Datenschutz im Home Office

Datenschutz Verstehen – Datenschutz im Home Office umsetzen

Einleitung

Das Home Office ist vielen Branchen und darüber hinaus auch in den Medien ein aktuell sehr gefragtes Thema. Aktuell fällt in vielen Unternehmen auf, dass das Coronavirus dazu geführt hat, die Digitalisierung in Deutschland schneller zu forcieren, als es vor dem Ausbruch des Coronavirus (Sars-CoV-2 bzw. Covid 19) der Fall war. Gerade in der aktuellen Situation setzen immer mehr Unternehmen aufgrund der immer weiter fortschreitenden Ausbreitung des Coronavirus darauf, Mitarbeitern das Arbeiten aus dem Home Office zu ermöglichen. In unserem heutigen Blogbeitrag erfahren Sie, was genau Home Office bedeutet, welche Vorteile und Risiken das Home Office für Unternehmen darstellt und wie das Home Office datenschutzkonform in die Unternehmenskultur integrieren können.

 

Was ist Home Office?

Unter Home Office wird jede Tätigkeit verstanden, welche auf die Informations- und Kommunikationstechnik gestützt und dabei ganz oder teilweise außerhalb der Geschäftsräume und Gebäude des Arbeitgebers verrichtet wird. Meist sind Arbeitnehmer dabei regelmäßig auf Tages- oder Stundenbasis abwechselnd an Ihrem Arbeitsplatz in der Firma oder an einem frei wählbaren und geeigneten Arbeitsplatz, der sich häufig in den eigenen vier Wänden befindet, beruflich tätig. In Deutschland werden hierfür häufig die Begriffe Telearbeit oder Heimarbeit, zuletzt häufiger auch mobiles Arbeiten, verwendet. Der Arbeitnehmer kommuniziert in dieser Zeit virtuell via E-Mail, Kurznachrichtendiensten (wie z.B. Slack) oder über das Telefon mit Kunden und Arbeitskollegen. Die Arbeitsmittel, wie z.B. firmeneigene Smartphones oder Notebooks/Tablets, werden in der Regel von dem Arbeitgeber bereitgestellt. Doch was muss beachtet werden um ein sicheres Arbeiten aus dem Home-Office gemäß der datenschutzrechtlichen Vorgaben gewährleisten zu können?

 

Home Office und Datenschutz

Um beantworten zu können, ob und in welcher Form Schutzmaßnahmen ergriffen werden müssen, um die Umsetzung des sicheren Home Office gewährleisten zu können, sollte zuerst herausgefunden werden, mit welchen Daten der jeweilige Mitarbeiter bei der Arbeit zu Hause in Berührung kommen wird. Vorsicht ist dann geboten, wenn es sich um personenbezogene Daten gem. Art. 4 Nr. 1 DSGVO handelt. Noch riskanter ist die Verarbeitung von oder Kategorien von personenbezogenen Daten gem. Art. 9 Abs. 1 DSGVO oder Sozialdaten nach § 67 Abs. 1 SGB X. Sollten jedoch Daten anonymisiert verarbeitet werden, ist die Tätigkeit im Home Office aus datenschutzrechtlicher Sicht weniger brisant. Grundsätzlich ist aber festzuhalten, dass durch die Verarbeitung dieser Daten Risiken für die Persönlichkeitsrechte der Betroffenen entstehen können, weshalb stets eine Einzelfallentscheidung notwendig ist.

