Datenschutz Verstehen – Datenschutz im Homeoffice umsetzen
Einleitung
Das Homeoffice ist vielen Branchen und darüber hinaus auch in den Medien ein aktuell sehr gefragtes Thema. Aktuell fällt in vielen Unternehmen auf, dass das Coronavirus dazu geführt hat, die Digitalisierung in Deutschland schneller zu forcieren, als es vor dem Ausbruch des Coronavirus (Sars-CoV-2 bzw. Covid 19) der Fall war. Laut dem Statistischen Bundesamt waren im Jahr 2021 rund 25% aller Erwerbstätigen gelegentlich im Homeoffice und 10% sogar täglich. In unserem heutigen Blogbeitrag erfahren Sie, was genau Homeoffice bedeutet, welche Vorteile und Risiken das Homeoffice für Unternehmen darstellt und wie das Homeoffice datenschutzkonform in die Unternehmenskultur integrieren können.
Was ist Homeoffice?
Unter Homeoffice wird jede Tätigkeit verstanden, welche auf die Informations- und Kommunikationstechnik gestützt und dabei ganz oder teilweise außerhalb der Geschäftsräume und Gebäude des Arbeitgebers verrichtet wird. Meist sind Arbeitnehmer dabei regelmäßig auf Tages- oder Stundenbasis abwechselnd an Ihrem Arbeitsplatz in der Firma oder an einem frei wählbaren und geeigneten Arbeitsplatz, der sich häufig in den eigenen vier Wänden befindet, beruflich tätig. In Deutschland werden hierfür häufig die Begriffe Telearbeit oder Heimarbeit, zuletzt häufiger auch mobiles Arbeiten, verwendet. Der Arbeitnehmer kommuniziert in dieser Zeit virtuell via E-Mail, Kurznachrichtendiensten (wie z.B. Slack) oder über das Telefon mit Kunden und Arbeitskollegen. Die Arbeitsmittel, wie z.B. firmeneigene Smartphones oder Notebooks/Tablets, werden in der Regel von dem Arbeitgeber bereitgestellt. Doch was muss beachtet werden, um ein sicheres Arbeiten aus dem Homeoffice gemäß den datenschutzrechtlichen Vorgaben gewährleisten zu können?
Homeoffice und mobiles Arbeiten, was ist der Unterschied?
Mobiles Arbeiten lässt sich durch den Wortlaut „mobil“ sehr gut vom Homeoffice abgrenzen. Mobiles Arbeiten ist durch die zur Verfügung stehende Mobilität eines einzelnen Arbeitnehmers gekennzeichnet. Die Arbeit kann überall verrichtet werden, im Café, im Zug, in der Küche, aber auch zum Beispiel im Park. Wichtig hierbei ist lediglich, dass der Auftrag erfüllt wird, jedoch nicht wo oder wann. Hierbei gelten die allgemeinen Arbeitsschutzvorschriften sowie das Arbeitszeitgesetz.
Homeoffice ist ebenfalls eine flexible Arbeitsform, bei der die Beschäftigten ihre Arbeit vollumfänglich oder teilweise aus dem privaten Umfeld heraus ausführen.
Dafür muss ein fest installierter Arbeitsplatz und eine Ausrüstung von Arbeitgeber zur Verfügung stehen. Der Arbeitnehmer muss ebenfalls dort erreichbar sein. Im Homeoffice gelten die Arbeitsschutzvorschriften sowie die Arbeitsstättenverordnung und das Arbeitszeitgesetz. Weiterhin muss das Datenschutzrecht beachtet werden.
Homeoffice und Datenschutz
Um beantworten zu können, ob und in welcher Form Schutzmaßnahmen ergriffen werden müssen, um die Umsetzung des sicheren Homeoffice gewährleisten zu können, sollte zuerst herausgefunden werden, mit welchen Daten der jeweilige Mitarbeiter bei der Arbeit zu Hause in Berührung kommen wird. Vorsicht ist dann geboten, wenn es sich um personenbezogene Daten gem. Art. 4 Nr. 1 DSGVO handelt. Noch riskanter ist die Verarbeitung von oder Kategorien von personenbezogenen Daten gem. Art. 9 Abs. 1 DSGVO oder Sozialdaten nach § 67 Abs. 1 SGB X. Daraus ergibt sich, dass auch die TOMs beachtet werden sollten. TOM ist die Abkürzung für „technisch-organisatorische Maßnahmen“ und soll die Sicherheit der Verarbeitung von personenbezogenen Daten gewährleisten. Weiterhin ist die Wahrung des Betriebsgeheimnisses des jeweiligen Unternehmens essenziell. Sollten jedoch Daten anonymisiert verarbeitet werden, ist die Tätigkeit im Homeoffice aus datenschutzrechtlicher Sicht weniger brisant. Grundsätzlich ist aber festzuhalten, dass durch die Verarbeitung dieser Daten Risiken für die Persönlichkeitsrechte der Betroffenen entstehen können, weshalb stets eine Einzelfallentscheidung notwendig ist.
