Datenschutz im Homeoffice
Datenschutz im Homeoffice* ist nicht erst seit Corona ein Thema. Und erst recht wird das Thema mit dem Ende der Pandemie verschwinden. Als Grundsatz gilt dabei: Datenschutz nicht am Ausgang deiner Betriebsräume auf. Auch für deine Mitarbeiter im Homeoffice oder auf Reisen müssen selbstverständlich entsprechende Prozesse geschaffen werden. Dasselbe gilt, wenn du als Freelancer oder digitaler Nomade irgendwo auf der Welt dein Office-Zelt aufschlägst. Beim Thema Datenschutz im Homeoffice spielen dabei in erster Linie die technischen und organisatorischen Maßnahmen eine Rolle. Diese müssen je nach Risiko und Sensibilität der Daten angepasst werden.
Die vermutlich größte Gefahr für den Datenschutz im Homeoffice ist die Verletzung der Vertraulichkeit und der Integrität personenbezogener Daten. Arbeitsunterlagen, Datenspeicher und Kommunikationsprozesse (z. B. Telefon oder Videokonferenzen und gemeinsam bearbeitete und zwischengespeicherte Dokumente) sind dabei die häufigsten Quellen für Fehler.
Unser Beitrag soll einen Überblick über das Thema geben und Dir eine erste Orientierung ermöglichen, wie du den Datenschutz im Homeoffice im mobilen Arbeiten in deinem Unternehmen umsetzen kannst.
Planung und Risikoabwägung
Noch bevor du deiner Mitarbeiterin(*) die Möglichkeit zum Homeoffice einräumst, solltest du dir Gedanken machen, welche Daten im Homeoffice wie verarbeitet werden und ob das alles rechtlich sauber ist. Dabei spielen mehrere Faktoren eine Rolle, wie Art, Umfang, Umstände und Zwecke der jeweiligen Verarbeitung, welche Rechte der betroffenen Person berührt werden, wie groß der potenzielle Schaden ist und wie hoch die Wahrscheinlichkeit der Eintritt eines Schadens ist.
Anhand dieser Faktoren machst du eine Risikoabwägung, die auch die Kosten der Implementierung unter Berücksichtigung des Standes der Technik einbezieht. Aus Basis dessen musst du dann angemessene technische und organisatorische Maßnahmen (TOM) festlegen und implementieren. Deine TOM müssen Schutz der Verarbeitung gewährleisten, indem sie die Risiken auf ein vertretbares Maß reduzieren. Du solltest dir also in jedem Fall Gedanken machen, bevor du deine Mitarbeiter ins Homeoffice schickst. Das alles umzusetzen ist gerade in Situationen, in denen es schnelle gehen muss, nicht leicht. Wenn du seit Corona noch keine Maßnahmen getroffen hast, wird es jetzt Zeit.
Was verstehen wir unter Homeoffice
Der Begriff „Homeoffice“ hat sich zwar mittlerweile durchgesetzt, ist aber gesetzlich nicht definiert. Wikipedia definiert den Begriff als Büro in den eigenen vier Wänden, bzw. Häusliches Arbeitszimmer. Die Arbeitsstättenverordnung spricht in § 2 Abs. 7 von Telearbeit und meint damit „die Arbeitgeber fest eingerichtete Bildschirmarbeitsplätze im Privatbereich der Beschäftigten, für die der Arbeitgeber eine mit den Beschäftigten vereinbarte wöchentliche Arbeitszeit und die Dauer der Einrichtung festgelegt hat“. Aus Sicht des Datenschutzes nutzen wir den Begriff als einen Oberbegriff für allgemeines, mobiles Arbeiten. Diese Ausdehnung ist wichtig, da Datenschutz weder auf das Firmengelände beschränkt ist, noch auf die „Bildschirmarbeitsplätze im Privatbereich der Beschäftigten“. Die besonderen Anforderungen des Datenschutzes gelten natürlich auch, wenn deine Mitarbeiter im Hotel sind oder Coworking im Freien machen.
Wie kannst du den Datenschutz im Homeoffice umsetzen?