 

Vorteile im Home Office

Das Home Office bringt viele Vorteile mit, so z.B. die Verringerung von Arbeitswegen der Arbeitnehmer. Die Mitarbeiter verbringen weniger Zeit in nervenaufreibenden Staus und sind nicht mehr von Verspätungen der öffentlichen Verkehrsmittel oder anderen Vorkommnissen betroffen. Durch diesen zeitlichen Vorteil können Mitarbeiter entspannter in den Arbeitsalltag starten und haben bestenfalls am Ende des Tages, aufgrund des wegfallenden Arbeitsweges, mehr von ihrer Freizeit, was zu einer Steigerung der generellen Zufriedenheit und damit auch der Produktivität führt. Zusätzlich können hohe Kosten eingespart werden: Speziell die Betriebskosten eines eigenen PKW nehmen einen hohen Anteil der monatlichen Kosten eines Arbeitnehmers in Anspruch. Auch bei Firmenwagen sinken diese Kosten, wodurch auf Dauer Einsparungen für das Unternehmen entstehen. Die Kosten der Tickets für öffentliche Verkehrsmittel entfallen aus Sicht der Arbeitnehmer ebenfalls.

Außerdem werden Beschäftigte durch die Tätigkeit im Home Office weniger durch ihre Arbeitskollegen abgelenkt und können sich mehr auf ihre täglichen Arbeitsaufgaben fokussieren. Ablenkungen durch Privatgespräche, z.B. während der Wartezeit am Kaffeeautomaten, kosten Zeit, die bei der Heimarbeit sinnvoller genutzt werden kann. Im Verhältnis zu Großraumbüros finden Arbeitnehmer in ihren eigenen vier Wänden häufig ein viel ruhigeres Umfeld, wodurch auch die Konzentration effektiv gesteigert wird. Darüber hinaus kann der Arbeitgeber durch die Bereitstellung von einigen Arbeitsgeräten, wie z.B. eines Notebooks, ein Gerät für gleich zwei Arbeitsplätze gleichzeitig zur Verfügung stellen. Ein Notebook bietet demnach den Vorteil, dass es im Gegensatz zu einer Workstation jederzeit mitgenommen werden kann. Um dennoch im Büro ggf. auf mehreren Bildschirmen arbeiten zu können, verwenden viele Unternehmen bereits Dockingstations um die Verbindung zwischen den Geräten bereitzustellen. Auf diese Weise haben Arbeitnehmer flexible Optionen für die Erfüllung der täglichen Aufgaben.

 

Bedingungen für Home Office

Jobs mit der Möglichkeit, teilweise von zuhause aus zu arbeiten, sind bei Arbeitnehmern sehr gefragt. Nicht jede Tätigkeit kann im Home Office ausgeübt werden. Dennoch gibt es sehr viele Tätigkeiten, die hervorragend im Home Office erledigt werden können. Fast die Hälfte aller Home Office Jobs werden im Vertrieb und Verkauf angeboten. Grundsätzlich handelt es sich dabei um Berufe, die dennoch eine gewisse Mobilität des Arbeitnehmers, z.B. für Kundenbesuche, erfordern. Informatiker haben generell gute Chancen auf Heimarbeit. Ein Fünftel der Jobs im Home Office sind im IT-Bereich angesiedelt. Gerade größere IT-Unternehmen sind für Ihre flexible Arbeitsweise bekannt. Häufig gibt es in Konzernen dieser Art keine festen Arbeitsplätze, vielmehr stellen die Arbeitgeber ihren Mitarbeitern Flächen für Projektarbeiten zur Verfügung, sodass die Arbeit flexibel und abwechslungsreich gestaltet werden kann. Zudem wird die Anwesenheit der Mitarbeiter meist nicht mehr vorausgesetzt. Je nach individuellem Wunsch arbeiten die Mitarbeiter nämlich von Zuhause aus oder an einem ihren Anforderungen entsprechenden Arbeitsplatz. Dabei ist es irrelevant, wo sich dieser Ort befindet, ob im Büro oder zum Beispiel in einem Café. Bei kreativen Berufen, wie z.B. Grafikdesignern oder Marketing-Mitarbeitern, können ebenfalls Aufgaben in das Home Office verlagert werden. Ausnahmen gibt es vor allem in handwerklichen Berufen, wo die Präsenz der Arbeitnehmer für die Tätigkeit notwendig ist. In dieser Branche werden meist spezielle Arbeitsgeräte in Werkstätten benötigt oder die Arbeiten müssen vor Ort bei Kunden erledigt werden.

 

Datenschutz-Risiken im Home Office

Bei der Einrichtung und Nutzung von Home Office kann es zu elementaren Gefahren kommen, wenn entsprechende Sicherheitsmaßnahmen nicht etabliert werden. Wir geben Ihnen eine kurze beispielhafte Übersicht der Risiken im Home Office, die es zu bedenken bzw. zu vermeiden gilt:

  • Ausspähen von Informationen (Spionage)
  • Fehlplanung oder fehlende Anpassung
  • Offenlegung schützenswerter Informationen
  • Manipulation von Hard- oder Software
  • Manipulation von Informationen
  • Unbefugtes Eindringen in IT-Systeme
  • Fehlerhafte Zerstörung von Geräten oder Datenträgern
  • Ausfall von Geräten oder Systemen
  • Unberechtigte Nutzung oder Administration von Geräten und Systemen
  • Fehlerhafte Nutzung oder Administration von Geräten und Systemen
  • Missbrauch von Berechtigungen
  • Personalausfall
  • Verhinderung von Diensten (Denial Service)
  • Datenverlust
  • Integritätsverlust schützenswerter Informationen
  • Unbefugter Zugriff auf Personaldaten, Kundendaten
  • Unbefugter Zugriff auf Geschäftsgeheimnisse
 

Datenschutz im Home Office umsetzen

Um die sicherheitstechnischen Anforderungen zum Schutz der zu bearbeitenden Daten sicher zu stellen, sind für die Umsetzung von Home Office in Ihrem Unternehmen unter anderem folgenden Maßnahmen zu treffen:

Schritt 1: Begrenzte Autorisierung von Personen

Der Rechner darf nur von autorisierten Personen genutzt werden. Somit wird sichergestellt, dass die Daten und Informationen nur von festgelegten Benutzern gespeichert und geändert werden können. Autorisierte Personen wären demnach der Administrator des Rechners sowie der benannte Stellvertreter.

Schritt 2: Autorisierte Zwecke

Nicht genehmigte Programme dürfen von dem Benutzer ohne eine entsprechende Autorisierung von der IT-Abteilung nicht installiert werden. Der Benutzer des jeweiligen Notebooks oder PCs im Home Office darf nur Zugriff auf autorisierte Funktionen haben, sodass zusätzliche Schäden durch Fehlbedienung oder Missbrauch minimiert oder gänzlich verhindert werden.

Schritt 3: Schäden aufgrund von Diebstahl oder Defekten

Da sich die Rechner im Home Office in einer weniger geschützten Umgebung befinden (z.B. privates WLAN-Netzwerk) als in einem verschlossenen Büro, sollten Schäden aufgrund eines Diebstahls oder Defekts weitgehend tolerabel sein. Damit die Vertraulichkeit sowie die Verfügbarkeit der Daten so wenig wie möglich darunter leiden, sollten Daten nicht lokal gespeichert werden und stets auf den jeweiligen Unternehmensservern abgelegt werden.

Schritt 4: Manipulationen

Um sicherzustellen, dass der Rechner in einem anständigen Zustand verbleibt, müssen offensichtlich versuchte oder erfolgte Manipulationen durch den Benutzer erkennbar sein.

Um das Arbeiten im Home Office sicher zu gestalten, müssen gewisse Sicherheitsmechanismen aktiviert werden. Das gilt sowohl für den verwendeten Client (PC, Notebook) als auch die Übermittlung von Daten an die Server des Unternehmens. Folgende Konfigurationen sollten an dem jeweiligen verwendet Endgerät beachtet und verwendet werden, um die Arbeit im Home Office sicher zu gestalten:

 

Muster Datenschutzrichtlinie Home Office

Laden Sie unsere Mustervorlagen für eine Datenschutzrichtlinie im Home Office runter und sichern Sie sich ab.

