Homeoffice/Mobile Office – Beantwortung verschiedener Fragestellungen – Teil 2 Datenschutz
- 5 Minuten Lesezeit
Welche Vorkehrungen müssen in Bezug auf den Datenschutz getroffen werden?
Wie oben bereits angekündigt, machen die Themen Datenschutz und Sicherheit von Daten nicht an der Unternehmenstür halt. Gerade bei der Einrichtung eines Homeoffice-Arbeitsplatzes hat der Arbeitgeber die Gewährleistung der Datensicherheit sicherzustellen und zwar durch ein Datenschutz- / IT-Sicherheitskonzept, das auch geeignete technische und organisatorische Maßnahmen (TOM) vorsieht.
Dazu gehört beispielsweise, dass sich der Arbeitnehmer dazu verpflichtet, Schränke mit Schloss bereitzustellen, die Internetverbindung nur über VPN oder Tunnellösungen herzustellen, oder Passwörter nicht frei zugänglich aufzubewahren. Auch dürfen ganz banale Dinge nicht vergessen werden: Ausdrucke mit betrieblichen Informationen gehören nicht in den Papierkorb im Homeoffice, oder auf den Tisch im Café. Dieses Problembewusstsein bei den mobil Arbeitenden zu schaffen, gestaltet sich aber in der Praxis schwierig. Wer hat nicht schon bei einer Fahrt mit der Bahn erlebt, wie auf Laptops ohne besonderen Sichtschutz gearbeitet wird, oder lautstark geschäftliche Telefonate geführt werden, so dass jeder Mitfahrende über Interna des Geschäftes Bescheid wusste. Es geht nicht nur um die Einhaltung des Datenschutzes, sondern gerade auch um den Schutz der Geschäftsgeheimnisse und der Internas.
Auch bei der zu nutzenden Software sollte man sich vorher Gedanken machen. Es gelten andere Parameter und Ansprüche als im Privatleben. Was bei der privaten Nutzung unbedenklich erscheint, ist für die Datensicherheit von unternehmensbezogenen Daten unter Umständen ein Problem. So greifen Dienste wie WhatsApp z. B. auch unbemerkt auf alle Kontakte auf dem Diensthandy zu und sollten besser gar nicht erst installiert werden.
Auf der anderen Seite hat der Mitarbeiter neben der Pflicht zum Datenschutz beim mobilen Arbeiten aber auch ein eigenes Recht auf Datenschutz. Der Arbeitgeber darf die Betriebsmittel und Arbeitsleistung nur unter Berücksichtigung der datenschutzrechtlichen Vorschriften kontrollieren.
Neben den oben kurz angerissenen Aspekten lohnt es sich bezüglich des Datenschutzes im Homeoffice bzw. Mobile Office die Themengebiete „personenbezogene Daten“, „Hardware“ und „Software“, detaillierter anzuschauen und gesondert zu berücksichtigen.
1. Personen-/Unternehmensbezogene Daten
- Die zur Verarbeitung im Homeoffice genutzten personen- bzw. auch unternehmensbezogenen Daten dürfen nur dem betreffenden Arbeitnehmer zugänglich sein. Das bedeutet, dass der Arbeitnehmer die Akten und auch die betrieblichen Geräte nur selbst nutzen und einsehen darf. Der Arbeitnehmer muss daher bei Anwesenheit anderer Personen in der Wohnung die betrieblichen Geräte sperren und Papierakten einschließen, auch wenn er diese nur kurz verlässt. Falls er selbst die Wohnung verlässt und die anderen Personen weiterhin anwesend sind, muss er die Akten und die betrieblichen Geräte dauerhaft einschließen. Um die Sicherheit zu gewährleisten, wenn der Mitarbeiter die Wohnung verlässt, sind außerdem die Fenster zu schließen und die Wohnungstür abzuschließen. Dies soll die erhöhte Gefahr des unbefugten Zugriffs auf Daten, beispielsweise durch Einbrüche, minimieren.
- Wenn personenbezogene Daten im Homeoffice entsorgt werden sollen, ist die Beschaffung eines Aktenvernichters in Erwägung zu ziehen. Der Papierkorb im heimischen Büro ist nicht ausreichend! Alternativ können die Daten natürlich auch wieder zum Unternehmen zurücktransportiert werden, um sie dort sicher zu vernichten. Für den Transport von verkörperten Daten (z. B. Ausdrucke) sollte eine verschlossene Tasche oder ein Aktenkoffer verwendet werden.
