Zugangssperre zu Daten für Dritte
Wer zu Hause arbeitet, muss beim Umgang mit Daten besondere Vorsicht walten lassen. Es ist sicher zu stellen, dass niemand anderes aus dem Haushalt Zugriff auf Unterlagen und Akten in Papierform oder zum genutzten Computer erhält. Während der Computer mit Hilfe eines Passwortes zu schützen ist, sind händische Dokumente bei Abwesenheit des Arbeitnehmers eingeschlossen aufzubewahren.
Wer die Wohnung / das Haus verlässt ist aufgefordert, Fenster zu schließen und die Haus-/ Wohnungstür zu verriegeln, um einen erhöhten Einbruchschutz zu gewährleisten und den Zugriff auf die betrieblichen Geräte und Daten zu minimieren.
Hardware im Homeoffice
- Ausgabe von Geräten dokumentieren
Wenn Geräte wie Laptops, PCs oder auch Smartphones an Mitarbeiter ausgegeben werden, muss über die einzelnen Vorgänge Buch geführt werden. Nur so kann im Fall eines Verlustes, Diebstahls oder bei Beschädigung nachvollzogen werden, welche Datenschutzverletzung vorliegen könnte. - Private Nutzung von Firmeneigentum
Wenn möglich, sollte die Hardware nicht für die private Nutzung zugelassen sein. Es gelten dieselben Regeln wie bei der privaten Internet- und E-Mail-Nutzung innerhalb des Betriebes. Wenn im Unternehmen die private Nutzung erlaubt ist, so gilt dies auch im Homeoffice. Allerdings sollte wenn möglich ein Router eingesetzt werden, der nach der entsprechenden Konfiguration eine Trennung von privater und geschäftlicher Internetnutzung ermöglicht. - Private Geräte im Homeoffice nutzen
Nicht alle Unternehmen haben ausreichend Hardware, um die Angestellten angemessen auszustatten. Trotzdem sollte versucht werden, den Einsatz privater Geräte zu minimieren – dazu gehört auch die Nutzung privater Endgeräte zum Abrufen der geschäftlichen E-Mails oder der Einsatz privater USB-Sticks zum Datentransfer. Wird eine geeignete technische Lösung integriert, die die Trennung privater und dienstlicher Daten ermöglicht, ist die Nutzung unbedenklich. Auch beim Einsatz webbasierter Lösungen mit Log-in kann vom heimischen PC aus gearbeitet werden, da die Nutzung grundsätzlich verschlüsselt stattfindet.
Der Arbeitgeber muss beachten, dass die Arbeit auf privaten Geräten nicht überwacht werden darf, wenn dadurch auch die private Nutzung unter die Kontrolle fallen würde. Grundsätzlich sollte in einer Verordnung oder Richtlinie die Erlaubnis oder das Verbot zur Nutzung privater Geräte fest definiert werden.
Software im Homeoffice
- Identitätsnachweis sicherstellen
Wer Mitarbeiter im Homeoffice arbeiten lässt, sollte über eine sogenannte 2-Faktor-Authentifizierung sicherstellen, dass der Zugriff auf unternehmenseigene Daten für Fremde verwehrt bleibt. Eine solche Authentifizierung erfolgt in der Regel über die Kombination zweier Systeme. So meldet sich der Nutzer beispielsweise mit seinem Benutzernamen an, muss seinen Zugriff aber noch über einen zweiten, über ein externes System versendeten Code, verifizieren. - Firewall, Virenschutz & Co.
