Homeoffice – aber datenschutzkonform und sicher!

Mit der Corona Pademie sind viele Unternehmen vor besondere Herausforderung gestellt worden. Wo vorher in Großraumbüros oder Kantinen reges Treiben herrschte, ist heute nur noch gähnende Leere vorzufinden. Mitarbeiter und Mitarbeiterinnen wurden freiwillig oder unfreiwillig ins Mobile- bzw. Homeoffice geschickt und sollten fortan ihre Tätigkeit nicht am sonst gewohnten Arbeitsplatz ausüben. Unternehmen, die zuvor sowohl technisch als auch rechtlich Strategien für flexible Arbeitsorte entwickelt hatten, waren klar im Vorteil. 

1. Datenschutz und Datensicherheit

Jedes Unternehmen ist als verantwortliche Stelle nach den Regelungen der Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) verpflichtet angemessene Maßnahmen zu treffen, um den Datenschutz und die Datensicherheit zu gewährleisten. 

2. Anforderungen an technische und organisatorische Maßnahmen

Gem. Art. 32 DSGVO hat jedes Unternehmen sicherzustellen, dass ausreichende technische und organisatorische Maßnahmen zum Datenschutz und zur Datensicherheit ergriffen werden, und zwar unter Berücksichtigung des Stands der Technik, der Kosten, der Art und Zwecke der Verarbeitung sowie des Eintrittsrisikos und des Schädigungspotentials für die Betroffenen. 

a) organisatorische Maßnahmen 

Organisatorische Maßnahmen können beispielsweise sein, dass Mitarbeiter und Mitarbeiterinnen für das Thema Datenschutz und Datensicherheit durch regelmäßige Schulungen sensibilisiert werden, insbesondere im Home- oder Mobileoffice sollte darauf aufmerksam gemacht werden, dass nicht Dritte (außerhalb des Unternehmens stehende Personen) unberechtigterweise Einblick in die Tätigkeiten und Daten der Unternehmen nehmen kann, wie z. B. offen liegende Unterlagen oderungünstige Positionierung von Bildschirmen. Mitarbeiter müssen auch auf das potenzielle Risiko hingewiesen werden, dass auch im häuslichen Umfeld der Zugriff auf unternehmenseigene Daten passieren kann und dies im Vorfeld verhindert werden muss. Es ist zu empfehlen, dass Mitarbeiter außerhalb der Betriebsstätte in einem möglichst separaten Raum arbeiten und der Arbeitgeber durch entsprechende Anweisung dafür Sorge trägt, dass Mitarbeiter Bildschirme nach Abwesenheit z. B. sperren, ausgedruckte Dokumente ordnungsgemäß entsorgen oder im Falle des Transports verschlossen transportiert werden. Anders als bei Datenträgern sind in Papierunterlagen befindliche Daten auf den ersten Blick einsehbar. Richtlinien oder Arbeitsanweisungen bzw. Vereinbarungen mit dem Mitarbeitenden oder dem Betriebsrat sind hier unbedingt zu treffen, um den Anforderungen zu genügen. 

b) technische Maßnahmen

Neben den organisatorischen Maßnahmen sind auch technische Maßnahmen zu treffen, die den Mitarbeitenden insbesondere bei der Geheimhaltung der unternehmenseigenen Daten unterstützen, z. B. gibt es für reisende Mitarbeiter die Möglichkeit, dass Laptops bzw. Smartphones entsprechend mit einer Sichtschutzfolie ausgestattet werden. Zudem sollte ein ausreichender und komplexer Passwortschutz den Zugang zu den Systemen schützen. Hinzukommen können weitere Sicherungsmaßnahmen, wie z. B. eine sichere Anbindung des Rechners im Homeoffice an die Server der Unternehmen durch ein Virtual Private Network (VPN), auch eine Zwei- oder Mehr-Faktor-Authentifizierung sichert die Systeme vor unberechtigten Zugriiff ab und ist Stand der Technik als Zugangsvoraussetzung für besonders sensible Daten. Ein Mobile-Device-Management (MDM) kann unterstützen, um Rechner zu monitoren, Updates einzuspielen oder auch im Verlustfalle Daten aus der Ferne zu löschen. Auch durch simple Maßnahmen, wie z.B. ein Headset, kann die Vertraulichkeit des Wortes gewahrt werden.

c) private Endgeräte

Aus der Praxis kann berichtet werden, dass häufig im Rahmen der kurzfristigen Umstellung auf das Homeoffice zu pragmatischen, nicht aber immer sicheren Lösungen gegriffen wurde. Dies sollte nunmehr nach über einem Jahr der Pandemie, soweit nicht schon erfolgt, auf jeden Fall überprüft werden. In der Regel sollte auf die Nutzung privater Endgeräte verzichtet werden, besonders aufgrund der erhöhten Gefahr der Vermengung von privaten und beruflichen Daten und der auch im Übrigen schwierigen Situation, dass private Endgeräte in der Regel nicht in das Monitoring bzw. in das Datensicherheitskonzept eines Unternehmens aufgenommen werden können. 

d) Videokonferenzsysteme und andere Tools für kollaboratives Arbeiten

Auch kommen im Rahmen von neu geschaffenen Home- und Mobileoffice-Arbeitsplätzen neue Tools und neue Software zum Einsatz, insbesondere haben Videokonferenzlösungen Präsenzbesprechungen im vergangenen Jahr ersetzt. Auch hier sind die üblichen datenschutzrechtlichen Anforderungen, wie z.B. der Abschluss von Auftragsverarbeitungsverträge, ausreichende Verschlüsselung, datenschutzkonforme Konfiguration sowie die Erfüllung von Datenschutzhinweisen zu berücksichtigen. 

Beteiligen Sie – soweit vorhanden – ihre/n Datenschutzbeauftragte/n und auch Ihren Betriebsrat!

Weiterführende Informationen:

 

Verwandte Beiträge