Vorteile im Homeoffice
Das Homeoffice bringt viele Vorteile mit, so z.B. die Verringerung von Arbeitswegen der Arbeitnehmer. Die Mitarbeiter verbringen weniger Zeit in nervenaufreibenden Staus und sind nicht mehr von Verspätungen der öffentlichen Verkehrsmittel oder anderen Vorkommnissen betroffen. Durch diesen zeitlichen Vorteil können Mitarbeiter entspannter in den Arbeitsalltag starten und haben bestenfalls am Ende des Tages, aufgrund des wegfallenden Arbeitsweges, mehr von ihrer Freizeit, was zu einer Steigerung der generellen Zufriedenheit und damit auch der Produktivität führt. Zusätzlich können hohe Kosten eingespart werden: Speziell die Betriebskosten eines eigenen PKW nehmen einen hohen Anteil der monatlichen Kosten eines Arbeitnehmers in Anspruch. Auch bei Firmenwagen sinken diese Kosten, wodurch auf Dauer Einsparungen für das Unternehmen entstehen. Die Kosten der Tickets für öffentliche Verkehrsmittel entfallen aus Sicht der Arbeitnehmer ebenfalls.
Außerdem werden Beschäftigte durch die Tätigkeit im Home-Office weniger durch ihre Arbeitskollegen abgelenkt und können sich mehr auf ihre täglichen Arbeitsaufgaben fokussieren. Ablenkungen durch Privatgespräche, z.B. während der Wartezeit am Kaffeeautomaten, kosten Zeit, die bei der Heimarbeit sinnvoller genutzt werden kann. Im Verhältnis zu Großraumbüros finden Arbeitnehmer in ihren eigenen vier Wänden häufig ein viel ruhigeres Umfeld, wodurch auch die Konzentration effektiv gesteigert wird. Darüber hinaus kann der Arbeitgeber durch die Bereitstellung von einigen Arbeitsgeräten, wie z.B. eines Notebooks, ein Gerät für gleich zwei Arbeitsplätze gleichzeitig zur Verfügung stellen. Ein Notebook bietet demnach den Vorteil, dass es im Gegensatz zu einer Workstation jederzeit mitgenommen werden kann. Um dennoch im Büro ggf. auf mehreren Bildschirmen arbeiten zu können, verwenden viele Unternehmen bereits Dockingstations, um die Verbindung zwischen den Geräten bereitzustellen. Auf diese Weise haben Arbeitnehmer flexible Optionen für die Erfüllung der täglichen Aufgaben.
Bedingungen für Homeoffice
Jobs mit der Möglichkeit, teilweise von zuhause aus zu arbeiten, sind bei Arbeitnehmern sehr gefragt. Jedoch gibt es auch zahlreiche datenschutzrechtliche Bedingungen für Arbeitnehmer im Homeoffice. Dokumente jeglicher Art dürfen nicht auf privaten Speichermedien, sondern ausschließlich auf Servern oder der Hardware des Arbeitgebers gespeichert werden. Damit verbunden ist der Zugriff auf die IT-Infrastruktur des Arbeitgebers, sollte dieser jedoch nicht zur Verfügung stehen, ist das verschlüsselte Speichern personenbezogener Daten vorausgesetzt. Weiterhin ist das Drucken im Homeoffice auf ein Minimum zu beschränken. Gedruckte Dokumente sollten nach Gebrauch schnellstmöglich wieder vernichtet werden, jedoch keinesfalls im privaten Müll, sondern in speziellen Aktenvernichtung Geräten.
