Einleitung
Das Home Office ist vielen Branchen und darüber hinaus auch in den Medien ein aktuell sehr gefragtes Thema. Aktuell fällt in vielen Unternehmen auf, dass das Coronavirus dazu geführt hat, die Digitalisierung in Deutschland schneller zu forcieren, als es vor dem Ausbruch des Coronavirus (Sars-CoV-2 bzw. Covid 19) der Fall war. Gerade in der aktuellen Situation setzen immer mehr Unternehmen aufgrund der immer weiter fortschreitenden Ausbreitung des Coronavirus darauf, Mitarbeitern das Arbeiten aus dem Home Office zu ermöglichen. In unserem heutigen Blogbeitrag erfahren Sie, was genau Home Office bedeutet, welche Vorteile und Risiken das Home Office für Unternehmen darstellt und wie das Home Office datenschutzkonform in die Unternehmenskultur integrieren können.
Was ist Home Office?
Unter Home Office wird jede Tätigkeit verstanden, welche auf die Informations- und Kommunikationstechnik gestützt und dabei ganz oder teilweise außerhalb der Geschäftsräume und Gebäude des Arbeitgebers verrichtet wird. Meist sind Arbeitnehmer dabei regelmäßig auf Tages- oder Stundenbasis abwechselnd an Ihrem Arbeitsplatz in der Firma oder an einem frei wählbaren und geeigneten Arbeitsplatz, der sich häufig in den eigenen vier Wänden befindet, beruflich tätig. In Deutschland werden hierfür häufig die Begriffe Telearbeit oder Heimarbeit, zuletzt häufiger auch mobiles Arbeiten, verwendet. Der Arbeitnehmer kommuniziert in dieser Zeit virtuell via E-Mail, Kurznachrichtendiensten (wie z.B. Slack) oder über das Telefon mit Kunden und Arbeitskollegen. Die Arbeitsmittel, wie z.B. firmeneigene Smartphones oder Notebooks/Tablets, werden in der Regel von dem Arbeitgeber bereitgestellt. Doch was muss beachtet werden um ein sicheres Arbeiten aus dem Home-Office gemäß der datenschutzrechtlichen Vorgaben gewährleisten zu können?
Home Office und Datenschutz
Um beantworten zu können, ob und in welcher Form Schutzmaßnahmen ergriffen werden müssen, um die Umsetzung des sicheren Home Office gewährleisten zu können, sollte zuerst herausgefunden werden, mit welchen Daten der jeweilige Mitarbeiter bei der Arbeit zu Hause in Berührung kommen wird. Vorsicht ist dann geboten, wenn es sich um personenbezogene Daten gem. Art. 4 Nr. 1 DSGVO handelt. Noch riskanter ist die Verarbeitung von oder Kategorien von personenbezogenen Daten gem. Art. 9 Abs. 1 DSGVO oder Sozialdaten nach § 67 Abs. 1 SGB X. Sollten jedoch Daten anonymisiert verarbeitet werden, ist die Tätigkeit im Home Office aus datenschutzrechtlicher Sicht weniger brisant. Grundsätzlich ist aber festzuhalten, dass durch die Verarbeitung dieser Daten Risiken für die Persönlichkeitsrechte der Betroffenen entstehen können, weshalb stets eine Einzelfallentscheidung notwendig ist.
Vorteile im Home Office
Das Home Office bringt viele Vorteile mit, so z.B. die Verringerung von Arbeitswegen der Arbeitnehmer. Die Mitarbeiter verbringen weniger Zeit in nervenaufreibenden Staus und sind nicht mehr von Verspätungen der öffentlichen Verkehrsmittel oder anderen Vorkommnissen betroffen. Durch diesen zeitlichen Vorteil können Mitarbeiter entspannter in den Arbeitsalltag starten und haben bestenfalls am Ende des Tages, aufgrund des wegfallenden Arbeitsweges, mehr von ihrer Freizeit, was zu einer Steigerung der generellen Zufriedenheit und damit auch der Produktivität führt. Zusätzlich können hohe Kosten eingespart werden: Speziell die Betriebskosten eines eigenen PKW nehmen einen hohen Anteil der monatlichen Kosten eines Arbeitnehmers in Anspruch. Auch bei Firmenwagen sinken diese Kosten, wodurch auf Dauer Einsparungen für das Unternehmen entstehen. Die Kosten der Tickets für öffentliche Verkehrsmittel entfallen aus Sicht der Arbeitnehmer ebenfalls.