Die Umsetzung des Datenschutzes im Homeoffice muss individuell erfolgen und hängt von den vorgenannten Faktoren ab. Wie bereits beschrieben, sind das A und O hier die technischen und organisatorischen Maßnahmen.
Eigenes Arbeitszimmer
Zunächst sollten deine Mitarbeiter einen geeigneten Arbeitsplatz einrichten, an dem Dokumente mit personenbezogenen Daten sicher aufbewahrt werden können. Der erste Schritt ist hier ein separates abschließbares Zimmer, zu dem im Zweifel auch nur dein Mitarbeiter Zutritt hat. Klingt einfach, wird in der Praxis bei einer normalen Wohnsituation aber regelmäßig nicht möglich sein. Wenn das nicht möglich ist, sollten Datenträger und sonstige Unterlagen zumindest in einem abschließbaren Schrank untergebracht werden.
In jedem Fall muss dein Mitarbeiter sicherstellen, dass die Daten nicht mit privaten Daten gemischt werden und dass kein unbefugter Dritter, Zugriff darauf erlangt. Dazu zählen auch Familienmitglieder.
Hardware
Die Hardware, die du deinen Mitarbeiterinnen zur Verfügung stellst, solltest du zentral administrieren.
Datenträger müssen verschlüsselt werden. Das gilt für reine Speichermedien wie USB-Stick, aber auch für Endgeräte wie Laptops oder Handys. Laptops müssen mit einem sicheren Passwortschutz versehen werden oder einem anderen geeignetem Verfahren wie Token oder Chipkarten. Bei Handys sollte eine PIN-Sperre Pflicht sein.
Geht ein mobiles Endgerät verloren, musst du Sofortmaßnahmen ergreifen. Das kann z. B. die Fernlöschung (Remote Wipe) oder auch die Sperrung sein.
Meeting
Bei Anrufen oder Videomeetings, müssen deine Mitarbeiter sicherstellen, dass andere Mitbewohner, Besucher, Nachbarn oder andere unbefugte Personen den Inhalt des Gesprächs nicht wahrnehmen können. Hierbei müsst ihr auch geöffnete Fenster berücksichtigen. Balkon, Terrasse oder Garten eignen sich nicht für solche Gespräche.
Sichtschutz
Monitore müssen so stehen, dass Andere diese nicht einsehen können. Wenn deine Mitarbeiterin mit Laptops auf Reisen arbeitet, z. B. in der Bahn, muss Sie einen Blickschutzfilter nutzen.
Verlassen des Arbeitsplatzes
Sobald deine Mitarbeiter den Arbeitsplatz verlassen, müssen Sie den Bildschirm und das System sperren. Das gilt auch dann, wenn man nur kurzfristig den Arbeitsplatz verlässt. Ist deine Mitarbeiterin auf Reisen, sollte Sie Unterlagen oder Endgeräte zumindest in Verkehrsmitteln nicht alleine lassen.
Bring Your Own Device (BYOD)
Ein besonderes Thema, nicht nur im Homeoffice und beim mobilen Arbeiten, ist BYOD (Bring Your Own Device). Auch wenn du deine Mitarbeiter nicht zwingen kannst private Geräte zu nutzen, wollen vielleicht viele das bereits von sich aus, z. B., um nicht ständig zwei Handys mitschleppen zu müssen. BYD ist ein eigenes Thema und würde den Rahmen hier sprengen. Auch hier müsst ihr jedenfalls noch einmal eine ganz eigene Risikoabwägung treffen.
Die meisten (deiner Mitarbeiter) verstehen unter BYOD wahrscheinlich den Einsatz von Endgeräten wie Laptops oder Handys. Oft vergessen wir dabei aber, dass auch von Netzwerkdruckern, Tastaturen, Mäusen oder USB-Stick eine Gefahr ausgehen kann. Der Einsatz dieser Geräte muss also ebenso geregelt sein und sollte im Idealfall untersagt werden.
Wenn ausnahmsweise unter Berücksichtigung der Risikoabwägung doch dienstliche Daten auf privaten Endgeräten verarbeitet werden, solltet ihr auch auf die datenschutzkonforme Löschung achten.
