Datenschutz im Homeoffice: Tipps für die richtige Umsetzung

118
Datenschutz im Homeoffice: Tipps für die richtige Umsetzung
© MQ-Illustrations– stock.adobe.com

Im Zuge der voranschreitenden Digitalisierung spielt das Thema Datenschutz im Homeoffice auch nach der Corona-Pandemie eine zunehmend wichtige Rolle. Um Bußgelder durch Verstöße gegen die DSGVO zu vermeiden, sollten Unternehmen ihre Datenschutzmaßnahmen jetzt prüfen und anpassen.

Die Digitalisierung schreitet immer weiter voran und hat durch die Pandemie einen zusätzlichen Schub erfahren. Aufgrund der Corona-Schutzverordnungen waren zahlreiche Unternehmen dazu veranlasst, die Arbeit ihrer Angestellten ins Homeoffice zu verlagern. Auch für die Zukunft ist absehbar, dass das Arbeitsplatzmodell für Unternehmen und ArbeitnehmerInnen interessant bleibt.

Aus der DSGVO ergeben sich datenschutzrechtliche Anforderungen in Hinblick auf das Homeoffice, die oftmals jedoch nicht ausreichend berücksichtigt werden. Sollten ArbeitnehmerInnen auch weiterhin im Homeoffice arbeiten, sind ArbeitgeberInnen spätestens jetzt in der Pflicht, Nachbesserungen beim Datenschutz vorzunehmen. Nur so können sie Verstößen und beträchtlichen Geldbußen effektiv vorbeugen.

Welche Änderungen ergeben sich im Homeoffice?

Die Arbeit im eigenen Heim ist aus Sicht des Datenschutzrechts mit einigen Risiken verbunden, denn die DSGVO gilt unabhängig vom Arbeitsort. Auch wenn MitarbeiterInnen im Homeoffice arbeiten, sind ArbeitgeberInnen weiterhin verantwortlich für die Verarbeitung der Daten und die Einhaltung der datenschutzrechtlichen Bestimmungen.

EXTRA: 5 Tipps, wie du Sicherheitsrisiken durch „Remote Work“ vermeiden kannst

Dies stellt eine besondere Herausforderung dar, denn das Risiko unberechtigter Zugriffe durch Dritte steigt im Homeoffice maßgeblich. Zudem haben ArbeitgeberInnen nicht die unmittelbare Kontrolle über die Datenverarbeitung sowie die Gegebenheiten am Arbeitsplatz. Personenbezogene Daten sind durch technische und organisatorische Maßnahmen entsprechend zu schützen. Hierzu zählen:

  • Namen und Adressen von MitarbeiterInnen und KundInnen
  • IP-Adressen
  • andere Meta-Daten, die beim Aufrufen von Internetseiten oder bei der Nutzung von Anwendungsprogrammen durch MitarbeiterInnen entstehen

Strengere Kontrollen der Datenschutz-Aufsichtsbehörden erfordern Nachbesserungen am Homeoffice-Arbeitsplatz

Die Corona-Pandemie hat im vergangenen Jahr dazu geführt, dass viele Unternehmen das Thema Homeoffice überstürzt angehen mussten.

Eine Umfrage des Handelsblatts unter den Datenschutzbeauftragten von Bund und Ländern hat ergeben, dass 2020 die Zahl der Bußgeldbescheide wegen Verstößen gegen die DSGVO um rund 60 Prozent gestiegen ist. ArbeitgeberInnen, die ihren MitarbeiterInnen weiterhin Homeoffice anbieten wollen, müssen sich in diesem Zusammenhang künftig auf strengere Überprüfungen einstellen.

Die während der Pandemie umgesetzten Homeoffice-Maßnahmen sollten spätestens jetzt überprüft und gegebenenfalls nachgebessert werden. Hier können im besten Fall spezialisierte RechtsanwältInnen oder externe Datenschutzbeauftragte hinzugezogen werden. Alternativ besteht die Möglichkeit, einen Mitarbeiter oder eine Mitarbeiterin im Datenschutzrecht auszubilden.

Homeoffice und Datenschutz

Unternehmen sollten grundsätzliche Regelungen zum Datenschutz im Homeoffice treffen, zum Beispiel durch eine Homeoffice-Richtlinie. Zum anderen ist eine Sensibilisierung der MitarbeiterInnen bezüglich der Datenschutzrisiken erforderlich, da viele Datenpannen auf das unvorsichtige Handeln von MitarbeiterInnen zurückführen sind.