Außerdem werden Beschäftigte durch die Tätigkeit im Home Office weniger durch ihre Arbeitskollegen abgelenkt und können sich mehr auf ihre täglichen Arbeitsaufgaben fokussieren. Ablenkungen durch Privatgespräche, z.B. während der Wartezeit am Kaffeeautomaten, kosten Zeit, die bei der Heimarbeit sinnvoller genutzt werden kann. Im Verhältnis zu Großraumbüros finden Arbeitnehmer in ihren eigenen vier Wänden häufig ein viel ruhigeres Umfeld, wodurch auch die Konzentration effektiv gesteigert wird. Darüber hinaus kann der Arbeitgeber durch die Bereitstellung von einigen Arbeitsgeräten, wie z.B. eines Notebooks, ein Gerät für gleich zwei Arbeitsplätze gleichzeitig zur Verfügung stellen. Ein Notebook bietet demnach den Vorteil, dass es im Gegensatz zu einer Workstation jederzeit mitgenommen werden kann. Um dennoch im Büro ggf. auf mehreren Bildschirmen arbeiten zu können, verwenden viele Unternehmen bereits Dockingstations um die Verbindung zwischen den Geräten bereitzustellen. Auf diese Weise haben Arbeitnehmer flexible Optionen für die Erfüllung der täglichen Aufgaben.
Bedingungen für Home Office
Jobs mit der Möglichkeit, teilweise von zuhause aus zu arbeiten, sind bei Arbeitnehmern sehr gefragt. Nicht jede Tätigkeit kann im Home Office ausgeübt werden. Dennoch gibt es sehr viele Tätigkeiten, die hervorragend im Home Office erledigt werden können. Fast die Hälfte aller Home Office Jobs werden im Vertrieb und Verkauf angeboten. Grundsätzlich handelt es sich dabei um Berufe, die dennoch eine gewisse Mobilität des Arbeitnehmers, z.B. für Kundenbesuche, erfordern. Informatiker haben generell gute Chancen auf Heimarbeit. Ein Fünftel der Jobs im Home Office sind im IT-Bereich angesiedelt. Gerade größere IT-Unternehmen sind für Ihre flexible Arbeitsweise bekannt. Häufig gibt es in Konzernen dieser Art keine festen Arbeitsplätze, vielmehr stellen die Arbeitgeber ihren Mitarbeitern Flächen für Projektarbeiten zur Verfügung, sodass die Arbeit flexibel und abwechslungsreich gestaltet werden kann. Zudem wird die Anwesenheit der Mitarbeiter meist nicht mehr vorausgesetzt. Je nach individuellem Wunsch arbeiten die Mitarbeiter nämlich von Zuhause aus oder an einem ihren Anforderungen entsprechenden Arbeitsplatz. Dabei ist es irrelevant, wo sich dieser Ort befindet, ob im Büro oder zum Beispiel in einem Café. Bei kreativen Berufen, wie z.B. Grafikdesignern oder Marketing-Mitarbeitern, können ebenfalls Aufgaben in das Home Office verlagert werden. Ausnahmen gibt es vor allem in handwerklichen Berufen, wo die Präsenz der Arbeitnehmer für die Tätigkeit notwendig ist. In dieser Branche werden meist spezielle Arbeitsgeräte in Werkstätten benötigt oder die Arbeiten müssen vor Ort bei Kunden erledigt werden.