- Gerade im Mobile Office sollten Blickschutzfilter z. B. mittels einer speziellen Folie selbstverständlich sein, aber auch fürs Homeoffice wäre diese sinnvoll einzusetzen.
- Im öffentlichen Raum sollten unternehmensbezogene Telefonate nur dort stattfinden, wo wirklich niemand mithören kann.
2. Hardware
- Die Ausgabe von vom Betrieb bereitgestellten Geräten jeglicher Art sollte in jedem Fall dokumentiert werden, denn nur so kann bei Verlust oder Diebstahl überhaupt nachvollzogen werden, welche Ausmaße der Verlust und die daraus resultierende mögliche Datenschutzverletzung hat.
- Grundsätzlich sollte der Einsatz von privaten Geräten zur Verarbeitung oder Speicherung von Daten vermieden werden. Dazu gehört beispielsweise die Nutzung eines privaten PCs oder Smartphones zum Abrufen betrieblicher E-Mails, oder auch die Verwendung privater USB-Sticks. Bei der Verwendung von Web-Logins dagegen kann ein Zugriff auch über private Geräte erfolgen, da diese Nutzung immer automatisch verschlüsselt stattfindet. Dagegen darf der Arbeitgeber die Arbeit auf dem Gerät nicht überwachen (z. B. Protokolldaten auswerten), wenn dort auch private Daten verarbeitet werden und diese privaten Daten ebenfalls von der Kontrolle des Arbeitgebers erfasst wären. Sie sehen, bei diesem Thema gibt es einiges zu beachten. Daher empfehlen wir, die Nutzung privater Endgeräte zu beruflichen Zwecken für beide Seiten eindeutig und nachvollziehbar zu regeln, bevorzugt mit Hilfe von Richtlinien oder Vereinbarungen.
3. Software
Um das Risiko des Zugriffs eines Unbefugten auf unternehmenseigene Daten zu minimieren, sollte eine Zwei-Faktor-Authentisierung eingerichtet sein, die dem Identitätsnachweis des Mitarbeiters im Homeoffice dient. Bei dieser Form der Authentisierung muss sich ein Nutzer mittels einer Kombination aus zwei unterschiedlichen und voneinander unabhängigen Authentifizierungsmethoden ausweisen, z. B. mit biometrischen Daten oder einem Code, der über ein separates Programm erzeugt oder versendet wird.
- Unverzichtbar für die ausreichende Datensicherheit sind natürlich eine ständig aktivierte und aktualisierte Virenschutzsoftware, eine Firewall und ein Bootschutz. Bestenfalls sollte der Mitarbeiter technisch gar nicht in der Lage sein, diese Systeme eigenständig zu deaktivieren. Sollte eine dieser Maßnahmen nicht ordnungsgemäß arbeiten, ist die IT-Abteilung zu kontaktieren.
- Empfohlen wird auch eine automatische Sperrung des Bildschirms bei Abwesenheit bzw. die Verpflichtung des Mitarbeiters zu einer manuellen Sperrung. Dies gilt für jeden Arbeitsplatz, sowohl in der Firma, ganz besonders aber natürlich für Homeoffice und Mobile Office.
- Grundsätzlich sollten überhaupt keine Daten auf dem lokalen Rechner gespeichert werden. So erschwert man im Falle von Verlust oder Diebstahl den unbefugten Zugriff auf die Daten.
- Wenn Daten übertragen werden müssen, muss dies auf sichere Art und Weise geschehen. Entweder über eine sichere Verbindung zum Firmennetzwerk über eine VPN-Verbindung oder eine anderweitige Verschlüsselung. Die Trennung von privaten und unternehmenseigenen Daten ist empfehlenswert, da sich sonst die Gefahr einer Datenschutzverletzung durch eine Verwechslung, oder einen anderen einfachen menschlichen Fehler stark erhöht.
Fazit
Sie merken: die Verantwortlichkeit des Arbeitgebers für die Einhaltung von datenschutzrechtlichen Vorgaben endet nicht damit, dass die Datenverarbeitung teilweise auf Homeoffice- oder Mobile Office-Arbeitsplätze ausgelagert wird. Obwohl der Bereich des Mobile Office weniger eindeutig definiert und weniger stark reglementiert ist, ist er nicht frei von Vorschriften, die zu befolgen sind. Insgesamt gilt es, die geeigneten Rahmenbedingungen für eine erfolgreiche Verlagerung des Arbeitsplatzes zu schaffen, da diese Flexibilität für viele Arbeitgeber und Arbeitnehmer in der derzeitigen Krise unabdingbar ist.
Artikel teilen: