Drei schnelle Fragen zum datenschutzkonformen Arbeiten im Homeoffice

Warum ist Datenschutz im Homeoffice so wichtig?

Bis zu 40 % der Beschäftigten, die in 2020 im Homeoffice¹ tätig waren, streben gemäß einer Untersuchung der Initiative D21 und anderen Umfragen auch nach der Corona-Krise einen Homeoffice-Arbeitsplatz an, zumindest an einigen Tagen der Woche. Man kann also davon ausgehen, dass Homeoffice auch nach der Corona-Krise ein wichtiges Thema bleiben wird. Gründe hierfür sind beispielsweise der Wegfall von Wegzeiten sowie die bessere Vereinbarkeit von Familie und Beruf. Auch wenn in Deutschland in letzter Zeit viel darüber diskutiert wurde, gibt es bisher keinen gesetzlichen Anspruch auf Homeoffice. Es liegt aber auch im Unternehmensinteresse, die Anliegen zu prüfen. Bei der Gewährung von Homeoffice gilt es, klare Regelungen und Konzepte zu implementieren:

Aspekte des Datenschutzes müssen geregelt sein, denn die DSGVO schützt personenbezogene Daten, und das überall. Deshalb müssen Unternehmen sicherstellen, dass Beschäftigte am heimischen Arbeitsplatz die Datenschutzrichtlinien genauso beachten und einhalten wie im Büro.

Was sind grundlegende technische und organisatorische Regelungen für ein DSGVO-konformes Arbeiten im Homeoffice?

Da für das Arbeiten im Homeoffice prinzipiell dieselben Anforderungen an Datenschutz und IT-Security wie im Büro des Arbeitsgebers gelten, ist es sinnvoll, die Homeoffice-Tätigkeit als voll elektronische Datenverarbeitung ohne Medienbruch auszugestalten. D.h. die Kommunikation mit dem Arbeitgeber, die Entgegennahme von Aufgaben, der Umgang mit personenbezogenen Daten und die Übermittlung der Arbeitsergebnisse sollten automatisiert mit Hilfe von IT-Einrichtungen und über verschlüsselte elektronische Kommunikationswege stattfinden. Dadurch entfällt die Notwendigkeit, Papierunterlagen zu transportieren, was ein hohes Risiko des Verlusts, der Beschädigung sowie der unbefugten Kenntnisnahme birgt. Grundsätzlich gilt: je sensibler und damit schützenswerter personenbezogene Daten sind, desto stärker sind sie zu schützen und desto stringenter sollten die organisatorischen Maßnahmen ausgestaltet sein. Das Risiko kann darüber hinaus minimiert werden, wenn durch den Arbeitgeber im Rahmen der erforderlichen technisch-organisatorischen Maßnahmen (Art. 32 DSGVO) zumindest die folgenden Vorgaben erfüllt sind:

• Zugang der Berechtigten zu den sensiblen personenbezogenen Daten nur mit PIN und hardwarebasiertem Vertrauensanker (Zwei-Faktor-Authentifizierung).
• Verbindung ausschließlich über ein sogenanntes Virtual Private Network (VPN).
• Verschlüsselung der Daten (Ende-zu-Ende-Sicherheit) inkl. Ablageverschlüsselung auf dem mobilen Gerät.
• Sperrung von USB-Zugängen und anderen Anschlüssen.
• Keine Anbindung von Druckern.
• Keine Nutzung von privater Hard- und Software für berufliche Zwecke, (möglichst) keine private Nutzung der beruflich zur Verfügung gestellten IT-Ausstattung.
• Regelmäßige Schulung/Fortbildung der Beschäftigten zum datensicheren und datenschutzgerechten Umgang mit mobilen Geräten.

Was sind die wichtigsten Voraussetzungen, damit datenschutzkonformes Arbeiten im Homeoffice gelingt?

Hierfür sind ein klares Homeoffice-Konzept und klare Regeln notwendig. Es sollte klar sein, welche Tätigkeiten als „Homeoffice-fähig“ angesehen werden bzw. welche Beschäftigtengruppen in welchem Umfang zu Homeoffice berechtigt sind, und wie im Homeoffice datenschutzkonform gearbeitet werden kann und was den Mitarbeitenden dazu zur Verfügung gestellt werden muss. Die (arbeitsrechtlichen) Regeln werden in der Betriebsvereinbarung und im Arbeitsvertrag oder im Anhang zum Arbeitsvertrag vereinbart während ein datenschutzkonformes Homeoffice-Konzept für das Unternehmen unter Beteiligung von HR, IT, BR und dem/der Datenschutzbeauftragten des Unternehmens erarbeitet werden sollte.

Hierbei sind die Beachtung der o.g. technisch organisatorischen Maßnahmen wichtig, aber auch die Frage, welche Geräte das Unternehmen den Mitarbeitenden zur Verfügung stellen möchte (hier spreche ich von dem unter Datenschutzgesichtspunkten zu privilegierenden Konzept „Choose your own device (CYOD)“) und welche Regeln das Unternehmen für die Beschäftigten in Bezug auf den Umgang mit diesen Geräten aufstellen möchte (z.B. ob das Unternehmen es den Mitarbeitenden gestattet, diese Geräte auch privat zu nutzen und falls dies der Fall ist, in welchem Umfang). Ferner sollten für das Homeoffice Ansprechpartner:innen im Unternehmen festgelegt bzw. ein Service Desk hiermit betraut werden und dies sollte den Homeoffice-berechtigten Beschäftigten kommuniziert werden. Dies ist beispielsweise bei dem Verlust von Geräten oder bei Schwierigkeiten mit der Hard- und Software wichtig.

Zudem sollte die Employee Awareness geschult werden. Zu Hause sind Beschäftigte den gleichen oder gar mehr Risiken ausgesetzt wie im Büro. Es ist daher umso wichtiger, dass sie ausreichend für das Thema Informationssicherheit (Fraud, Pishing, Smishing etc.) sensibilisiert und im Umgang mit personenbezogenen Daten im Homeoffice geschult sind.

Erfahren Sie hier mehr über Datenschutz mit der digitalen Personalakte.

¹ Unter Homeoffice wird eine Form des mobilen Arbeitens verstanden. Sie ermöglicht es Beschäftigten, nach vorheriger Abstimmung mit dem Arbeitgeber zeitweilig im Privatbereich, z. B. unter Nutzung von Notebooks, für den Arbeitgeber tätig zu sein. Beim mobilen Arbeiten können die Beschäftigten von einem beliebigen Ort aus arbeiten (z.B. beim Kunden, im Café, in öffentlichen Verkehrsmitteln).

Kontakt: sabine.rueffer@num3rus.com