Datenschutz-Risiken im Home Office
Bei der Einrichtung und Nutzung von Home Office kann es zu elementaren Gefahren kommen, wenn entsprechende Sicherheitsmaßnahmen nicht etabliert werden. Wir geben Ihnen eine kurze beispielhafte Übersicht der Risiken im Home Office, die es zu bedenken bzw. zu vermeiden gilt:
- Ausspähen von Informationen (Spionage)
- Fehlplanung oder fehlende Anpassung
- Offenlegung schützenswerter Informationen
- Manipulation von Hard- oder Software
- Manipulation von Informationen
- Unbefugtes Eindringen in IT-Systeme
- Fehlerhafte Zerstörung von Geräten oder Datenträgern
- Ausfall von Geräten oder Systemen
- Unberechtigte Nutzung oder Administration von Geräten und Systemen
- Fehlerhafte Nutzung oder Administration von Geräten und Systemen
- Missbrauch von Berechtigungen
- Personalausfall
- Verhinderung von Diensten (Denial Service)
- Datenverlust
- Integritätsverlust schützenswerter Informationen
- Unbefugter Zugriff auf Personaldaten, Kundendaten
- Unbefugter Zugriff auf Geschäftsgeheimnisse
Datenschutz im Home Office umsetzen
Um die sicherheitstechnischen Anforderungen zum Schutz der zu bearbeitenden Daten sicher zu stellen, sind für die Umsetzung von Home Office in Ihrem Unternehmen unter anderem folgenden Maßnahmen zu treffen:
Schritt 1: Begrenzte Autorisierung von Personen
Der Rechner darf nur von autorisierten Personen genutzt werden. Somit wird sichergestellt, dass die Daten und Informationen nur von festgelegten Benutzern gespeichert und geändert werden können. Autorisierte Personen wären demnach der Administrator des Rechners sowie der benannte Stellvertreter.
Schritt 2: Autorisierte Zwecke
Nicht genehmigte Programme dürfen von dem Benutzer ohne eine entsprechende Autorisierung von der IT-Abteilung nicht installiert werden. Der Benutzer des jeweiligen Notebooks oder PCs im Home Office darf nur Zugriff auf autorisierte Funktionen haben, sodass zusätzliche Schäden durch Fehlbedienung oder Missbrauch minimiert oder gänzlich verhindert werden.
Schritt 3: Schäden aufgrund von Diebstahl oder Defekten
Da sich die Rechner im Home Office in einer weniger geschützten Umgebung befinden (z.B. privates WLAN-Netzwerk) als in einem verschlossenen Büro, sollten Schäden aufgrund eines Diebstahls oder Defekts weitgehend tolerabel sein. Damit die Vertraulichkeit sowie die Verfügbarkeit der Daten so wenig wie möglich darunter leiden, sollten Daten nicht lokal gespeichert werden und stets auf den jeweiligen Unternehmensservern abgelegt werden.
Schritt 4: Manipulationen
Um sicherzustellen, dass der Rechner in einem anständigen Zustand verbleibt, müssen offensichtlich versuchte oder erfolgte Manipulationen durch den Benutzer erkennbar sein.
Um das Arbeiten im Home Office sicher zu gestalten, müssen gewisse Sicherheitsmechanismen aktiviert werden. Das gilt sowohl für den verwendeten Client (PC, Notebook) als auch die Übermittlung von Daten an die Server des Unternehmens. Folgende Konfigurationen sollten an dem jeweiligen verwendet Endgerät beachtet und verwendet werden, um die Arbeit im Home Office sicher zu gestalten:
Es ist essentiell, dass Passwörter sicher verwaltet werden. Diese dürfen keinesfalls unverschlüsselt auf dem Rechner gespeichert werden. Auch die Anzahl von Fehleingaben müssen beschränkt sein. Ist z.B. drei mal hintereinander ein falsches Passwort eingegeben worden, sollte der Zugang dauerhaft oder in zunehmenden Zeitfenstern gesperrt werden. Außerdem sollten bestimmte Vorgaben existieren, wie ein sicheres Passwort zu gestalten ist. Nach zeitweiliger Inaktivität durch den Benutzer ist dieser automatisch abzumelden, sodass ein Zugang erst nach einer erneuten Eingabe der Anmeldedaten möglich ist.
Der Rechner sollte zwischen verschiedenen Rollen der Benutzer unterscheiden können. Es sollten mindestens zwei Benutzer mit unterschiedlichen Rechten eingereicht werden Der Administrator und zusätzlich noch ein weiterer Mitarbeiter, welcher diesen Rechner z.B. als Vertretung verwendet.
