Werden im Homeoffice personenbezogene Daten, etwa über Kunden oder Beschäftigte, verarbeitet, hat dies eine besondere datenschutzrechtliche Komponente. Denn im Homeoffice sind Daten und IT-Technik der unmittelbaren Kontrolle des Arbeitgebers entzogen. Gleichzeitig steigt die Gefahr unberechtigter Zugriffe durch Dritte. Diesen Risiken müssen Arbeitgeber begegnen, indem sie entsprechende technische und organisatorische Sicherheitsmaßnahmen ergreifen. Mit dem folgenden Beitrag stellen wir Ihnen die wichtigsten Maßnahmen zum Datenschutz vor, die Unternehmen beachten müssen, wenn Sie Beschäftigten die Arbeit im Homeoffice ermöglichen.
Telearbeit oder BYOD?
Die Arbeit im Home-Office erfolgt zumeist in Form von Telearbeit. Hierbei wird die erforderliche Technik, im Regelfall Notebook und Smartphone, durch den Arbeitgeber zur Verfügung gestellt. Gesetzlich werden solche Telearbeitsplätze in § 2 Abs. 7 Arbeitsstättenverordnung geregelt und definiert. Im Fall der Telearbeit lassen sich zumindest die technischen Vorkehrungen des Unternehmens (z.B. Zugangsbeschränkungen, Berechtigungskonzepte etc.) aufrechterhalten. Nichtsdestotrotz muss auch ein möglicher Zugriff durch Dritte organisatorisch ausgeschlossen werden.
Etwas komplizierter wird immer dann, wenn Beschäftigte im Home-Office eigene Endgeräte wie Laptops, Smartphones oder Tablets verwenden. Dies wird auch als „Bring your own device” (BYOD) bezeichnet. Neben den generellen Vorgaben bei Telearbeit muss der Arbeitgeber auch die grundsätzlich mögliche private Nutzung durch die Beschäftigten angemessen berücksichtigen.
Jetzt eLearning buchen //Datenschutz für Beschäftigte //Datensicherheit im Home-Office
Homeoffice-Vereinbarung
Wesentlicher Baustein zur Begrenzung von Risiken außerhalb des Unternehmens stellt der Abschluss einer Homeoffice-Vereinbarung dar. Es handelt sich hierbei um eine Zusatzvereinbarung zum Arbeitsvertrag, über die eine Ergänzung der allgemeinen betrieblichen Datenschutzbestimmungen erfolgt.
Durch die Homeoffice-Vereinbarung werden die Beschäftigten auf die Einhaltung spezifischer technischer und organisatorischer Sicherheitsmaßnahmen verpflichtet und entsprechend sensibilisiert. Um hinreichende Kontrollmöglichkeiten für den Arbeitgeber und die Aufsichtsbehörde zu gewährleisten, sind in der Homeoffice-Vereinbarung außerdem in erforderlichem Maß Zutrittsrechte in den Privatbereich der Beschäftigten zu vereinbaren.
Im Fall von BYOD muss die Homeoffice-Vereinbarung außerdem um Bestimmungen ergänzt werden, die das Verhältnis von betrieblicher und privater Nutzung der verwendeten Endgeräte regeln. Abhängig von der Größe eines Unternehmens können die Regelungen auch in Form einer allgemeinen Richtlinie erfolgen, auf die dann im Rahmen einer Zusatzvereinbarung Bezug genommen wird.
Maßnahmen zur Gewährleistung der Datensicherheit
Bei der Datenverarbeitung im Homeoffice besteht ein erhöhtes Risiko, dass Dritte (hierzu zählen auch Familienangehörige) einen unbefugten Zugang zu personenbezogenen Daten erhalten. Solche Gefährdungen können sich etwa ergeben, wenn Außenstehende unmittelbar personenbezogene Daten wahrnehmen, Zugriff auf Datenträger mit personenbezogenen Dateien erlangen oder Informationen darüber erhalten, wie sie sich den unmittelbaren Zugang zu den geschützten Daten verschaffen können.
