Fragen an Sabine Rüffer, Betriebswirtin und zertifizierte Datenschutzbeauftragte
Warum ist Datenschutz im Home Office so wichtig?
Bis zu 40 % der Beschäftigten, die in 2020 im Home Office¹ tätig waren, streben gemäß einer Untersuchung der Initiative D21 und anderen Umfragen auch nach der Corona-Krise einen Home-Office-Arbeitsplatz an, zumindest an einigen Tagen der Woche. Man kann also davon ausgehen, dass Home Office auch nach der Corona-Krise ein wichtiges Thema bleiben wird. Gründe hierfür sind beispielsweise der Wegfall von Wegzeiten sowie die bessere Vereinbarkeit von Familie und Beruf. Auch wenn in Deutschland in letzter Zeit viel darüber diskutiert wurde, gibt es bisher keinen gesetzlichen Anspruch auf Home Office. Es liegt aber auch im Unternehmensinteresse, die Anliegen zu prüfen. Bei der Gewährung von Home Office gilt es, klare Regelungen und Konzepte zu implementieren:
Aspekte des Datenschutzes müssen geregelt sein, denn die DSGVO schützt personenbezogene Daten, und das überall. Deshalb müssen Unternehmen sicherstellen, dass Beschäftigte am heimischen Arbeitsplatz die Datenschutzrichtlinien genauso beachten und einhalten wie im Büro.
Was sind grundlegende technische und organisatorische Regelungen für ein DSGVO-konformes Arbeiten im Home Office?
Da für das Arbeiten im Home Office prinzipiell dieselben Anforderungen an Datenschutz und IT-Security wie im Büro des Arbeitsgebers gelten, ist es sinnvoll, die Home-Office-Tätigkeit als voll elektronische Datenverarbeitung ohne Medienbruch auszugestalten. D.h. die Kommunikation mit dem Arbeitgeber, die Entgegennahme von Aufgaben, der Umgang mit personenbezogenen Daten und die Übermittlung der Arbeitsergebnisse sollten automatisiert mit Hilfe von IT-Einrichtungen und über verschlüsselte elektronische Kommunikationswege stattfinden. Dadurch entfällt die Notwendigkeit, Papierunterlagen zu transportieren, was ein hohes Risiko des Verlusts, der Beschädigung sowie der unbefugten Kenntnisnahme birgt. Grundsätzlich gilt: je sensibler und damit schützenswerter personenbezogene Daten sind, desto stärker sind sie zu schützen und desto stringenter sollten die organisatorischen Maßnahmen ausgestaltet sein. Das Risiko kann darüber hinaus minimiert werden, wenn durch den Arbeitgeber im Rahmen der erforderlichen technisch-organisatorischen Maßnahmen (Art. 32 DSGVO) zumindest die folgenden Vorgaben erfüllt sind:
- Zugang der Berechtigten zu den sensiblen personenbezogenen Daten nur mit PIN und hardwarebasiertem Vertrauensanker (Zwei-Faktor-Authentifizierung).
- Verbindung ausschließlich über ein sogenanntes Virtual Private Network (VPN).
- Verschlüsselung der Daten (Ende-zu-Ende-Sicherheit) inkl. Ablageverschlüsselung auf dem mobilen Gerät.
- Sperrung von USB-Zugängen und anderen Anschlüssen.
- Keine Anbindung von Druckern.
- Keine Nutzung von privater Hard- und Software für berufliche Zwecke, (möglichst) keine private Nutzung der beruflich zur Verfügung gestellten IT-Ausstattung.
- Regelmäßige Schulung/Fortbildung der Beschäftigten zum datensicheren und datenschutzgerechten Umgang mit mobilen Geräten.
Was sind die wichtigsten Voraussetzungen, damit datenschutzkonformes Arbeiten im Home Office gelingt?
Hierfür sind ein klares Home-Office-Konzept und klare Regeln notwendig. Es sollte klar sein, welche Tätigkeiten als „Home Office-fähig“ angesehen werden bzw. welche Beschäftigtengruppen in welchem Umfang zu Home Office berechtigt sind, und wie im Home Office datenschutzkonform gearbeitet werden kann und was den Mitarbeitenden dazu zur Verfügung gestellt werden muss. Die (arbeitsrechtlichen) Regeln werden in der Betriebsvereinbarung und im Arbeitsvertrag oder im Anhang zum Arbeitsvertrag vereinbart während ein datenschutzkonformes Home-Office-Konzept für das Unternehmen unter Beteiligung von HR, IT, BR und dem/der Datenschutzbeauftragten des Unternehmens erarbeitet werden sollte.
Hierbei sind die Beachtung der o.g. technisch organisatorischen Maßnahmen wichtig, aber auch die Frage, welche Geräte das Unternehmen den Mitarbeitenden zur Verfügung stellen möchte (hier spreche ich von dem unter Datenschutzgesichtspunkten zu privilegierenden Konzept „Choose your own device (CYOD)“) und welche Regeln das Unternehmen für die Beschäftigten in Bezug auf den Umgang mit diesen Geräten aufstellen möchte (z.B. ob das Unternehmen es den Mitarbeitenden gestattet, diese Geräte auch privat zu nutzen und falls dies der Fall ist, in welchem Umfang). Ferner sollten für das Home Office Ansprechpartner:innen im Unternehmen festgelegt bzw. ein Service Desk hiermit betraut werden und dies sollte den Home Office-berechtigten Beschäftigten kommuniziert werden. Dies ist beispielsweise bei dem Verlust von Geräten oder bei Schwierigkeiten mit der Hard- und Software wichtig.
Zudem sollte die Employee Awareness geschult werden. Zu Hause sind Beschäftigte den gleichen oder gar mehr Risiken ausgesetzt wie im Büro. Es ist daher umso wichtiger, dass sie ausreichend für das Thema Informationssicherheit (Fraud, Pishing, Smishing etc.) sensibilisiert und im Umgang mit personenbezogenen Daten im Home Office geschult sind.
Erfahren Sie hier mehr über Datenschutz mit der digitalen Personalakte.
¹ Unter Home Office wird eine Form des mobilen Arbeitens verstanden. Sie ermöglicht es Beschäftigten, nach vorheriger Abstimmung mit dem Arbeitgeber zeitweilig im Privatbereich, z. B. unter Nutzung von Notebooks, für den Arbeitgeber tätig zu sein. Beim mobilen Arbeiten können die Beschäftigten von einem beliebigen Ort aus arbeiten (z.B. beim Kunden, im Café, in öffentlichen Verkehrsmitteln).
Kontakt: sabine.rueffer@num3rus.com