Der Zugriff auf die Dateien und Programme sollte durch eine Rechtestruktur eingeschränkt werden, sodass der Mitarbeiter, je nach Bedarf, diese lesen, schreiben oder ausführen kann. Außerdem muss geprüft werden, ob das zu verwendete Gerät für den vorliegenden Schutzbedarf überhaupt geeignet ist. Smartphones und Tablets verfügen nämlich meist nicht über eine derartige Rechtestruktur.
Folgende Aktionen sowie eventuell auftretende Fehler sollten parametrisierbar protokolliert werden:
- Bei jeder erfolgten und versuchten Autorisierung (Benutzer-Kennung, Datum und Uhrzeit, Art des Zugriffs, Änderungen)
- Durchführungen von Administrator-Tätigkeiten
- Auftreten von Fehlern
Die Protokollierung darf keinesfalls durch unbefugte Personen deaktiviert werden. Außerdem sollte die Historie für unbefugte Personen weder lesbar noch modifizierbar sein, die Protokollierung ist stets vollständig, korrekt und gut strukturiert zu führen.
Bei der Auswertung muss es möglich sein, die Daten nach der Art zu filtern (z.B. alle unberechtigten Zugriffe der letzten 2 Wochen). Die auswertbaren Berichte müssen jederzeit auf unberechtigte Zugriffe überprüft werden können.
Eine automatische Verschlüsselung sollte immer vorgezogen werden. Voraussetzung hierfür ist, dass ein Verschlüsselungsprodukt eingesetzt wird, welches einen Datenverlust bei Fehlfunktionen (Stromausfall, Abbruch der Verschlüsselung) systemseitig verhindert.
Zudem sollten folgende Anforderungen an die Verschlüsselung erfüllt werden:
- Der ausgewählte Verschlüsselungsalgorithmus sollte den Anforderungen des Unternehmens genügen.
- Das Schlüsselmanagement muss mit der Funktionalität des eingesetzten Rechners übereinstimmen.
- Der Rechner muss die sicherheitskritischen Parameter sicher verwalten. So dürfen Schlüssel (mittlerweile auch nicht mehr benutzte) nie ungeschützt, d.h. auslesbar, abgelegt werden.
Gedruckte Dokumente oder sensible Daten/Informationen müssen unbedingt vor Einsicht unbefugter geschützt werden und dürfen daher nicht offen auf dem jeweiligen Arbeitsplatz im Home Office abgelegt werden.
Das Betriebssystem sowie alle vorhandenen Programme (vor allem sicherheitsrelevante Software wie z.B. Virenschutzprogramme) sollten stets auf dem neuesten Stand gehalten werden. Sicherheitsupdates sind unbedingt durchzuführen.
Die Firewall des Rechners sollte jederzeit aktiviert sein und unter keinen Umständen deaktiviert werden.
Falls die private Nutzung des vom Arbeitgeber bereitgestellten Rechners erlaubt wurde, ist die Trennung von privaten und unternehmenseigenen Daten zu gewährleisten. Wir raten allerdings von einer Erlaubnis für die private Nutzung des Firmenrechners ab.
Um eine absichtliche Manipulation am Rechner feststellen zu können, sollte unbedingt ein Verfahren zur Integritätsprüfung eingesetzt werden.
Zusätzlich müssen bei der Datenübertragung Mechanismen eingesetzt werden, mit deren Hilfe absichtliche Manipulationen an den Adressfeldern und den Benutzerdaten erkannt werden. Daneben darf die bloße Kenntnis der eingesetzten Algorithmen ohne spezielle Zusatzkenntnisse nicht ausreichen, um unerkannte Manipulationen an den oben genannten Daten vornehmen zu können.
Jeder Rechner sollte über einen solchen Schutz verfügen, damit ein unbefugter Boot-Vorgang von Wechseldatenträgern nicht durchgeführt werden kann.
Eine administrierte Fernwartung sollte nur autorisiert ausführbar sein. Zudem muss bei diesem Prozesse eine Authentisierung des Fernwartungspersonals, die Verschlüsselung der übertragenen Daten und eine Protokollierung der Administrationsvorgänge erfolgen.
Sollte eine zeitliche Verzögerung bei der Übertragung der Daten untolerierbar sein, kann ein redundant ausgelegtes öffentliches Kommunikationsnetz als Übertragungsweg ausgewählt werden, sodass ein Ausfall einzelner Verbindungsstrecken nicht ein Totalausfall der Kommunikation bedeutet.