Nicht jede Tätigkeit kann im Homeoffice ausgeübt werden. Dennoch gibt es sehr viele Tätigkeiten, die hervorragend im Homeoffice erledigt werden können. Fast die Hälfte aller Homeoffice Jobs werden im Vertrieb und Verkauf angeboten. Grundsätzlich handelt es sich dabei um Berufe, die dennoch eine gewisse Mobilität des Arbeitnehmers, z.B. für Kundenbesuche, erfordern. Informatiker haben generell gute Chancen auf Heimarbeit. Ein Fünftel der Jobs im Homeoffice sind im IT-Bereich angesiedelt. Gerade größere IT-Unternehmen sind für Ihre flexible Arbeitsweise bekannt. Häufig gibt es in Konzernen dieser Art keine festen Arbeitsplätze, vielmehr stellen die Arbeitgeber ihren Mitarbeitern Flächen für Projektarbeiten zur Verfügung, sodass die Arbeit flexibel und abwechslungsreich gestaltet werden kann. Zudem wird die Anwesenheit der Mitarbeiter meist nicht mehr vorausgesetzt. Je nach individuellem Wunsch arbeiten die Mitarbeiter nämlich von Zuhause aus oder an einem ihren Anforderungen entsprechenden Arbeitsplatz. Dabei ist es irrelevant, wo sich dieser Ort befindet, ob im Büro oder zum Beispiel in einem Café. Bei kreativen Berufen, wie z.B. Grafikdesignern oder Marketing-Mitarbeitern, können ebenfalls Aufgaben in das Homeoffice verlagert werden. Ausnahmen gibt es vor allem in handwerklichen Berufen, wo die Präsenz der Arbeitnehmer für die Tätigkeit notwendig ist. In dieser Branche werden überwiegend spezielle Arbeitsgeräte in Werkstätten benötigt oder die Arbeiten müssen vor Ort bei Kunden erledigt werden.
Datenschutz-Risiken im Homeoffice
Bei der Einrichtung und Nutzung von Homeoffice kann es zu elementaren Gefahren kommen, wenn entsprechende Sicherheitsmaßnahmen nicht etabliert werden. Wir geben Ihnen eine kurze beispielhafte Übersicht der Risiken im Homeoffice, die es zu bedenken bzw. zu vermeiden gilt:
- Ausspähen von Informationen (Spionage)
- Fehlplanung oder fehlende Anpassung
- Offenlegung schützenswerter Informationen
- Manipulation von Hard- oder Software
- Manipulation von Informationen
- Unbefugtes Eindringen in IT-Systeme
- Fehlerhafte Zerstörung von Geräten oder Datenträgern
- Ausfall von Geräten oder Systemen
- Unberechtigte Nutzung oder Administration von Geräten und Systemen
- Fehlerhafte Nutzung oder Administration von Geräten und Systemen
- Missbrauch von Berechtigungen
- Personalausfall
- Verhinderung von Diensten (Denial Service)
- Datenverlust
- Integritätsverlust schützenswerter Informationen
- Unbefugter Zugriff auf Personaldaten, Kundendaten
- Unbefugter Zugriff auf Geschäftsgeheimnisse
Jedoch sind diese Risiken immer abhängig von der Art der personenbezogenen Daten, die im jeweiligen Unternehmen verarbeitet werden.
Datenpanne im Homeoffice
Bei der Arbeit im Homeoffice kann es gelegentlich zu Datenpannen kommen, da die Sicherheitsstandards zu Hause allgemein geringer gehalten sind als in einem optimierten Büro. Die unbefugte Kenntnisnahme von personenbezogenen Daten durch Dritte ist im Homeoffice wesentlich wahrscheinlicher als im Büro. Zu Hause halten sich regelmäßig Personen auf, die nicht dem jeweiligen Unternehmen des Arbeitnehmers angehören. Weiterhin sind Cyberangriffe im Homeoffice sehr beliebt, da häufig der private Internetzugang genutzt wird, welcher in der Regel nicht denselben Sicherheitsstandards wie im Büro zugrunde liegt. Sollte es nun zu einer ungewollten Datenpanne im Homeoffice kommen, sind die Beschäftigten verpflichtet, diese unverzüglich dem Datenschutzbeauftragten ihres Unternehmens mitzuteilen.
Datenschutz im Homeoffice umsetzen
Damit der Datenschutz im Homeoffice auch effizient umgesetzt werden kann, müssen Arbeitgeber und Arbeitnehmer ihren Teil dazu beitragen. Der Arbeitgeber sollte den Beschäftigten zu Beginn der Homeoffice-Tätigkeit einige Richtlinien bereitstellen, an welchen sich der Beschäftigte orientieren kann. Eventuell ist auch eine Datenschutz-Folgenabschätzung durchzuführen. Weiterhin trägt der Arbeitgeber die Verantwortung (Sorgfaltspflicht) für den Beschäftigten, es sei denn dieser verhält sich sorgfaltswidrig, indem er zum Beispiel Kundendaten in einem privaten Chat teilt. Um Fragen und Probleme der Beschäftigten effektiv und einheitlich beantworten zu können, sollte ebenfalls ein Datenschutzbeauftragter allgemein bekannt sein, an welchen sich die Beschäftigten jederzeit wenden können. Darüber hinaus sollten diverse Datenschutz-Schulungen angeboten werden, welche für ein höheres Schutzniveau sorgen. Die Beschäftigten erhalten so eine Sensibilisierung für die räumliche Sicherheit, die technische Sicherheit und den Datentransport.
Um die sicherheitstechnischen Anforderungen zum Schutz der zu bearbeitenden Daten sicherzustellen, sind für die Umsetzung von Homeoffice in Ihrem Unternehmen unter anderem folgenden Maßnahmen zu treffen:
Schritt 1: Begrenzte Autorisierung von Personen
Der Rechner darf nur von autorisierten Personen genutzt werden. Somit wird sichergestellt, dass die Daten und Informationen nur von festgelegten Benutzern gespeichert und geändert werden können. Autorisierte Personen wären demnach der Administrator des Rechners sowie der benannte Stellvertreter.
Schritt 2: Autorisierte Zwecke
Nicht genehmigte Programme dürfen von dem Benutzer ohne eine entsprechende Autorisierung der IT-Abteilung nicht installiert werden. Der Benutzer des jeweiligen Notebooks oder PCs im Homeoffice darf nur Zugriff auf autorisierte Funktionen haben, sodass zusätzliche Schäden durch Fehlbedienung oder Missbrauch minimiert oder gänzlich verhindert werden.
Schritt 3: Schäden aufgrund von Diebstahl oder Defekten
Da sich die Rechner im Homeoffice in einer weniger geschützten Umgebung befinden (z.B. privates WLAN-Netzwerk) als in einem verschlossenen Büro, sollten Schäden aufgrund eines Diebstahls oder Defekts weitgehend tolerabel sein. Damit die Vertraulichkeit sowie die Verfügbarkeit der Daten so wenig wie möglich darunter leiden, sollten Daten nicht lokal gespeichert und stets auf den jeweiligen Unternehmens-Servern abgelegt werden.
Schritt 4: Manipulationen
Um sicherzustellen, dass der Rechner in einem anständigen Zustand verbleibt, müssen offensichtlich versuchte oder erfolgte Manipulationen durch den Benutzer erkennbar sein.
Um das Arbeiten im Homeoffice sicher zu gestalten, müssen bestimmte Sicherheitsmechanismen aktiviert werden. Das gilt sowohl für den verwendeten Client (PC, Notebook) als auch für die Übermittlung von Daten an die Server des Unternehmens. Folgende Konfigurationen sollten an dem jeweiligen verwendet, Endgerät beachtet und verwendet werden, um die Arbeit im Homeoffice sicher zu gestalten:
Es ist essentiell, dass Passwörter sicher verwaltet werden. Diese dürfen keinesfalls unverschlüsselt auf dem Rechner gespeichert werden. Auch die Anzahl von Fehleingaben muss beschränkt sein. Ist z.B. drei mal hintereinander ein falsches Passwort eingegeben worden, sollte der Zugang dauerhaft oder in zunehmendem Zeitfenstern gesperrt werden. Außerdem sollten bestimmte Vorgaben existieren, wie ein sicheres Passwort zu gestalten ist. Nach zeitweiliger Inaktivität durch den Benutzer ist dieser automatisch abzumelden, sodass ein Zugang erst nach einer erneuten Eingabe der Anmeldedaten möglich ist.
Um das Arbeiten im Homeoffice so sicher wie möglich zu gestalten, ist es empfehlenswert, etwaige Grundsätze einzuhalten. Die Türen, welche Zutritt zum Homeoffice verschaffen, sollten nach dem Arbeiten und während der Pausen nach Möglichkeit verschlossen sein, damit ein Zutritt Unbefugter vermieden werden kann. Weiterhin sollten datenschutzrelevante und firmeninterne Unterlagen weggeschlossen werden. Ebenfalls versteht sich, dass Telefonate sowie Gespräche im Homeoffice nicht in Anwesenheit von Dritten durchzuführen sind. Gegebenenfalls hat der Arbeitgeber in seinen Arbeitsverträgen ein Betretungsrecht für die Arbeitsräume im Homeoffice des Beschäftigten verfasst. Besteht eine solche Klausel, hat der Arbeitgeber seine Beschäftigten dementsprechend darauf hinzuweisen.
