertraulichkeit und Integrität sowie die jederzeitige Verfügbarkeit der betroffenen Daten gewährleisten. Da die Arbeitnehmer:innen beim Umgang mit den personenbezogenen Daten im Homeoffice dem räumlichen Kontroll- und Einflussbereich des Arbeitgebers entzogen sind und das Homeoffice zudem weitere Schwachstellen bietet, entstehen bei Datenverarbeitungsvorgängen im Homeoffice neue Herausforderungen.

Mögliche Schwachstellen im Homeoffice

  • Beschäftigte nutzen private Geräte, tauschen vertrauliche Daten über kritische Dienste (z. B. Whatsapp) aus.
  • Mitarbeiter:innen speichern personenbezogene Daten im Zusammenhang mit ihrer beruflichen Tätigkeit auf den privaten Geräten.
  • Es besteht die Gefahr, dass Personen im gleichen Haushalt unbefugten Zugriff auf die Daten erhalten.
  • Personenbezogene Daten, die sich in Ordnern, Akten o. Ä. befinden, können beim Transport vom Büro ins Homeoffice oder umgekehrt verloren gehen oder gestohlen werden.

Aufgrund dieser Herausforderungen verdienen die erforderlichen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO beim der Homeoffice-Tätigkeit ein besonderes Augenmerk. Darüber hinaus muss der Arbeitgeber, sofern er seine Beschäftigte aus dem Homeoffice arbeiten lässt, datenschutzrechtlichen Organisationspflichten in besonderer Weise gerecht werden, um keine Haftung zu riskieren.

Wir haben eine Checkliste mit den wichtigsten Maßnahmen und Aspekten zusammengestellt. Hierbei spielen nicht nur Anforderungen aus Sicht des Datenschutzes eine Rolle, sondern gerade auch im Hinblick auf den oben angesprochenen Art. 32 DSGVO die Grundwerte der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit).

Die Checkliste

Sensibilisierung der Beschäftigten

Arbeitnehmer:innen sollten für die zusätzlichen datenschutzrechtlichen Risiken, welche die Umstellung auf Homeoffice mit sich bringt, sensibilisiert werden. Dies kann beispielsweise im Rahmen von entsprechenden Schulungen geschehen.

Klare Richtlinien für Mitarbeiter:innen

Den Mitarbeitern:innen sollten allgemeingültige Richtlinien und Regeln für das Homeoffice zur Verfügung gestellt werden. Diese beinhalten die maßgeblichen Verhaltensregeln. Sie helfen Mitarbeitern:innen, sich zu orientieren, damit sie wissen, wie mit Firmenunterlagen umgegangen werden muss, an wen sie sich bei technischen Störungen wenden können oder wer Ansprechpartner in Bezug auf den Datenschutz ist. (Beispiele sind die Home-Office-Richtlinie, No-Print-Policy, Clean-Desk-Policy, …)

Arbeitsumgebung

Egal, ob am Arbeitsplatz im Büro oder zu Hause: Die Grundsätze der Informationssicherheit Vertraulichkeit und Verfügbarkeit sollten stets gewährleistet sein. Damit Haushaltsangehörige keine Kenntnis von personenbezogenen Daten und Information erhalten, sollte möglichst ein separater und abschließbarer Arbeitsplatz eingerichtet werden. Der Zugang zu vertraulichen Informationen durch Haushaltsangehörige muss zudem durch den Einsatz von beispielsweise Sichtschutzfolien und durch die Aktivierung der Bildschirmsperre selbst beim kurzzeitigen Verlassen des Arbeitsplatzes beschränkt werden. Vertrauliche Telefonate müssen so geführt werden, dass der Inhalt, der womöglich vertrauliche Informationen enthält, nicht von Dritten mitgehört werden können.

Begrenzte Autorisierung von Personen

Der Computer darf nur von autorisierten Personen genutzt werden. Somit wird sichergestellt, dass die Daten und Informationen nur von festgelegten Benutzern gespeichert und geändert werden können.

Software

Programme dürfen nur mit nach vorheriger Prüfung und Genehmigung des IT-Personals oder der Geschäftsführung heruntergeladen werden. Dazu zählen auch die Vertrauenswürdigkeit der Anbieter und Bezugsquellen im Internet. Es sollten nur intern bereitgestellte Links zu Softwaredownloads genutzt werden, um sicherzustellen, dass es sich nicht um Schadsoftware handelt.

Dokumente und Unterlagen

Gedruckte Dokumente oder sensible Daten müssen unbedingt vor der Einsicht Unbefugter geschützt werden (Clean Desk Policy). Generell ist eine sichere Verwahrung dienstlicher Unterlagen und Geräte, etwa in einem verschlossenen Schrank, zu gewährleisten. Es sollte keine Mitnahme von Unterlagen oder physischen Datenträgern mit personenbezogenen Daten erfolgen. Darüber hinaus sollten Arbeitnehmer:innen angewiesen werden, keine physischen Kopien und Ausdrucke von vertraulichen Daten im Homeoffice anzufertigen. Sollte dies dennoch geschehen, sind die Dokumente mit sensiblen Daten auch aus dem Homeoffice heraus sicher zu vernichten, sobald sie nicht mehr gebraucht werden.
Dabei ist auf eine sachgemäße Entsorgung zu achten. Strikt verboten ist die Entsorgung in den Hausmüll. Damit könnten unbefugte Dritte an wertvolle Informationen gelangen.

Kennwortschutz

Bei der Verwendung technischer Geräte sind diese – wie auch im Büro – mit einem Kennwortschutz zu versehen. Hierbei ist zu beachten, dass das Passwort keine persönlichen Nutzerdaten (wie z. B. den Nachnamen) enthält.

Die Empfehlung des Bundesamts für Sicherheit in der Informationstechnik (BSI) lautet: Passwörter sollten mindestens aus acht Zeichen, Groß- und Kleinbuchstaben, Sonderzeichen sowie einer Zahl bestehen.

Außerdem sollten für unterschiedliche Accounts unterschiedliche Passwörter verwendet werden. Außerdem dürfen Passwörter nicht notiert und in der Nähe des Rechners angebracht werden.

Sicherer Internetzugang

Wie der eigene Computer sollte auch das heimische WLAN mit einem starken Passwort geschützt werden. Eine Nutzung öffentlicher WLAN-Hotspots ist generell nicht zu empfehlen.

Videokonferenz

Wenn die Team-Besprechung per Videokonferenz stattfindet, müssen Unternehmen bestimmte Anforderungen beachten: Dabei müssen unter anderem bei Anbietern in unsicheren Drittländern geeignete Garantien vorhanden sein. Es wird dabei insbesondere geprüft, ob bei Nutzung von Standarddatenschutzklauseln zusätzliche Schutzmaßnahmen im Sinne des Schrems II Urteils erforderlich sind. Wenn möglich ist eine Transportverschlüsselung (z. B. TLS) nach Stand der Technik und eine Ende-zu-Ende-Verschlüsselung zu verwenden, sofern Daten mit hohem Risiko besprochen bzw. übertragen werden.

Zu empfehlen sind Video-Konferenz-Tools, die den Zutritt zu Konferenzräumen nur über individuelle Einladungslinks oder Passwörter ermöglichen, damit die internen Meetings auch intern bleiben.

BYOD

„Bring Your Own Device“, kurz BYOD, beschreibt die Möglichkeit, dass Arbeitnehmer:innen private mobile Endgeräte, wie Laptops, Tablets und Smartphones für Arbeitszwecke nutzen dürfen.

Allgemein wird die Bereitstellung von dienstlichen Geräten empfohlen. Unternehmen sollten daher auf BYOD verzichten, insbesondere dann, wenn die Datenverarbeitungsprozesse besondere Kategorien personenbezogener Daten i. S. d. Art. 9 DSGVO betreffen oder es sich um Berufsgeheimnisträger handelt. Wenn sich der Einsatz von BYOD nicht vermeiden lässt, gilt es einige Dinge zu beachten:

  • Das wichtigste Gebot ist die Trennung zwischen privaten und beruflichen Daten. Betriebliche Daten, insbesondere auch personenbezogene Daten, dürfen nicht auf den privaten Geräten gespeichert werden. Es sollten auf den Geräten getrennte Accounts, Container-Lösungen (d. h. vom übrigen Speicher getrennte Speicherumgebung) oder gleich der Zugriff auf externe Server des Arbeitgebers eingerichtet werden.
  • Das Endgerät darf nur höchstpersönlich genutzt werden.
  • Es müssen sichere Passwörter verwendet & regelmäßig aktualisiert werde. Zusätzlichen Schutz bietet eine Zwei-Faktor-Authentifizierung, bei der neben dem Passwort noch ein weiterer Identitätsnachweis (z.B. ein Hardware-Token oder ein biometrisches Merkmal wie der Fingerabdruck) zum Zugriff auf den Rechner vorausgesetzt wird.
  • Es muss aktuelle Sicherheitstechnik verwendet und regelmäßig aktualisiert werden, denn auch auf den Privatgeräten muss ein den betrieblichen Anforderungen entsprechendes Sicherheitsniveau herrschen. Das bedeutet, dass die Arbeitnehmer Maßnahmen wie Virenscanner, Software- und Hardwarefirewalls, regelmäßige Updates oder Schutz des privaten WLANs vor Fremdzugriff ergreifen müssen. Die Firewall des privaten Geräts muss jederzeit aktiviert sein

Fazit

 Das Homeoffice bringt viele Vorteile mit sich. Hinsichtlich des Datenschutzes und der Datensicherheit ist jedoch Vorsicht geboten, da die Vorschriften der DSGVO auch bei einer Homeoffice-Tätigkeit zu beachten sind. Mit entsprechenden Vorkehrungen lässt sich jedoch auch der Arbeitsplatz zuhause datenschutzrechtlich konform einrichten.

Total
0
Shares
Teilen 0
Mail 0
Tweet 0
Teilen 0
Share 0
Prev
LAG Düsseldorf: Anforderungen an den Schutz von Geschäftsgeheimnissen | 03.06.2020 (Az. 12 SaGa 4/20)
Markenparfüm Discounter

LAG Düsseldorf: Anforderungen an den Schutz von Geschäftsgeheimnissen | 03.06.2020 (Az. 12 SaGa 4/20)

Urteil der Woche
Next
Die Datenschutz-Folgenabschätzung
©203271974 - stock.adobe.com

Die Datenschutz-Folgenabschätzung

EU-Datenschutzbeauftragte nimmt Stellung zur Frage, wann sie durchzuführen ist
You May Also Like