Um eine Bestätigung bei einem erfolgten Datenempfang oder einer erfolgten Datenübertragung zu erhalten, können Quittierungsmechanismen eingesetzt werden, aus denen hervorgeht, ob die Daten erfolgreich übermittelt worden sind.
Muster Datenschutzrichtlinie Home Office
Laden Sie unsere Mustervorlagen für eine Datenschutzrichtlinie im Home Office runter und sichern Sie sich ab.
Checkliste: Datenschutz Home Office
Um die erforderlichen Sicherheitsstandards im Home Office zu gewährleisten, sollten in Ihrem Unternehmen konkrete Regelungen aufgestellt werden. Hierbei sind verschiedene arbeitsrechtliche, arbeitsschutzrechtliche und insbesondere datenschutzrechtliche Rahmenbedingungen zu beachten. Umstrittene Punkte sollten durch zusätzliche Betriebsvereinbarungen oder durch Individuelle Vereinbarungen im Arbeitsvertrag geregelt werden. Diese Richtlinie sollte unter anderem folgende Punkte enthalten:
- Sichere Passwörter: Die Verwendung von sicheren Passwörtern muss für Mitarbeiter verpflichtend sein. Die Sicherheitsvorgaben sollten sich an den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) orientieren: Mindestens acht Stellen, Groß- und Kleinschreibung, Sonderzeichen und eine Zahl. Ein regelmäßiger Wechsel wird zwar weiterhin empfohlen, nicht aber ein Wechsel des Passworts in einem Rhythmus von drei Monaten.
- Sicheres Passwortmanagement: Passwörter sollten von Mitarbeitern mittels eine Passwort-Management-Software, wie z.B. Keepass, verwaltet werden. Durch die Festlegung eines sicheren Master-Passwortes haben Arbeitnehmer auf diese Weise Zugang zu allen für sie relevanten Passwörtern.
- Berechtigungskonzepte: Für alle für das Home Office relevanten Anwendungen sollten Berechtigungskonzepte entwickelt werden, die einen gestuften Umgang der Mitarbeiter gewährleisten. Das Grundprinzip in diesem Zusammenhang lautet, dass jeder nur den Umfang an Berechtigung für die jeweilige Anwendung haben soll, die diese Person tatsächlich für die Erledigung der täglichen Aufgaben benötigt.
- W-LAN-Netzwerk: In der Regel wird im Home Office das eigene private W-Lan-Netzwerk für die Erledigung der täglichen Aufgaben verwendet. Hier ist darauf zu achten, dass dieses Netzwerk über entsprechende Sicherheitsmechanismen verfügt, wie z.B. eine Verschlüsselung durch ein sicheres Passwort (mindestens 20 stellig), damit unbefugte Personen nicht in das private Netzwerk eindringen können, um sich auf diese Weise über den Firmen-Rechner einen Zugang in das Firmen-Netzwerk zu verschaffen.
- Sichere VPN-Verbindung: Der Zugang in das Firmen-Netzwerk sollte nur durch eine sichere und verschlüsselte Virtual Private Network (VPN) Verbindung ermöglicht werden. So sollte für jede Verbindung ein zuvor gewähltes, sicheres Passwort abgefragt werden.
- Arbeitszeitenregelung: Im Home Office sollten genaue Arbeitszeiten vertraglich festlegen werden, damit Arbeitskollegen genau wissen, wann sie ihre Kolleginnen und Kollegen im Home Office erreichen können
- Reaktionszeiten: Es sollte genau geregelt sein, in welchen Abständen Informationen (wie z.B. Mails) abgerufen und in welchem Zeitraum darauf reagiert werden soll.
- Phishing: Durch das vermehrte Auftreten von Phishing-Mails werden Krisen-Situationen ausgenutzt, um Ihre sensiblen Daten und das Zurücksetzen von Passwörtern etc. abzugreifen.
- Remote-Zugriff: Damit die Mitarbeiter ihren dienstliche Aufgaben nachkommen können, muss der Rechner auf interne Ressourcen der Institution zugreifen können. Um einen sicheren Fernzugriff auf das Netz der Institution zu ermöglichen, muss daher ein abgesicherter Remote-Zugang eingerichtet werden.
- Support: Um die Einsatzfähigkeit der Mitarbeiter im Home Office zu gewährleisten, sollte ein Ansprechpartner für Hard- und Softwareprobleme im Unternehmen benannt werden.
- Arbeiten mit fremden IT-Systemen / Netzwerken: Ein Umgang mit der Arbeit in institutionsfremden IT-Systemen / Netzwerken ist zu regeln, um ein gewisses Schutzniveau aufrecht zu erhalten und die Mitarbeiter über Gefahren im Zusammenhang mit der Verwendung dieser aufzuklären.
- Umgang mit vertraulichen Informationen: Da vertrauliche Informationen im Home Office sowohl analog als auch digital bearbeitet werden, müssen diese vor unbefugtem Zugriff und anderen Sicherheitsrisiken geschützt werden.
- Arbeitsmittel & Datenträger: Es ist zu regeln, welche Arbeitsmittel benutzt werden dürfen und welche Arbeitsmittel in keinem Fall verwendet werden dürfen. Die betriebliche Verwendung der geschäftlichen E-Mail-Konten ist stets erlaubt, jedoch nicht die private Nutzung. Außerdem sollte die Verwendung von privaten Datenträgern komplett untersagt werden, die auf keinen Fall an betriebliche IT, wie z.B. Notebooks, angeschlossen werden sollten. Über die Herausgabe von betrieblichen Datenträgern sollte ein Verzeichnis geführt werden.
- Datensicherung: In regelmäßigen Abständen sind die gespeicherten Daten auf den unternehmensinternen Servern zu sichern. Zusätzlich dazu sollte gewährleistet sein, dass immer eine Version der Datei bei der Institution hinterlegt wurde. Sollte eine Datensicherung durch einen Fernzugriff zur Institution bereitgestellt werden und kein erhöhter Schutzbedarf notwendig sein, kann von einer lokalen Datensicherung absehen werden.
- Synchronisation von Datenbeständen: Daten die sowohl in der Institution als auch im Home Office bearbeitet werden, müssen in geeigneten Abständen synchronisiert werden. Dies muss jedoch genauestens geplant werden, damit keine Konflikte oder Datenverluste bei der Bearbeitung oder Übertragung entstehen. Hier empfehlen wir den Einsatz einer sicheren Software.
- Datenschutz-Schulungen: Die Mitarbeiter sind auch im Home Office dazu verpflichtet, sich an die geltenden Datenschutzvorschriften zu halten. In diesem Zusammenhang empfehlen wir, im Rahmen von Schulungen, Unterweisungen oder sonstigen Aktivitäten die Mitarbeiter besonders auf die datenschutzrechtlichen Risiken im Home Office hinzuweisen und für sichere Maßnahmen für den Schutz von personenbezogenen Daten zu sensibilisieren. Der Datenschutzbeauftragte ist der ideale Ansprechpartner für eine derartige Unterweisung.
- Aktualisierung von Software und Systemen: Alle verwendeten Programme, Tools, Systeme wie z.B. Firewalls oder Virenerkennung, sollten stets auf die neueste Version aktualisiert werden, um stets die neuesten Sicherheitsverbesserungen für die jeweilige Software bzw. das jeweilige System zu erhalten.
- Schutz von Betriebsmitteln: Arbeitnehmer müssen im Home Office besonders darauf achten, dass unbefugte Personen sich keinen Zugang zu betrieblichen Geräten, wie z.B. einem Smartphone oder Notebook, verschaffen. Diese Gefahr betrifft besonders mobile betriebliche Arbeitsmittel.
- Blickschutzfolien: Besonders für die mobile Arbeit, falls erlaubt, in Bus und Bahn, Cafés oder anderen öffentlichen Orten, sind Blickschutzfolie für die betriebliche IT, wie z.B. Notebooks, empfehlenswert, da auf diese Weise dem großen Publikumsverkehr der unbefugte Einblick in personenbezogene Daten erschwert wird.
