Datenschutz im Homeoffice
Die Haftung liegt beim Unternehmer
Um als erstes mal ein großes Missverständnis aus der Welt zu schaffen: Verantwortlich für die Einhaltung des Datenschutzes im Homeoffice ist ausschließlich der Unternehmer. Es ist daher empfehlenswert, mit den entsprechenden Mitarbeitern individuelle Datenschutzvereinbarungen für die Tätigkeit im Homeoffice zu machen. Der Arbeitgeber ist dabei hinsichtlich der Einhaltung der Vorgaben weisungsbefugt, die Aufsichtsbehörden setzen eine gültige Vereinbarung vor Beginn der Tätigkeit im Homeoffice voraus. Die folgenden Vorgaben sind dabei eine bewährte Richtlinie welche in die individuelle Datenschutzvereinbarung einfließen sollten:
1. Zugangsbeschränkung der Arbeitsräume und der Arbeitsgeräte
Wenn möglich sollte der Arbeitnehmer für seine Homeoffice-Tätigkeiten nicht auf seine private IT-Ausstattung zurückgreifen müssen. Diesbezüglich sollte die Nutzung von firmenfremden Geräten vertraglich ausgeschlossen werden (BYOD-Klausel). Die Tätigkeit sollte möglichst in einem abschließbaren Raum stattfinden zu dem besonders die anderen Familienmitglieder keinen Zutritt haben. Akten mit personenbezogenen Daten dürfen auf keinen Fall in die Hände firmenfremder Dritter gelangen. Sollte kein separater Raum vorhanden sein, so ist sicherzustellen, das die Akten regelmäßig aus dem Zugriff möglicher Dritter entzogen werden – sprich nach der Verwendung sollten sie in einem abschließbaren Schrank gelagert werden.
Weiterhin muss eine Zugangsbeschränkung zu den verwendeten IT-Geräten bestehen. Ein Notebook kann dabei z.B. in den zuvor genannten Aktenschrank eingeschlossen werden, für einen stationären PC kann u. U. ein sicheres Passwort ausreichen.
2. Automatisches Sperren der Geräte
Notebook und/oder PC sollten beim Verlassen des Arbeitsplatzes stets gesperrt werden und zudem über eine automatische Sperre nach Zeit verfügen. Welcher Intervall hier zu wählen ist, ist nicht definiert. Er muss jedoch geeignet sein, den Zugriff von betriebsfremden Personen zu verhindern. Da sich eine automatische Sperre grundsätzlich auch für die im Unternehmen vorhanden Systeme anbietet, könnten die Angaben aus den bereits vorhandenen Vorschriften übernommen werden.
3. Verschlüsselte Datenspeicher
Alle beweglichen Datenträger: Festplatten, USB-Sticks, Disketten, CD/DVD aber auch Notebooks und PCs müssen über eine wirkungsvolle Verschlüsselung verfügen. Bei betriebseigenen Geräten können diese entsprechend vor konfiguriert werden, PCs und Notebooks sollten generell zentral verwaltet werden, ungenutzte Ports (USB o.ä.) sollten per Richtlinie gesperrt sein.
4. Datentrennung
Betriebsdaten dürfen nicht mit privaten Daten vermischt werden. Sollte es zum Einsatz von betriebsfremder Hardware kommen (BYOD) ist für eine saubere und nachvollziehbare Trennung der Daten zu sorgen. An dieser Stelle einmal mehr: Wir raten ausdrücklich vom Einsatz betriebsfremder Hardware ab
5. Sichere Authentifizierung
Sowohl für die Anmeldung im WLAN wie auch für den Zugang zu PC/Notebook und zum Netzwerk des Arbeitgeber sind sichere Anmeldeverfahren und Passwörter zu verwenden. Je nach Schutzhöhe können auch ID-Token, Push TAN o.ä. zum Einsatz kommen.
6. Im Homeoffice sollte möglichst auf Ausdrucke verzichtet werden
Zumindest für Dokumente welche personenbezogene Daten enthalten, sollte das Ausdrucken im Homeoffice untersagt werden. Herumliegende Dokumente bergen eine große Gefahr des Missbrauchs. Hier gilt umso mehr das Gebot der Datensparsamkeit, sollte das Ausdrucken von Dokumenten mit datenschutzrelevantem Inhalt unvermeidbar sein, ist auf das Vorhandensein geeigneter Aktenvernichter zu achten.
Auf keinen Fall dürfen Akten oder Datenträger im Hausmüll des Mitarbeiters entsorgt werden.
7. Schutz der Videokonferenz
Oft übersehen wird die Tatsache, dass betriebsfremde Personen möglicherweise durch mithören an geheime oder dem Datenschutz unterliegende Daten kommen können. Daher sollten Videokonferenzen unbedingt über Headsets geführt werden. Wie schon beim Arbeitsgerät gilt auch hier: möglichst einen Zugangsbeschränkten, separaten Raum wählen. Zusätzlich sollte beachtet werden, dass Fenster und Türen während der Konferenz geschlossen sind.
Wir empfehlen außerdem: Digitale Assistenten wie Alexa während der Arbeit im Homeoffice zu deaktivieren.
Zusammenfassung:
- Die Verwendung von Fremdgeräten ist möglichst zu vermeiden
- Zugangsbeschränkungen physikalisch und akustisch auch für Familienmitglieder
- Es gilt einmal mehr das dringende Gebot von Datensparsamkeit
- Mitarbeiter mit Zugang zu sensiblen Daten (Personal, HR) sollten ggf. nicht von zu Hause aus arbeiten.
Weitere Informationen:
Sicheres Homeoffice vom Bundesamt für Sicherheit in der Informationstechnologie