Die Basics der Datensicherheit wie Firewall, Virenschutz und Bootschutz sollten stets auf dem neuesten Stand sein, alle verfügbaren Updates sind umgehend zu installieren. Nur so können die Programme ihren Dienst zuverlässig erfüllen. Wenn möglich sollte es den Mitarbeitern nicht möglich sein, Updates dieser Programme überhaupt erst zu deaktivieren. Es sollte darauf hingewiesen werden, dass bei Problemen mit diesen technischen Sicherheitseinrichtungen umgehend ein entsprechend versierter IT-Beauftragter zu benachrichtigen ist. - Bildschirmschoner
Wird der Arbeitsplatz unbeaufsichtigt gelassen, und sei es nur für ein paar Minuten, ist ein Bildschirmschoner zur automatischen Sperrung einzurichten. Diese ist nur über die Eingabe eines Passwortes aufzuheben. Grundsätzlich muss auch der Computer oder das Endgerät selbst mit einem Passwort geschützt sein. - Daten
Wer im Homeoffice personenbezogene Daten verarbeitet, muss auch die Regularien der DSGVO beachten. Folgende Punkte müssen hier Berücksichtigung finden:1. Keine betrieblichen Daten auf der lokalen Festplatte
Alternativ zur Festplatte gibt es die Möglichkeit der Virtual Desktop Infrastruktur, Webanwendungen oder den Zugriff über Terminal-Server. So kann im Fall eines Diebstahls oder Defekts der Hardware Datenmissbrauch oder -vernichtung unterbunden werden.2. Händische Akten müssen gesichert werden
Wie im Artikel 32 der DSGVO festgelegt, müssen händische Dokumente oder Datenträger auch im Homeoffice unter Verschluss gehalten und so dem Zugriff Dritter entzogen werden.3. Datenübertragung, bzw. -transport
Geht es um den Transport digitaler Daten, so sollte vom Arbeitgeber eine VPN-Verbindung zur Verfügung gestellt werden, diese stellt eine verschlüsselte Übertragung personenbezogener Daten sicher. Sollen Daten auf externen Datenträgern wie z.B. USB-Sticks oder Festplatten transportiert werden, so sind sie vorab zu verschlüsseln. Wer mit händischen Akten, Ordnern oder Unterlagen unterwegs ist, sollte einen verschließbaren Aktenkoffer nutzen und die Daten zu keinem Zeitpunkt unbeaufsichtigt lassen.4. Datenvernichtung
Müssen Unterlagen im Homeoffice vernichtet werden, so ist dem Mitarbeiter ein Aktenvernichter zur Verfügung zu stellen. Alternativ können die Daten in einem möglichst verschließbaren Gepäckstück zurück in den Betrieb gebracht und dort vernichtet werden.5. Private und firmeninterne Daten trennen
Es muss zu jedem Zeitpunkt darauf geachtet werden, dass die privaten Daten strikt von den firmeninternen Daten getrennt werden. Dies ist nicht nur für den Arbeitnehmer wichtig, um Datenschutzverletzungen vorzubeugen, auch für den Arbeitgeber und seine Kontrollrechte ist die Trennung unabdingbar. - Kontrollrecht
Eine mitunter heikle Angelegenheit ist das Recht des Arbeitgebers auf die Kontrolle der Einhaltung des Datenschutzes. Dies ist ihm gegeben und somit auch die Berechtigung, den Mitarbeiter im Homeoffice hinsichtlich der Einhaltung des Datenschutzes zu kontrollieren. Laut Grundrecht ist die Wohnung jedoch geschützt, von daher sollte sich der Arbeitgeber vom Mitarbeiter und ggf. auch von seinen Mitbewohnern das Recht zur Kontrolle einräumen lassen. Der Arbeitgeber sollte bei der Ausübung dieses Rechts jedoch stets auch das Vertrauensverhältnis zum Mitarbeiter im Hinterkopf haben und selbiges nicht zu sehr ausnutzen. - Weitere Maßnahmen für das Mobileoffice
Wer mobil unterwegs ist und auch von unterwegs personenbezogene Daten bearbeitet, muss zusätzliche Vorkehrungen treffen. Vorab ist zu klären, welche Arten von personenbezogenen Daten überhaupt für die Verarbeitung im Mobileoffice geeignet sind. Die besondere Aufsichtspflicht aufgrund erhöhter Diebstahl- oder auch Spionagegefahr gehört ebenso zu den Pflichten wie die Gewährleistung, dass keine dritten Personen unbefugt Einblick in Daten bekommen oder diese mitlesen können. Für diesen Zweck gibt es beispielsweise Sichtschutzfolien für Smartphones, Tablets und Laptops. Es bleibt die Frage, ob händische Akten und Dokumente überhaupt für das Mobileoffice zur Verfügung gestellt werden sollten.
Interne Regelungen für Angestellte
Alle bislang aufgeführten Punkte müssen für den Arbeitnehmer im Home- oder Mobileoffice verbindlich sein, eine einfache Information ist nicht ausreichend. Idealerweise sollte es zum Thema Datenschutz im Homeoffice eine vertragliche Vereinbarung mit dem Arbeitnehmer geben. Hierzu können die datenschutzrechtlichen Bestimmungen in die Homeoffice Vereinbarung mit den entsprechenden Mitarbeitern aufgenommen werden. Diese sollte als Erweiterung zum Arbeitsvertrag im Rahmen der Ausweitung der Tätigkeit in die heimischen Räumlichkeiten aufgesetzt werden. Folgende Punkte sollten enthalten sein:
- Erlaubnis, im Home- oder Mobileoffice zu arbeiten
- Festlegung der Arbeitszeiten im Home- oder Mobileoffice (inkl. Pausenzeiten)
- Gestaltung des Arbeitsbereiches und mögliche Nutzung privater Geräte
- Erreichbarkeit für Vorgesetzte und Kollegen sowie Kunden
- Festlegung der Besichtigung des Arbeitsplatzes durch den Arbeitgeber