- Datenkommunikation: Ferner sollte geregelt werden, wie und auf welchem Weg die Daten übertragen werden. Dabei ist zu berücksichtigen, dass diverse Daten nur elektronisch verschlüsselt übermittelt werden dürfen. Außerdem können nicht alle Daten zwischen der Institution und dem heimischen Arbeitsplatz transportiert werden und teilweise sind zusätzliche Schutzmaßnahmen notwendig.
- Transport von Dokumenten und Datenträgern: Vertrauliche Daten sollten aus Sicherheitsgründen nur verschlüsselt transportiert werden. Die Art und Absicherung des Transportes ist ebenfalls in der Richtlinie festzuhalten.
- Meldeweg: Sicherheitsrelevante Ereignisse sollten unverzüglich der zuständigen Institution gemeldet werden. Eine genaue Vorgehensweise ist im Vorfeld durch die geltenden Richtlinien zu bestimmen.
- Zutritts- und Zugriffsrecht: Nur bestimmten sowie stellvertretenden Mitarbeitern ist der Zugriff auf die notwendigen Daten zu ermöglichen. Außerdem kann bei einem Telearbeitsplatz nicht die gleiche infrastrukturelle Sicherheit vorausgesetzt werden, wie in den Büroräumen des Unternehmens. So ist z. B. der häusliche Arbeitsplatz oft auch für Besucher oder Familienangehörige zugänglich. Deshalb müssen Maßnahmen ergriffen werden, mit denen sich ein Sicherheitsniveau erreichen lässt, das mit dem eines Büroraums zu vergleichen ist. So sollte unbefugten Personen der Zutritt in die jeweilige Räumlichkeit nicht gewährt werden, wenn personenbezogene Daten in Papierform offen einsehbar auf dem Schreibtisch.
- Vertretungsregelung: Für alle Mitarbeiter sind Vertretungsregelungen für den Fall von Abwesenheiten anzufertigen. Die gewählten Vertreter sollten in der Lage sein, auch kurzfristig einspringen zu können und sich schnell einen Überblick über den aktuellen Stand, z.B. bezüglich der aktuellen Informationslage in dem jeweiligen Aufgabengebiet, zu informieren. Für die Gewährleistung dieser Maßgabe müssen alle Arbeitsschritte und Ergebnisse immer sorgfältig dokumentiert und aktualisiert werden. Zusätzlich sollten zwischen dem Mitarbeiter und seinem Vertreter regelmäßig Gespräche (z.B. in Form von Videokonferenzen, o.ä.) erfolgen, um den Verwertungsprozess aktuell zu halten und zu optimieren.
- Erstellung eines Sicherheitskonzepts: Die Sicherheitsziele des Unternehmens sollten benannt werden und der Schutzbedarf der zu bearbeitenden Daten, Informationen sowie diesbezügliche Risiken sind zu analysieren.
- Bring your own device (BYOD) nur als Ausnahme: Die Nutzung von privaten Geräten für betriebliche Mittel sollte grundsätzlich, unabhängig von dem Einsatz im Home Office, nicht erlaubt werden, da hier die Kontrollmöglichkeiten für z.B. erforderliche Sicherheitsupdates etc. gänzlich fehlen oder eingeschränkt sind. BYOD sollte daher nur nach Absprache und in tatsächlichen erforderlichen Fällen erlaubt werden. Wichtig ist in diesem Zusammenhang, dass private Daten strikt von beruflichen Daten auf dem privaten Gerät getrennt werden.
- Verbot privater Software: Bereits aufgrund des Lizenz- und Urheberrechts ist die Verwendung von privat erworbener Software zu verbieten. Dies gilt unabhängig von der Arbeit im Home Office und sollte dringend von Arbeitnehmern eingehalten werden.
- Kontrolle der Sicherheitsvorgaben: Diverse Kontrollrechte sollten ferner mit den Arbeitnehmern für die Prüfung der Einhaltung der genannten technischen und organisatorischen Maßnahmen vereinbart werden.
- Datenschutzkonforme Vernichtung & Löschung von personenbezogenen: Wenn personenbezogene Daten gelöscht oder, im Fall von analogen personenbezogenen Daten, vernichtet werden müssen, ist für das Home Office genau zu regeln, wie dies im Einzelfall erfolgen soll.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich IT-Sicherheit, begleitend zur ISO27001, beratend tätig.
