Datenschutz im Homeoffice - was Unternehmen beachten müssen - mit Datenschutz-Checkliste Homeoffice

15.01.2020
Die Digitalisierung schreitet auch in den Büros immer weiter voran. Und mit ihr die Anforderungen eines örtlich ungebundenen Arbeitens. Wir nennen das gerne Telearbeit, mobiles Arbeiten oder Homeoffice. Viele Unternehmen sind diesen Schritt bereits gegangen oder stehen kurz davor. Technisch ist diese Art zu Arbeiten heute kein großes Problem mehr - im Bezug auf den Datenschutz ergeben sich jedoch einige Herausforderungen.

Newsletter

Mit unserem Datenschutz-Newsletter bleiben Sie immer auf dem Laufenden.

Zur Anmeldung ...
Update 20.03.2020: Richtlinie Homeoffice zum kostenlosen Download ergänzt

Laptop, Smartphone, Internetverbindung. Mehr braucht es in der heutigen Zeit nicht, um bequem von überall auf der Welt arbeiten zu können. Was für digitale Nomaden gilt, kann ebenso auf beinahe jedes Unternehmen übertragen werden. Moderne Softwarelösungen unterstützen bei der internen und externen Kommunikation, schnelle Internetverbindungen erlauben einen Zugriff auf Unternehmensdaten binnen kürzester Zeit. Umso wichtiger ist es für Verantwortliche zu wissen, dass die Datenschutzanforderungen außerhalb des eigenen Betriebs identisch mit denen innerhalb der eigenen Unternehmenswände sind. Die verantwortliche Stelle muss alle technischen und organisatorischen Maßnahmen ergreifen, um personenbezogene Daten vor unberechtigter Einsicht, Manipulation oder Verlust zu schützen (Art. 32 DSGVO).

Anforderungen an den Arbeitgeber (verantwortliche Stelle)

Der Arbeitgeber ist für die Verarbeitung personenbezogener Daten verantwortlich. Ihm obliegt es auch zu entscheiden, ob Homeoffice im Unternehmen erlaubt ist. Dabei müssen die folgenden Punkte beachtet werden:

IT-Ausstattung durch das Unternehmen
Mitarbeiter dürfen grundsätzlich nicht von ihren privaten Endgeräten auf Unternehmensdaten zugreifen. Der Arbeitgeber hat dafür Sorge zu tragen, dass der Mitarbeiter mit allen notwendigen Betriebsmitteln ausgestattet wird. Nur so ist es dem Arbeitgeber möglich, gesetzte Sicherheitsstandards auf den Endgeräten zu garantieren

Verschlüsselung von Festplatten
Damit im Fall eines Verlusts keine Unternehmensdaten in Gefahr sind, sollte die Festplatte verschlüsselt werden. Windows bietet mit dem Programm Bitlocker eine eigene Lösung ohne Zusatzprogramme. Gleiches gilt im übrigen ebenso für USB-Sticks oder mobile Festplatten.

Sicheres Kennwort für Login
Um Geräte vor dem umbefungten Zugriff zu schützen, müssen diese mit sicheren Kennwörtern / PINs versehen werden. In einem anderen Beitrag haben wir sichere Kennwörter bereits thematisiert.

Sichtschutzfolien
Auch Familienangehörige oder andere Personen, die im selben Haus wohnen, dürfen keinen Zugriff / Einblick auf Unternehmensdaten erhalten. Gleiches gilt für mobiles Arbeiten in der U-Bahn, im Zug oder im Flugzeug. Der Einsatz von Sichtschutzfolien wird daher empfohlen.

Automatisches Sperren des Desktops bei Inaktivität
Es gelten die gleichen Anforderungen wie im Büro. Ein inaktiver Computer sollte sich innerhalb von maximal 10 Minuten automatisch sperren.

Zugriff auf Unternehmens-IT
Der Zugriff auf die Unternehmens-IT, beispielsweise auf Netzlaufwerke sollte nur mittels einer VPN-Verbindung (Virtual Private Network) möglich sein. Zusätzlich werden persönliche Zugangsdaten empfohlen, die bei jeder Verbindung neu eingegeben werden müssen.

Datentransfer
Oftmals müssen Mitarbeiter Dateien versenden oder empfangen, die größer sind als es der E-Mail-Provider erlaubt. Der Arbeitgeber sollte hierbei auf eine unternehmensinterne Cloudlösung, z.B. nextcloud oder einen sicheren Dienstleister zurückgreifen.

Entsorgung von Dokumenten/Vernichtung
Wenn möglich sollte die Verantwortliche Stelle den Mitarbeitern für die sichere Vernichtung nicht mehr benötigter Dokumente mit Aktenvernichtern oder Datentonnen ausstatten.

Auftragsverarbeitungsverträge
Bevor Mitarbeiter vom Homeoffice aus arbeiten dürfen muss darauf geachtet werden, ob man in der Rolle des Auftragnehmers Auftragsverarbeitungsverträge unterzeichnet hat, die Arbeiten aus dem Homeoffice heraus verbieten.