 

Checkliste: Datenschutz Home Office

Um die erforderlichen Sicherheitsstandards im Home Office zu gewährleisten, sollten in Ihrem Unternehmen konkrete Regelungen aufgestellt werden. Hierbei sind verschiedene arbeitsrechtliche, arbeitsschutzrechtliche und insbesondere datenschutzrechtliche Rahmenbedingungen zu beachten. Umstrittene Punkte sollten durch zusätzliche Betriebsvereinbarungen oder durch Individuelle Vereinbarungen im Arbeitsvertrag geregelt werden. Diese Richtlinie sollte unter anderem folgende Punkte enthalten:

  • Sichere Passwörter: Die Verwendung von sicheren Passwörtern muss für Mitarbeiter verpflichtend sein. Die Sicherheitsvorgaben sollten sich an den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) orientieren: Mindestens acht Stellen, Groß- und Kleinschreibung, Sonderzeichen und eine Zahl. Ein regelmäßiger Wechsel wird zwar weiterhin empfohlen, nicht aber ein Wechsel des Passworts in einem Rhythmus von drei Monaten.
  • Sicheres Passwortmanagement: Passwörter sollten von Mitarbeitern mittels eine Passwort-Management-Software, wie z.B. Keepass, verwaltet werden. Durch die Festlegung eines sicheren Master-Passwortes haben Arbeitnehmer auf diese Weise Zugang zu allen für sie relevanten Passwörtern.
  • Berechtigungskonzepte: Für alle für das Home Office relevanten Anwendungen sollten Berechtigungskonzepte entwickelt werden, die einen gestuften Umgang der Mitarbeiter gewährleisten. Das Grundprinzip in diesem Zusammenhang lautet, dass jeder nur den Umfang an Berechtigung für die jeweilige Anwendung haben soll, die diese Person tatsächlich für die Erledigung der täglichen Aufgaben benötigt.
  • W-LAN-Netzwerk: In der Regel wird im Home Office das eigene private W-Lan-Netzwerk für die Erledigung der täglichen Aufgaben verwendet. Hier ist darauf zu achten, dass dieses Netzwerk über entsprechende Sicherheitsmechanismen verfügt, wie z.B. eine Verschlüsselung durch ein sicheres Passwort (mindestens 20 stellig), damit unbefugte Personen nicht in das private Netzwerk eindringen können, um sich auf diese Weise über den Firmen-Rechner einen Zugang in das Firmen-Netzwerk zu verschaffen.
  • Sichere VPN-Verbindung: Der Zugang in das Firmen-Netzwerk sollte nur durch eine sichere und verschlüsselte Virtual Private Network (VPN) Verbindung ermöglicht werden. So sollte für jede Verbindung ein zuvor gewähltes, sicheres Passwort abgefragt werden.
  • Arbeitszeitenregelung: Im Home Office sollten genaue Arbeitszeiten vertraglich festlegen werden, damit Arbeitskollegen genau wissen, wann sie ihre Kolleginnen und Kollegen im Home Office erreichen können
  • Reaktionszeiten: Es sollte genau geregelt sein, in welchen Abständen Informationen (wie z.B. Mails) abgerufen und in welchem Zeitraum darauf reagiert werden soll.
  • Phishing: Durch das vermehrte Auftreten von Phishing-Mails werden Krisen-Situationen ausgenutzt, um Ihre sensiblen Daten und das Zurücksetzen von Passwörtern etc. abzugreifen. 
  • Remote-Zugriff: Damit die Mitarbeiter ihren dienstliche Aufgaben nachkommen können, muss der Rechner auf interne Ressourcen der Institution zugreifen können. Um einen sicheren Fernzugriff auf das Netz der Institution zu ermöglichen, muss daher ein abgesicherter Remote-Zugang eingerichtet werden.
  • Support: Um die Einsatzfähigkeit der Mitarbeiter im Home Office zu gewährleisten, sollte ein Ansprechpartner für Hard- und Softwareprobleme im Unternehmen benannt werden.