Der Rechner sollte zwischen verschiedenen Rollen der Benutzer unterscheiden können. Es sollten mindestens zwei Benutzer mit unterschiedlichen Rechten eingereicht werden, der Administrator und zusätzlich noch ein weiterer Mitarbeiter, welcher diesen Rechner z.B. als Vertretung verwendet.
Der Zugriff auf die Dateien und Programme sollte durch eine Rechtestruktur eingeschränkt werden, sodass der Mitarbeiter, je nach Bedarf, diese lesen, schreiben oder ausführen kann. Außerdem muss geprüft werden, ob das zu verwendende Gerät für den vorliegenden Schutzbedarf überhaupt geeignet ist. Smartphones und Tablets verfügen nämlich meist nicht über eine derartige Rechtestruktur.
Folgende Aktionen sowie eventuell auftretende Fehler sollten parametrisierbar protokolliert werden:
- Bei jeder erfolgten und versuchten Autorisierung (Benutzer-Kennung, Datum und Uhrzeit, Art des Zugriffs, Änderungen)
- Durchführungen von Administrator-Tätigkeiten
- Auftreten von Fehlern
Die Protokollierung darf keinesfalls durch unbefugte Personen deaktiviert werden. Zudem sollte die Historie für unbefugte Personen weder lesbar noch modifizierbar sein, die Protokollierung ist stets vollständig, korrekt und gut strukturiert zu führen.
Bei der Auswertung muss es möglich sein, die Daten nach der Art zu filtern (z.B. alle unberechtigten Zugriffe der letzten 2 Wochen). Die auswertbaren Berichte müssen jederzeit auf unberechtigte Zugriffe überprüft werden können.
Eine automatische Verschlüsselung sollte immer vorgezogen werden. Voraussetzung hierfür ist, dass ein Verschlüsselungsprodukt eingesetzt wird, welches einen Datenverlust bei Fehlfunktionen (Stromausfall, Abbruch der Verschlüsselung) systemseitig verhindert.
Zudem sollten folgende Anforderungen an die Verschlüsselung erfüllt werden:
- Der ausgewählte Verschlüsselungsalgorithmus sollte den Anforderungen des Unternehmens genügen.
- Das Schlüsselmanagement muss mit der Funktionalität des eingesetzten Rechners übereinstimmen.
- Der Rechner muss die sicherheitskritischen Parameter sicher verwalten. So dürfen Schlüssel (mittlerweile auch nicht mehr benutzte) nie ungeschützt, d.h. auslesbar, abgelegt werden.
Gedruckte Dokumente oder sensible Daten/Informationen müssen unbedingt vor Einsicht Unbefugter geschützt werden und dürfen daher nicht offen auf dem jeweiligen Arbeitsplatz im Homeoffice abgelegt werden.
Das Betriebssystem sowie alle vorhandenen Programme (vor allem sicherheitsrelevante Software wie z.B. Virenschutzprogramme) sollten stets auf dem neuesten Stand gehalten werden. Sicherheitsupdates sind unbedingt durchzuführen.
Die Firewall (oft nur eine Fritzbox im Homeoffice) des Rechners sollte jederzeit aktiviert sein und unter keinen Umständen deaktiviert werden. Ein Zugriff per VPN sollte auf das Unternehmensnetzwerk eingerichtet werden.
Falls die private Nutzung des vom Arbeitgeber bereitgestellten Rechners erlaubt wurde, ist die Trennung von privaten und unternehmenseigenen Daten zu gewährleisten. Wir raten allerdings von einer Erlaubnis für die private Nutzung des Firmenrechners ab.
Um eine absichtliche Manipulation am Rechner feststellen zu können, sollte unbedingt ein Verfahren zur Integritätsprüfung eingesetzt werden.
Zusätzlich müssen bei der Datenübertragung Mechanismen eingesetzt werden, mit deren Hilfe absichtliche Manipulationen an den Adressfeldern und den Benutzerdaten erkannt werden. Daneben darf die bloße Kenntnis der eingesetzten Algorithmen ohne spezielle Zusatzkenntnisse nicht ausreichen, um unerkannte Manipulationen an den oben genannten Daten vornehmen zu können.
