Das ist beim Datenschutz alles zu beachten
Sicherheit im Homeoffice
Unternehmen sehen sich aufgefordert, ihren Mitarbeitenden das Arbeiten von zu Hause aus zu ermöglichen, wo immer dies betrieblich machbar ist. Der TÜV SÜD erklärt, was dabei zu beachten ist, um beim Datenschutz auf der sicheren Seite zu sein.
Zu Beginn der Pandemie mussten viele Mitarbeitende oft sehr kurzfristig ihren Arbeitsplatz ins Homeoffice verlagern. In dieser für alle Beteiligten neuen Situation wurde viel improvisiert. Inzwischen ist klar: Das Homeoffice wird auch langfristig eine wichtige Rolle in unserer Arbeitswelt einnehmen. Unternehmen sollten deshalb ihre Arbeitsprozesse so gestalten, dass sie auch beim mobilen Arbeiten weiterhin die seit Mai 2018 geltenden Anforderungen der Datenschutzgrundverordnung (EU-DSGVO) bei der Verarbeitung personenbezogener Daten einhalten.
»Bisher gab es nur wenige Bußgelder. Aber die Coronakrise darf mittlerweile kein Grund mehr sein, die Anforderungen der EU-DSGVO zur Datenverarbeitung nicht einzuhalten, wenn von zu Hause aus gearbeitet wird«, erklärt Mareike Vogt, Fachexpertin für Datenschutz TÜV SÜD. »Unternehmen sollten ihre technischen und organisatorischen Maßnahmen (TOM) entsprechend für eine rechtskonforme Verarbeitung von personenbezogenen Daten auch an Heimarbeitsplätzen anpassen. Kleinere Unternehmen mit wenig Ressourcen sollten dabei im Zweifel auch die Hilfe unabhängiger externer Experten nutzen, bevor sie das Risiko von Bußgeldern oder eines Imageschadens eingehen.«
Folgende Punkte zum Datenschutz sollten Unternehmen und Mitarbeitende bei der Arbeit im Homeoffice beachten:
Sichere IT-Infrastruktur
Dem Arbeitnehmer sollten betriebliche Arbeitsmittel zur Verfügung gestellt werden, mit denen er sich ins Unternehmensnetz einwählen kann. Idealerweise handelt es sich dabei um ein in sich geschlossenes Virtual Private Network (VPN). Falls im Einzelfall ein Mitarbeiter doch sein eigenes Gerät nutzen muss, um zu arbeiten, sollten auch hier entsprechende Maßnahmen getroffen werden.
Schulungen sensibilisieren gegen Phishing
Die Angriffsfläche für Phishingattacken wächst, sobald vermehrt im Homeoffice gearbeitet wird. Für den verantwortungsvollen Umgang mit sensiblen Daten sollten daher sämtliche Mitarbeiter verstärkt gegen solche Bedrohungen geschult werden.
Vereinbarungen zum Homeoffice treffen
Mit Mitarbeitern, die zeitweise von zu Hause aus arbeiten, sollte eine Vereinbarung zur künftigen Arbeit im Homeoffice getroffen werden. Darin müssen im Einzelfall zutreffende Pflichten und vereinbarte Schutzvorkehrungen dokumentiert werden. Um dies datenschutzrechtlich von Anfang an sicher zu gestalten, sollte eine solche Regelung am besten von Beginn an getroffen und unterschrieben werden oder dies schnellstmöglich nachgeholt werden. Neben allgemeinen Maßnahmen zum Schutz, kann in einer solchen Vereinbarung auch ein Kontrollrecht des Arbeitgebers über den bestehenden Heimarbeitsplatz vereinbart werden.
Private und geschäftliche Daten trennen
Private und geschäftlichen Daten sollten getrennt sein. Auch hier sollten am besten alle Maßnahmen individuell innerhalb einer getroffenen Vereinbarung dokumentiert werden.
Regeln für Auftragsdatenverarbeitung beachten
Verarbeitet ein Unternehmen für ein anderes im Auftrag personenbezogene Daten, muss weiterhin beachtet werden, was innerhalb des Auftragsverarbeitungsvertrags vereinbart wurde - unter anderem die technischen und organisatorischen Maßnahmen (TOM) dürfen auch in solchen Situationen nicht unterschritten werden.
Kontrolle im Homeoffice: Was ist erlaubt?
Persönliche Kontrollbesuche sind nur erlaubt, wenn der Besuch vorher abgesprochen und nicht bloß angekündigt wurde. Keylogger-Software, die jeden Tastaturanschlag speichert und den Bildschirm hin und wieder fotografiert, ist ebenfalls nur erlaubt, wenn ein konkreter Anlass vorliegt und der Einsatz der Software kommuniziert wurde. Zugriff auf geschäftlichen E-Mail-Verkehr darf der Chef immer einfordern; sind E-Mails jedoch durch den Betreff bereits klar als privat erkenntlich, dürfen diese auch bei Verbot der E-Mail-Privatnutzung nicht einfach gelesen werden.
Eine Kontrolle, ob private Mails verschickt wurden, ohne Einsicht, ist jedoch möglich. Ebenso möglich ist es, den Browser-Verlauf des Dienst-Laptops auszuwerten - nicht jedoch des privaten Computers. Programme wie z. B. Microsoft Teams zeigen zudem an, wer gerade online ist. In jedem Fall ist bei solchen Maßnahmen der Betriebsrat und der Datenschutzbeauftragte mit einzubeziehen.
»Letzten Endes zeigen diese Punkte deutlich, dass im besten Fall eine schriftliche Vereinbarung zwischen den Mitarbeitern und der Firmenführung getroffen wird, in der alle Aufgaben, Kontrollmöglichkeiten und sonstigen Regularien festgelegt werden, um Klarheit zu schaffen«, sagt Mareike Vogt. »Unabhängige Experten können auch dabei unterstützen.« TÜV SÜD/nd
Mehr Informationen über die Leistungen von TÜV SÜD im Bereich Datenschutz sind verfügbar unter: www.tuvsud.com/de-de/dienstleistungen/cyber-security/datenschutz .
Das »nd« bleibt. Dank Ihnen.
Die nd.Genossenschaft gehört unseren Leser*innen und Autor*innen. Mit der Genossenschaft garantieren wir die Unabhängigkeit unserer Redaktion und versuchen, allen unsere Texte zugänglich zu machen – auch wenn sie kein Geld haben, unsere Arbeit mitzufinanzieren.
Wir haben aus Überzeugung keine harte Paywall auf der Website. Das heißt aber auch, dass wir alle, die einen Beitrag leisten können, immer wieder darum bitten müssen, unseren Journalismus von links mitzufinanzieren. Das kostet Nerven, und zwar nicht nur unseren Leser*innen, auch unseren Autor*innen wird das ab und zu zu viel.
Dennoch: Nur zusammen können wir linke Standpunkte verteidigen!
Mit Ihrer Unterstützung können wir weiterhin:
→ Unabhängige und kritische Berichterstattung bieten.
→ Themen abdecken, die anderswo übersehen werden.
→ Eine Plattform für vielfältige und marginalisierte Stimmen schaffen.
→ Gegen Falschinformationen und Hassrede anschreiben.
→ Gesellschaftliche Debatten von links begleiten und vertiefen.
Seien Sie ein Teil der solidarischen Finanzierung und unterstützen Sie das »nd« mit einem Beitrag Ihrer Wahl. Gemeinsam können wir eine Medienlandschaft schaffen, die unabhängig, kritisch und zugänglich für alle ist.