  • Arbeiten mit fremden IT-Systemen / Netzwerken: Ein Umgang mit der Arbeit in institutionsfremden IT-Systemen / Netzwerken ist zu regeln, um ein gewisses Schutzniveau aufrecht zu erhalten und die Mitarbeiter über Gefahren im Zusammenhang mit der Verwendung dieser aufzuklären.
  • Umgang mit vertraulichen Informationen: Da vertrauliche Informationen im Home Office sowohl analog als auch digital bearbeitet werden, müssen diese vor unbefugtem Zugriff und anderen Sicherheitsrisiken geschützt werden.
  • Arbeitsmittel & Datenträger: Es ist zu regeln, welche Arbeitsmittel benutzt werden dürfen und welche Arbeitsmittel in keinem Fall verwendet werden dürfen. Die betriebliche Verwendung der geschäftlichen E-Mail-Konten ist stets erlaubt, jedoch nicht die private Nutzung. Außerdem sollte die Verwendung von privaten Datenträgern komplett untersagt werden, die auf keinen Fall an betriebliche IT, wie z.B. Notebooks, angeschlossen werden sollten. Über die Herausgabe von betrieblichen Datenträgern sollte ein Verzeichnis geführt werden.
  • Datensicherung: In regelmäßigen Abständen sind die gespeicherten Daten auf den unternehmensinternen Servern zu sichern. Zusätzlich dazu sollte gewährleistet sein, dass immer eine Version der Datei bei der Institution hinterlegt wurde. Sollte eine Datensicherung durch einen Fernzugriff zur Institution bereitgestellt werden und kein erhöhter Schutzbedarf notwendig sein, kann von einer lokalen Datensicherung absehen werden.
  • Synchronisation von Datenbeständen: Daten die sowohl in der Institution als auch im Home Office bearbeitet werden, müssen in geeigneten Abständen synchronisiert werden. Dies muss jedoch genauestens geplant werden, damit keine Konflikte oder Datenverluste bei der Bearbeitung oder Übertragung entstehen. Hier empfehlen wir den Einsatz einer sicheren Software.
  • Aktualisierung von Software und Systemen: Alle verwendeten Programme, Tools, Systeme wie z.B. Firewalls oder Virenerkennung, sollten stets auf die neueste Version aktualisiert werden, um stets die neuesten Sicherheitsverbesserungen für die jeweilige Software bzw. das jeweilige System zu erhalten.
  • Schutz von Betriebsmitteln: Arbeitnehmer müssen im Home Office besonders darauf achten, dass unbefugte Personen sich keinen Zugang zu betrieblichen Geräten, wie z.B. einem Smartphone oder Notebook, verschaffen. Diese Gefahr betrifft besonders mobile betriebliche Arbeitsmittel.
  • Blickschutzfolien: Besonders für die mobile Arbeit, falls erlaubt, in Bus und Bahn, Cafés oder anderen öffentlichen Orten, sind Blickschutzfolie für die betriebliche IT, wie z.B. Notebooks, empfehlenswert, da auf diese Weise dem großen Publikumsverkehr der unbefugte Einblick in personenbezogene Daten erschwert wird.
  • Datenkommunikation: Ferner sollte geregelt werden, wie und auf welchem Weg die Daten übertragen werden. Dabei ist zu berücksichtigen, dass diverse Daten nur elektronisch verschlüsselt übermittelt werden dürfen. Außerdem können nicht alle Daten zwischen der Institution und dem heimischen Arbeitsplatz transportiert werden und teilweise sind zusätzliche Schutzmaßnahmen notwendig.
  • Transport von Dokumenten und Datenträgern: Vertrauliche Daten sollten aus Sicherheitsgründen nur verschlüsselt transportiert werden. Die Art und Absicherung des Transportes ist ebenfalls in der Richtlinie festzuhalten.