Jeder Rechner sollte über einen solchen Schutz verfügen, damit ein unbefugter Boot-Vorgang von Wechseldatenträgern nicht durchgeführt werden kann.
Eine administrierte Fernwartung sollte nur autorisiert ausführbar sein. Zudem muss bei diesem Prozesse eine Authentisierung des Fernwartungspersonals, die Verschlüsselung der übertragenen Daten und eine Protokollierung der Administrationsvorgänge erfolgen.
Sollte eine zeitliche Verzögerung bei der Übertragung der Daten untolerierbar sein, kann ein redundant ausgelegtes öffentliches Kommunikationsnetz als Übertragungsweg ausgewählt werden, sodass ein Ausfall einzelner Verbindungsstrecken nicht ein Totalausfall der Kommunikation bedeutet.
Um eine Bestätigung bei einem erfolgten Datenempfang oder einer erfolgten Datenübertragung zu erhalten, können Quittierungsmechanismen eingesetzt werden, aus denen hervorgeht, ob die Daten erfolgreich übermittelt worden sind.
Muster Datenschutzrichtlinie Homeoffice
Laden Sie unsere Mustervorlagen für eine Datenschutzrichtlinie im Homeoffice runter und sichern Sie sich ab.
Checkliste: Datenschutz Homeoffice
Um die erforderlichen Sicherheitsstandards im Homeoffice zu gewährleisten, sollten in Ihrem Unternehmen konkrete Regelungen aufgestellt werden. Hierbei sind verschiedene arbeitsrechtliche, arbeitsschutzrechtliche und insbesondere datenschutzrechtliche Rahmenbedingungen zu beachten. Umstrittene Punkte sollten durch zusätzliche Betriebsvereinbarungen oder durch individuelle Vereinbarungen im Arbeitsvertrag geregelt werden. Diese Richtlinie sollte unter anderem folgende Punkte enthalten:
- Sichere Passwörter: Die Verwendung von sicheren Passwörtern muss für Mitarbeiter verpflichtend sein. Die Sicherheitsvorgaben sollten sich an den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) orientieren: Mindestens acht Stellen, Groß- und Kleinschreibung, Sonderzeichen und eine Zahl. Ein regelmäßiger Wechsel wird zwar weiterhin empfohlen, nicht aber ein Wechsel des Passworts in einem Rhythmus von drei Monaten.
- Sicheres Passwortmanagement: Passwörter sollten von Mitarbeitern mittels einer Passwort-Management-Software, wie z.B. Keepass, verwaltet werden. Durch die Festlegung eines sicheren Master-Passwortes haben Arbeitnehmer auf diese Weise Zugang zu allen für sie relevanten Passwörtern.
- Berechtigungskonzepte: Für alle für das Homeoffice relevanten Anwendungen sollten Berechtigungskonzepte entwickelt werden, die einen gestuften Umgang der Mitarbeiter gewährleisten. Das Grundprinzip in diesem Zusammenhang lautet, dass jeder nur den Umfang an Berechtigung für die jeweilige Anwendung haben soll, die diese Person tatsächlich für die Erledigung der täglichen Aufgaben benötigt.
- W-LAN-Netzwerk: In der Regel wird im Homeoffice das eigene private W-Lan-Netzwerk für die Erledigung der täglichen Aufgaben verwendet. Hier ist darauf zu achten, dass dieses Netzwerk über entsprechende Sicherheitsmechanismen verfügt, wie z.B. eine Verschlüsselung durch ein sicheres Passwort (mindestens 20-stellig), damit unbefugte Personen nicht in das private Netzwerk eindringen können, um sich auf diese Weise über den Firmen-Rechner einen Zugang in das Firmennetzwerk zu verschaffen.
- Sichere VPN-Verbindung: Der Zugang in das Firmennetzwerk sollte nur durch eine sichere und verschlüsselte Virtual Private Network (VPN) Verbindung ermöglicht werden. So sollte für jede Verbindung ein zuvor gewähltes, sicheres Passwort abgefragt werden.
- Arbeitszeitregelung: Im Homeoffice sollten genaue Arbeitszeiten vertraglich festlegen werden, damit Arbeitskollegen genau wissen, wann sie ihre Kolleginnen und Kollegen im Homeoffice erreichen können
- Reaktionszeiten: Es sollte genau geregelt sein, in welchen Abständen Informationen (wie z.B. Mails) abgerufen und in welchem Zeitraum darauf reagiert werden soll.