Bei einem tatsächlichen Verstoß gegen den Datenschutz wird dieser bei Vorhandensein einer Homeoffice-Richtline und Sensibilisierung der MitarbeiterInnen anders bewertet. Kann das nicht nachgewiesen werden, wird von einem sogenannten Organisationsverschulden gesprochen, das bei der Höhe des Bußgeldes eine zentrale Rolle spielt. Damit ist die Erstellung einer Homeoffice-Richtlinie ein erster wichtiger Schritt, um das Risiko bei der Datenverarbeitung im Homeoffice zu minimieren.

EXTRA: 3 Jahre DSGVO: Empfehlungen für mehr Datensicherheit bei KMU

Als Ergänzung der allgemeinen betrieblichen Datenschutzbestimmungen regelt die Homeoffice-Richtlinie die umzusetzenden organisatorischen und technischen Maßnahmen, wobei sie abhängig von der Formulierung bereits teilweise als Sensibilisierung der MitarbeiterInnen gelten kann. Sie regelt unter anderem die:

  • Zugangssicherung der technischen Geräte
  • betriebliche und private Nutzung von PCs, Laptops etc.
  • erforderlichen Zutrittsrechte in das Homeoffice der MitarbeiterInnen zur Regelung von zumindest theoretischen Kontrollmöglichkeiten bezüglich der Einhaltung der Datenschutzbestimmungen

Die wichtigsten Inhalte einer Homeoffice-Richtlinie

Viele MitarbeiterInnen leben nicht allein, sondern gemeinsam mit Familie oder MitbewohnerINnen in einem Haushalt. Oft haben auch Reinigungskräfte oder HandwerkerInnen Zutritt zum Heimarbeitsplatz. Umso wichtiger ist es, den Zugriff auf betrieblich genutztes Equipment durch Dritte zu verhindern und dies in der Homeoffice-Richtlinie zu regeln. Der verwendete Computer ist beispielsweise beim Verlassen des Arbeitsplatzes zu sperren, Zugangskarten und Unterlagen mit personenbezogenen Daten sollten sicher verwahrt und nicht sichtbar abgelegt sowie Passwörter nicht notiert werden.

Des Weiteren ist in der Homeoffice-Richtlinie die betriebliche und private Nutzung von Geräten und Software zu regeln. Betriebsdaten sollten grundsätzlich nicht auf privaten USB-Sticks und eigenen Cloud-Speichern, sondern ausschließlich in Ordnern und Verzeichnissen des Firmenservers bzw. zentralen IT-Systems gespeichert werden. Die Übertragung der Daten zwischen Homeoffice und Firmenstandort ist entsprechend dem aktuellen Technikstand zu verschlüsseln.

EXTRA: Die DSGVO: Umsetzung, Datenschutzbeauftragte und aktuelle Änderungen

Um das Risiko von Schadsoftware in der Betriebsumgebung zu minimieren, sollten private Geräte grundsätzlich nicht mit dem Arbeitscomputer verbunden werden. Die Weiterleitung von beruflichen Mails auf private Benutzerkonten ist ebenso zu unterlassen wie die Entsorgung von Ausdrucken im Hausmüll.

Mit einer Vorlage die Homeoffice-Richtlinie einfach erstellen

Für die richtige Umsetzung einer Homeoffice-Richtline kann eine konkrete Anleitung empfehlenswert sein.

Elmar Sommerfeld
Elmar Sommerfeld ist Rechtsanwalt mit langjähriger Erfahrung im Datenschutz sowie Geschäftsführer und Ausbildungsleiter der LUTOP Datenschutz Akademie GmbH aus Essen. Das LUTOP Datenschutz Institut hat sich auf hochwertige Ausbildungen, Beratungsangebote und Praxislösungen im Bereich Datenschutz spezialisiert. Als externe Datenschutzbeauftragte für Unternehmen aus unterschiedlichen Branchen sind die Experten mit den Herausforderungen des Themas vertraut und haben Lösungen für einen effizienten und kostengünstigen Datenschutz entwickelt.

Kommentiere den Artikel

Bitte gib deinen Kommentar ein!
Bitte gib hier deinen Namen ein

Der Artikel hat dir gefallen? Gib uns einen Kaffee aus!