Zu den spezifischen Maßnahmen, die der Arbeitgeber zu Gewährleistung der Datensicherheit im Homeoffice ergreifen muss, gehören daher insbesondere die Sicherung der Übertragungswege und die Verschlüsselung der Daten. Außerdem sollten die Beschäftigten klare Vorgaben zur Nutzung der bereitgestellten Geräte und zur Einrichtung des häuslichen Arbeitsplatzes erhalten.
Vertiefte Informationen zu den relevanten Sicherheitsaspekten für die Datenverarbeitung im Home-Office bietet das IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik. Die hier vorhandenen IT-Grundschutz-Bausteine beleuchten unter anderem wichtige Sicherheitsanforderungen für die Telearbeit und die technische Ausstattung des häuslichen Arbeitsplatzes.
Datenschutz im Homeoffice
Auch wenn die Regelungen für Homeoffice sehr von der Organisation des Unternehmens abhängen, gibt es doch ein paar Klassiker, die Unternehmen beachten sollten. Hierzu zählen insbesondere folgende Verbote:
- Mitteilung ohne sonstige Kenntnisnahme von Passwörtern durch Dritte (z.B. durch das Notieren von Passwörtern oder die Lagerung von Zugangskarten);
- Zugriff auf betrieblich genutzte Software und Geräte durch Dritte (auch Familienangehörige);
- Speicherung betrieblicher Daten auf eigenen USB-Sticks oder Cloud-Speichern (z.B. automatische Synchronisierung mit Google, Apple und Co);
- Weiterleitung beruflicher Mails auf private Accounts;
- Vernichtung von Ausdrucken über den Hausmüll.
Auch die Zugangssicherung der technischen Geräte muss im Homeoffice besonders beachten werden. Dies bedeutet insbesondere, dass
- der verwendete Computer gesperrt werden muss, so dass bei Rückkehr zumindest die Eingabe des Passwortes erforderlich ist;
- Fenster verschlossen sein müssen, außer bei kurzzeitiger Abwesenheit, während der ein Eindringen realistischerweise ausgeschlossen werden kann;
- bei Nutzung von Unterlagen diese in einem Schrank einzuschließen sind oder der Arbeitsraum abzuschließen ist; dies gilt nur dann nicht, wenn der Mitarbeiter allein zu Hause ist und seinen Arbeitsplatz nur kurzzeitig verlässt;
- bei Verlassen der Wohnung ein gegebenenfalls genutztes Zugangsmedium (z. B. Chipkarte, Transponder) vom Computer entfernt werden muss und bei Nutzung von Unterlagen diese in einem Schrank einzuschließen sind.
Hier noch vier einfache Tipps für Beschäftige im Homeoffice:
Schulung der Beschäftigten
Besondere Risiken können sich gerade auch aus dem Umstand ergeben, dass die Umsetzung bestimmter Sicherheitsmaßnahmen im Homeoffice allein in der Verantwortung der Beschäftigten liegt. Damit die Beschäftigten konkrete Handlungsanweisungen bekommen, ist eine gesonderte Sensibilisierung erforderlich. Über eine eigene Schulung sollten die Beschäftigten daher über mögliche Risiken aufgeklärt werden, um dadurch auch die Haftung des Unternehmens zu reduzieren.
Jetzt eLearning buchen //Datenschutz für Beschäftigte //Datensicherheit im Home-Office
Fazit
Die Arbeit im Home-Office geht regelmäßig mit besonderen Risiken für die Sicherheit der Datenverarbeitung einher. Unternehmen können diese Risiken aber durch spezifische technische und organisatorische Maßnahmen reduzieren. Zentrale Bausteine bilden hierbei der Abschluss einer Home-Office-Vereinbarung und die Schulung der Beschäftigten.
Marinus Stehmeier ist als Rechtsanwalt und Senior Legal Consultant bei der Datenschutzkanzlei tätig. Er ist spezialisiert auf alle rechtlichen Themen rund um Datenschutz und Datenökonomie und berät sowohl im Privatrecht als auch im Öffentlichen Sektor.