- Phishing: Durch das vermehrte Auftreten von Phishing-Mails werden Krisen-Situationen ausgenutzt, um Ihre sensiblen Daten und das Zurücksetzen von Passwörtern etc. abzugreifen.
- Remote-Zugriff: Damit die Mitarbeiter ihren dienstlichen Aufgaben nachkommen können, muss der Rechner auf interne Ressourcen der Institution zugreifen können. Um einen sicheren Fernzugriff auf das Netz der Institution zu ermöglichen, muss daher ein abgesicherter Remote-Zugang eingerichtet werden.
- Support: Um die Einsatzfähigkeit der Mitarbeiter im Homeoffice zu gewährleisten, sollte ein Ansprechpartner für Hard- und Softwareprobleme im Unternehmen benannt werden.
- Arbeiten mit fremden IT-Systemen / Netzwerken: Ein Umgang mit der Arbeit in institutionsfremden IT-Systemen / Netzwerken ist zu regeln, um ein gewisses Schutzniveau aufrecht zu erhalten und die Mitarbeiter über Gefahren im Zusammenhang mit der Verwendung dieser aufzuklären.
- Umgang mit vertraulichen Informationen: Da vertrauliche Informationen im Homeoffice sowohl analog als auch digital bearbeitet werden, müssen diese vor unbefugtem Zugriff und anderen Sicherheitsrisiken geschützt werden.
- Arbeitsmittel & Datenträger: Es ist zu regeln, welche Arbeitsmittel benutzt werden dürfen und welche Arbeitsmittel in keinem Fall verwendet werden dürfen. Die betriebliche Verwendung der geschäftlichen E-Mail-Konten ist stets erlaubt, jedoch nicht die private Nutzung. Außerdem sollte die Verwendung von privaten Datenträgern komplett untersagt werden, die auf keinen Fall an betriebliche IT, wie z.B. Notebooks, angeschlossen werden sollten. Über die Herausgabe von betrieblichen Datenträgern sollte ein Verzeichnis geführt werden.
- Datensicherung: In regelmäßigen Abständen sind die gespeicherten Daten auf den unternehmensinternen Servern zu sichern. Zusätzlich sollte gewährleistet sein, dass immer eine Version der Datei bei der Institution hinterlegt wurde. Sollte eine Datensicherung durch einen Fernzugriff zur Institution bereitgestellt werden und kein erhöhter Schutzbedarf notwendig sein, kann von einer lokalen Datensicherung absehen werden.
- Synchronisation von Datenbeständen: Daten, die sowohl in der Institution als auch im Homeoffice bearbeitet werden, müssen in geeigneten Abständen synchronisiert werden. Dies muss jedoch genauestens geplant werden, damit keine Konflikte oder Datenverluste bei der Bearbeitung oder Übertragung entstehen. Hier empfehlen wir den Einsatz einer sicheren Software.
- Datenschutz-Schulungen: Die Mitarbeiter sind auch im Homeoffice dazu verpflichtet, sich an die geltenden Datenschutzvorschriften zu halten. In diesem Zusammenhang empfehlen wir, im Rahmen von Schulungen, Unterweisungen oder sonstigen Aktivitäten die Mitarbeiter besonders auf die datenschutzrechtlichen Risiken im Homeoffice hinzuweisen und für sichere Maßnahmen für den Schutz von personenbezogenen Daten zu sensibilisieren. Der Datenschutzbeauftragte ist der ideale Ansprechpartner für eine derartige Unterweisung.
- Aktualisierung von Software und Systemen: Alle verwendeten Programme, Tools, Systeme, wie z.B. Firewalls oder Virenerkennung, sollten stets auf die neueste Version aktualisiert werden, um stets die neuesten Sicherheitsverbesserungen für die jeweilige Software bzw. das jeweilige System zu erhalten.
- Schutz von Betriebsmitteln: Arbeitnehmer müssen im Homeoffice besonders darauf achten, dass unbefugte Personen sich keinen Zugang zu betrieblichen Geräten, wie z.B. einem Smartphone oder Notebook, verschaffen. Diese Gefahr betrifft besonders mobile betriebliche Arbeitsmittel.
- Blickschutzfolien: Besonders für die mobile Arbeit, falls erlaubt, in Bus und Bahn, Cafés oder anderen öffentlichen Orten, sind Blickschutzfolie für die betriebliche IT, wie z.B. Notebooks, empfehlenswert, da auf diese Weise dem großen Publikumsverkehr der unbefugte Einblick in personenbezogene Daten erschwert wird.