Richtlinie für Mitarbeiter
Den Mitarbeitern sollte eine Richtlinie für Homeoffice zur Verfügung gestellt werden. Diese beinhaltet die maßgeblichen Verhaltensregeln. Ein Muster für eine solche Richtlinie finden Sie am Ende des Beitrags. Vielen Dank an Stephan Hansen-Oest, der diese Richtlinie allen kostenfrei zur Verfügung stellt: Richtlinie herunterladen

Anforderungen an Beschäftigte

Neben der verantwortlichen Stelle müssen sich auch Beschäftigte an gewisse Spielregeln halten. In allererster Linie gilt die geschlossene Verpflichtung auf Verschwiegenheit wie auch die Richtlinien zum Homeoffice. Darüber hinaus sollten Beschäftigte u.a. folgende Punkte beachten:

Nutzung der IT
Betriebsmitteln dürfen nicht durch Dritte genutzt werden. So dürfen auch im eigenen Haus lebende Kinder, Eltern oder Partner das Gerät nicht verwenden.

Keine privaten USB-Sticks oder Festplatten
Für den Transfer von Dateien dürfen nur vom Unternehmen freigegebene USB-Sticks, Festplatten oder SD-Karten verwendet werden.

Geschäftliche E-Mails nicht auf private Adressen weiterleiten
E-Mails aus dem geschäftlichen Konto dürfen nicht auf private E-Mail-Adressen weitergeleitet werden. Ebenso sollten keine E-Mails vom privaten E-Mail-Konto an geschäftliche Adressen verschickt werden.

Sperren des Computers beim Verlassen
Sobald Mitarbeiter den Arbeitsplatz verlassen, muss der Computer gesperrt werden. Unter Windows geht das mit der Tastenkombination "Windows+L" sehr einfach.

Umgebung beachten
Es sollte möglichst für eine ruhige Umgebung gesorgt werden, ohne dass Dritte den Bildschirm einsehen können. Dies gilt für Arbeiten in den eigenen vier Wänden wie auch unterwegs in der U-Bahn, im Bus, Zug oder Flugzeug.

Abschließbare Räume/Schränke
Sofern mit Papierdokumenten gearbeitet wird sollten diese in einem abschließbaren Raum/Schrank aufbewahrt werden.

Vernichtung 
Nicht mehr benötigte Dokumente müssen sicher vernichtet werden.Wenn kein Aktenvernichter zur Verfügung steht müssen die Unterlagen zumindest möglichst zerkleinert werden. Alternativ müssen die Unterlagen geschützt aufbewahrt und nach der Rückkehr ins Büro sicher vernichtet werden.

Telefonate (und Videokonferenzen)
Telefonate sollten so geführt werden, dass sie nicht von Dritten abgehört werden können. 

Sprachassistenten & sonstige Geräte
Alexa, Siri und Cortana haben sich zu Hause zu einem praktischen Begleiter entwickelt. Leider wurde bekannt, dass Mitarbeiter von Google, Amazon & Co. Mitschnitte analysieren um die Qualität der Reaktion der Sprachassistenten zu verbessern. Ebenso sind viele andere Geräte wie Babyphone oder Überwachungskameras im Einsatz, die oftmals nicht gut abgesichert und relativ einfach von "Außen" angezapt werden können. Hier ist insbesondere die Gefahr eines Hacks groß. Sprachassistenten sowie andere Geräte, die zum Abhören benutzt werden könnten, sollten möglichst deaktiviert werden.

Fazit & Checkliste

Telearbeit ist heute technisch problemlos möglich. Durch technische, aber insbesondere auch organisatorische Maßnahmen muss aber sichergestellt werden, dass personenbezogene Daten zu jeder Zeit sicher sind. Arbeitgeber und Beschäftigte müssen hierbei an einem Strang ziehen um das Sicherheitsniveau zu gewährleisten. Mit Hilfe unserer kostenlosen Datenschutz-Checkliste Homeoffice können Sie prüfen, ob Sie an alle relevanten Punkte gedacht haben.

Kategorie: IT-Sicherheit

Schlagworte: HomeOffice, TOM

Newsletter

Mit unserem Datenschutz-Newsletter bleiben Sie immer auf dem Laufenden.

Zur Anmeldung ...
Über den Autor

Daniel Steffen, Geschäftsführer der Digitalagentur novinet und zertifizierter Datenschutzbeauftragter (DSB-TÜV) berät deutschlandweit Unternehmen sowie Vereine und Agenturen im Bereich des Datenschutzes.

Zu allen Beiträgen

Externer Datenschutzbeauftragter für Ihr Unternehmen

Telefon: 08456 / 300 98 80
E-Mail: datenschutzberatung@novinet.de

Jetzt kostenlos informieren