Richtlinie Datenschutz im Homeoffice und mobiles Arbeiten

Name des Unternehmens

Geltungsbereich

Die Richtlinie Datenschutz im Homeoffice und mobiles Arbeiten gilt für unser gesamtes Unternehmen. Sie verpflichtet alle Mitarbeitenden bei dienstlichen Tätigkeiten außerhalb der Räumlichkeiten des Unternehmens (mobiles Arbeiten), ganz gleich, ob diese Tätigkeit während einer Reise z. B. in Bus oder Bahn stattfindet oder im Homeoffice. Dies gilt insbesondere für Reisetätigkeiten und Tätigkeiten im Homeoffice.

Ziele der Richtlinie

Mitarbeitende unseres Unternehmens haben die Möglichkeit, ihre dienstliche Tätigkeit auch außerhalb unserer Betriebsräume auszuführen.

Mit dieser Richtlinie möchten wir sicherstellen, dass unsere Mitarbeitenden die Risiken des mobilen Arbeitens und des Arbeitens außerhalb der Geschäftsräume erkennen und entsprechend behandeln.

Regelungen für mobiles Arbeiten

Für das mobile Arbeiten und das Arbeiten im Homeoffice (nachfolgend insgesamt als mobiles Arbeiten bezeichnet) werden durch uns IT-Systeme zur Verfügung gestellt. Die Nutzung privater IT-Systeme und Datenträger ist grundsätzlich untersagt, sofern nicht eine explizite Ausnahmeregelung existiert. Dies gilt für alle privaten IT-Systeme.

IT-Systeme im Sinne dieser Richtlinie sind alle Endgeräte und dazugehörige Peripheriegeräte, die Mitarbeitende für mobiles Arbeiten einsetzen. Hierzu zählen vorwiegend Laptops und Notebooks, PCs und Smartphones sowie Monitore, Drucker, Tastaturen und Speichermedien (z. B. USB-Stick).

Akten im Sinne dieser Richtlinie sind alle analog gespeicherten Daten.

Es gelten folgende Regelungen:

  • Daten, die auf IT-Systemen gespeichert werden, sind, sofern technisch möglich, zu verschlüsseln. Die Verschlüsselung muss nach den Vorgaben der IT-Abteilung erfolgen.
  • IT-Systeme selbst sind, sofern technisch möglich, zu verschlüsseln. Externe Speichermedien sind ausnahmslos zu verschlüsseln. Die Verschlüsselung muss nach den Vorgaben der IT-Abteilung erfolgen.
  • Die Überlassung des IT-Systems an Dritte ist untersagt.
  • Die Verbindung des IT-Systems mit internen IT-Systemen darf nur über eine VPN-Verbindung erfolgen.
  • Die Einsichtnahme in Bildschirme und Monitore ist zu unterbinden. Sofern möglich ist das IT-System an einem Ort zu nutzen, an dem eine Einsicht durch Dritte ausgeschlossen ist (z. B. separater Raum). Sofern die Nutzung eines separaten Raumes nicht möglich ist, müssen Blickschutzfilter eingesetzt werden. Kann auch durch Blickschutzfilter eine Einsicht nicht ausgeschlossen werden (z. B. Sichtfeld durch hintere Reihen in Bus, Flugzeug, Bahn), sind weitere geeignete Maßnahmen zu treffen oder die Datenverarbeitung zu unterlassen.
  • Eine unverschlüsselte Speicherung von sensiblen Daten ist nur in Ausnahmefällen nach vorheriger Genehmigung durch den Vorgesetzten zulässig.
  • Daten sind nach unseren internen Vorgaben auf IT-Systemen zu sichern.
  • Im Homeoffice muss ein verschließbarer Raum/Schrank genutzt werden. IT-Systeme und Akten sind dort aufzubewahren.
  • Akten sind während des Transports in einem verschlossenen Transportbehälter aufzubewahren.

Meldung von Diebstahl und Verlust

Jeder Mitarbeiter ist verpflichtet, einen Verlust oder Diebstahl eines mobilen Systems umgehend nach Kenntniserlangung zu melden. Die Meldung muss ohne schuldhaftes verzögern so schnell wie möglich erfolgen.

Diese Richtlinie wird mindestens jährlich vom Datenschutz- und Informationssicherheitsteam auf Aktualität geprüft und bei Bedarf angepasst, beschlossen und erneut bekannt gegeben.

Lead Forensics und Datenschutz