- Datenkommunikation: Ferner sollte geregelt werden, wie und auf welchem Weg die Daten übertragen werden. Dabei ist zu berücksichtigen, dass diverse Daten nur elektronisch verschlüsselt übermittelt werden dürfen. Außerdem können nicht alle Daten zwischen der Institution und dem heimischen Arbeitsplatz transportiert werden und teilweise sind zusätzliche Schutzmaßnahmen notwendig.
- Transport von Dokumenten und Datenträgern: Vertrauliche Daten sollten aus Sicherheitsgründen nur verschlüsselt transportiert werden. Die Art und Absicherung des Transportes ist ebenfalls in der Richtlinie festzuhalten.
- Meldeweg: Sicherheitsrelevante Ereignisse sollten unverzüglich der zuständigen Institution gemeldet werden. Eine genaue Vorgehensweise ist im Vorfeld durch die geltenden Richtlinien zu bestimmen.
- Zutritts- und Zugriffsrecht: Nur bestimmten sowie stellvertretenden Mitarbeitern ist der Zugriff auf die notwendigen Daten zu ermöglichen. Außerdem kann bei einem Telearbeitsplatz nicht die gleiche infrastrukturelle Sicherheit vorausgesetzt werden, wie in den Büroräumen des Unternehmens. So ist z. B. der häusliche Arbeitsplatz oft auch für Besucher oder Familienangehörige zugänglich. Deshalb müssen Maßnahmen ergriffen werden, mit denen sich ein Sicherheitsniveau erreichen lässt, das mit dem eines Büroraums zu vergleichen ist. So sollte unbefugten Personen der Zutritt in die jeweilige Räumlichkeit nicht gewährt werden, wenn personenbezogene Daten in Papierform offen einsehbar auf dem Schreibtisch liegen.
- Vertretungsregelung: Für alle Mitarbeiter sind Vertretungsregelungen für den Fall von Abwesenheiten anzufertigen. Die gewählten Vertreter sollten in der Lage sein, auch kurzfristig einspringen zu können und sich schnell einen Überblick über den aktuellen Stand, z.B. bezüglich der aktuellen Informationslage in dem jeweiligen Aufgabengebiet, zu informieren. Für die Gewährleistung dieser Maßgabe müssen alle Arbeitsschritte und Ergebnisse immer sorgfältig dokumentiert und aktualisiert werden. Zusätzlich sollten zwischen dem Mitarbeiter und seinem Vertreter regelmäßig Gespräche (z.B. in Form von Videokonferenzen, o.ä.) erfolgen, um den Verwertungsprozess aktuell zu halten und zu optimieren.
- Erstellung eines Sicherheitskonzepts: Die Sicherheitsziele des Unternehmens sollten benannt werden und der Schutzbedarf der zu bearbeitenden Daten, Informationen sowie diesbezüglichen Risiken ist zu analysieren.
- Bring your own device (BYOD) nur als Ausnahme: Die Nutzung von privaten Geräten für betriebliche Mittel sollte grundsätzlich, unabhängig von dem Einsatz im Homeoffice, nicht erlaubt werden, da hier die Kontrollmöglichkeiten für z.B. erforderliche Sicherheitsupdates etc. gänzlich fehlen oder eingeschränkt sind. BYOD sollte daher nur nach Absprache und in tatsächlichen erforderlichen Fällen erlaubt werden. Wichtig ist in diesem Zusammenhang, dass private Daten strikt von beruflichen Daten auf dem privaten Gerät getrennt werden.
- Verbot privater Software: Bereits aufgrund des Lizenz- und Urheberrechts ist die Verwendung von privat erworbener Software zu verbieten. Dies gilt unabhängig von der Arbeit im Homeoffice und sollte dringend von Arbeitnehmern eingehalten werden.
- Kontrolle der Sicherheitsvorgaben: Diverse Kontrollrechte sollten ferner mit den Arbeitnehmern für die Prüfung der Einhaltung der genannten technischen und organisatorischen Maßnahmen vereinbart werden.
Datenschutzkonforme Vernichtung und Löschung von personenbezogenen: Wenn personenbezogene Daten gelöscht oder, im Fall von analogen personenbezogenen Daten, vernichtet werden müssen, ist für das Homeoffice genau zu regeln, wie dies im Einzelfall erfolgen soll.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.