  • Meldeweg: Sicherheitsrelevante Ereignisse sollten unverzüglich der zuständigen Institution gemeldet werden. Eine genaue Vorgehensweise ist im Vorfeld durch die geltenden Richtlinien zu bestimmen.
  • Zutritts- und Zugriffsrecht: Nur bestimmten sowie stellvertretenden Mitarbeitern ist der Zugriff auf die notwendigen Daten zu ermöglichen. Außerdem kann bei einem Telearbeitsplatz nicht die gleiche infrastrukturelle Sicherheit vorausgesetzt werden, wie in den Büroräumen des Unternehmens. So ist z. B. der häusliche Arbeitsplatz oft auch für Besucher oder Familienangehörige zugänglich. Deshalb müssen Maßnahmen ergriffen werden, mit denen sich ein Sicherheitsniveau erreichen lässt, das mit dem eines Büroraums zu vergleichen ist. So sollte unbefugten Personen der Zutritt in die jeweilige Räumlichkeit nicht gewährt werden, wenn personenbezogene Daten in Papierform offen einsehbar auf dem Schreibtisch.
  • Vertretungsregelung: Für alle Mitarbeiter sind Vertretungsregelungen für den Fall von Abwesenheiten anzufertigen. Die gewählten Vertreter sollten in der Lage sein, auch kurzfristig einspringen zu können und sich schnell einen Überblick über den aktuellen Stand, z.B. bezüglich der aktuellen Informationslage in dem jeweiligen Aufgabengebiet, zu informieren.  Für die Gewährleistung dieser Maßgabe müssen alle Arbeitsschritte und Ergebnisse immer sorgfältig dokumentiert und aktualisiert werden. Zusätzlich sollten zwischen dem Mitarbeiter und seinem Vertreter regelmäßig Gespräche (z.B. in Form von Videokonferenzen, o.ä.) erfolgen, um den Verwertungsprozess aktuell zu halten und zu optimieren.
  • Erstellung eines Sicherheitskonzepts: Die Sicherheitsziele des Unternehmens sollten benannt werden und der Schutzbedarf der zu bearbeitenden Daten, Informationen sowie diesbezügliche Risiken sind zu analysieren.
  • Bring your own device (BYOD) nur als Ausnahme: Die Nutzung von privaten Geräten für betriebliche Mittel sollte grundsätzlich, unabhängig von dem Einsatz im Home Office, nicht erlaubt werden, da hier die Kontrollmöglichkeiten für z.B. erforderliche Sicherheitsupdates etc. gänzlich fehlen oder eingeschränkt sind. BYOD sollte daher nur nach Absprache und in tatsächlichen erforderlichen Fällen erlaubt werden. Wichtig ist in diesem Zusammenhang, dass private Daten strikt von beruflichen Daten auf dem privaten Gerät getrennt werden.
  • Verbot privater Software: Bereits aufgrund des Lizenz- und Urheberrechts ist die Verwendung von privat erworbener Software zu verbieten. Dies gilt unabhängig von der Arbeit im Home Office und sollte dringend von Arbeitnehmern eingehalten werden.
  • Kontrolle der Sicherheitsvorgaben: Diverse Kontrollrechte sollten ferner mit den Arbeitnehmern für die Prüfung der Einhaltung der genannten technischen und organisatorischen Maßnahmen vereinbart werden.
  • Datenschutzkonforme Vernichtung & Löschung von personenbezogenen: Wenn personenbezogene Daten gelöscht oder, im Fall von analogen personenbezogenen Daten, vernichtet werden müssen, ist für das Home Office genau zu regeln, wie dies im Einzelfall erfolgen soll.

Autor

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich IT-Sicherheit, begleitend zur ISO27001, beratend tätig. 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü

Unverbindliches Angebot erhalten!

Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

Persönliche Angaben

Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

Zusätzliche Informationen

Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

 
ANGEBOT ERHALTEN