Umgekehrt solltet ihr die private Nutzung von dienstlichen Arbeitsmitteln untersagen.
Fernzugriff und Internet
Bei einem Fernzugriff auf eure Systeme solltet ihr auf ein VPN setzen. Die dafür eingesetzte Internetverbindung sollte möglichst nicht über das normale heimische W-LAN erfolgen. Entweder ihr richtet für eure Mitarbeiter eine separate Internetverbindung ein, oder zumindest ein eigenes Netz für den Zugriff auf eure Infrastruktur. Sofern eure Mitarbeiter unterwegs sind, sollten diese auf die Nutzung öffentlicher und/oder ungesicherter Netzwerke verzichten. Wenn es sich dennoch nicht vermeiden lässt, sollte zumindest ein VPN eingesetzt werden.
Backup an Recovery
Genau wie im Unternehmen solltet ihr auch im Homeoffice und unterwegs eine geeignete Backup-Recovery-Strategie haben, und diese Themen in eure Strategie integrieren.
Alexa und Co.
… haben im Homeoffice nichts zu suchen. Ende! Wenn es doch nicht anders geht, sollten die digitalen Helfer zumindest ausgeschaltet bleiben.
Schulung deiner Mitarbeiter und Richtlinien
Du solltest deine Mitarbeiter regelmäßig zum Thema Datenschutz im Homeoffice und mobiles Arbeiten schulen. Weiterhin solltest du im Unternehmen eine Richtlinie zum Datenschutz im Homeoffice einführen. Ein Muster der Richtlinie stellen wir dir hier zur Verfügung: Muster – Richtlinie Datenschutz im Homeoffice und mobiles Arbeiten. Das Dokument ist im Markdown-Format formatiert.
Auftragsverarbeitung für Dritte
Ein praktisches Problem beim Datenschutz im Homeoffice ist die Auftragsverarbeitung für Dritte. Viele Verantwortliche sehen in Ihren Auftragsdatenverarbeitungsverträgen vor, dass der Auftragsdatenverarbeiter im Homeoffice dieselben technischen und organisatorischen Maßnahmen ergreifen muss, wie in den Betriebsräumen. Das kann beim Thema IT und Hardware oft noch umgesetzt werden. Beim Thema Zutritt und Zugang können hier aber oft Probleme entstehen. Z. B. wird dein Mitarbeiter kaum die ggf. in deinem Büro installierte biometrische Zugangskontrolle im Homeoffice am Arbeitszimmer installieren. Hier müsst ihr auf eine vernünftige Ausgestaltung des Vertrages achten. Klärt solche Klauseln offen mit eurem Kunden. Wenn ihr keine Lösung findet, gibt es eigentlich zwei Möglichkeiten. Entweder der Mitarbeiter darf das Projekt nicht im Homeoffice bearbeiten oder ihr könnt den Vertrag nicht abschließen. Hier auf Lücke zu setzen, kann im Zweifel große Probleme verursachen und sollte nicht ernsthaft als Möglichkeit in Betracht gezogen werden.
Fazit
Egal, ob deine Mitarbeiter im klassischen Homeoffice arbeiten, auf Dienstreise sind oder du als digitaler Nomade auf Bali arbeitest: Datenschutz gilt auch hier und sollte ernst genommen werden. Was du und deine Mitarbeiterinnen im Zweifel alles machen müssen, kommt auf den Einzelfall an und hängt in erster Linie von der Sensibilität der verarbeiteten Daten ab.
Mehr zum Thema Datenschutz im Homeoffice
- LfDI Niedersachsen – Handlungsempfehlung für Praktiker zum technisch-organisatorischen Datenschutz – Artikel
- Berliner Datenschutzbeauftragte zu Heimarbeit während der Kontaktbeschränkungen – PDF
- Datenschutz: Plötzlich im Homeoffice – und nun? – PDF
- BSI – Homeoffice? Aber sicher! – Artikel auf der Webseite des BSI
*Wir verwenden in unseren Artikel abwechselnd die männliche und die weibliche Form.