Datenschutz bei Home Office in Zeiten der Covid-19-Pandemie

 In Datenschutz

Durch die bundesweiten Corona-Beschränkungen waren und sind viele Unternehmen gezwungen, kurzfristig auf Home Office und mobiles Arbeiten ihrer Mitarbeiter umzustellen. Dazu müssen Arbeitgeber nicht nur IT-Strukturen und entsprechende Software implementieren, sondern sich auch den datenschutzrechtlichen Herausforderungen stellen. Die Pflichten für die strukturelle Einhaltung der datenschutzrechtlichen Vorgaben liegen beim Arbeitgeber – aber der Arbeitnehmer muss die Vorgaben umsetzen, ebenso wie bei Tätigkeiten im Büro. Der Artikel gibt einen ersten Einblick in relevante Maßnahmen zum effektiven Einsatz und der Absicherung des Home Office.

Unternehmerische Risiken im Home Office

Ein Datenmissbrauch oder der unbefugte Zugriff Dritter ist bei der Verarbeitung personenbezogener Daten außerhalb der Betriebsräume leichter möglich. Viele IT-Sicherheitsmaßnahmen, die das Unternehmen im Betrieb bereits installiert hat, können nicht ohne Weiteres ins Home Office übertragen werden. Zusätzlich besteht die Gefahr, dass der Arbeitgeber, der weiterhin Verantwortlicher der Daten bleibt, den Zugriff und die Kontrolle über diese verliert, und die Überprüfung der Einhaltung der datenschutzrechtlichen Vorgaben nicht möglich ist.

Ist ein Sicherheitsvorfall eingetreten, müssen Mitarbeiter entsprechend geschult sein, dass der Vorfall zeitnah an den Arbeitgeber zu melden ist, so dass er weitere Maßnahmen zur Schadensbegrenzung einleiten kann und seiner Meldepflicht nach Art. 33 DSGVO nachkommen kann.

Datenschutzrechtliche Vorgaben

Der Arbeitgeber muss zum Schutz der im Unternehmen verarbeiteten Daten geeignete technische und organisatorische Maßnahmen treffen, die ein ausreichendes Schutzniveau der Daten gewährleisten (Art. 32 Abs. 1 DSGVO). Dazu sind die Daten und deren Übermittlung zwischen Unternehmensnetzwerk und Heimarbeitsgerät zu verschlüsseln, was insbesondere über einen VPN-Client erfolgen kann. Ebenso sollte eine Verschlüsselung der eingesetzten Datenträger, wie eine Festplattenverschlüsselung der Laptops genutzt werden. Die Nutzung privater Endgeräte der Mitarbeiter ist zu vermeiden, damit die Implementierung technischer Vorgaben (z.B. Löschregeln oder Berechtigungskonzepte) durch den Arbeitgeber erfolgen kann und die Verantwortung für die Einrichtung nicht in den Händen des Arbeitnehmers verbleibt.

Als organisatorische Maßnahme sollte grundsätzlich eine „Home Office Richtlinie“ eingesetzt werden, die als allgemeine Arbeitsanweisung im Unternehmen ausgerollt werden kann und Handlungsvorgaben gibt (z.B. zum Verschließen der Arbeitsgeräte bei Nicht-Nutzung, keine Arbeit am Küchentisch usw.). Ergänzend sollte mit jedem einzelnen Mitarbeiter, der im Home Office arbeitet, ein schriftlicher Zusatz mit Pflichten vereinbart werden, zu dem z.B. die Einräumung von Kontrollrechten bzgl. der Schutzmaßnahmen vereinbart wird.

Handlungsempfehlungen für Arbeitgeber

Arbeitgeber sollten – wenn noch nicht geschehen –die Einhaltung der datenschutzrechtlichen Vorgaben überprüfen und ihre Mitarbeiter schulen. Die Sensibilisierung der Arbeitnehmer und Vereinbarung einer „Home Office Richtlinie“ ist dringend zu empfehlen, sodass der Arbeitgeber, trotz Kontrollverlust, sicher sein kann, dass der Schutz der Daten bestmöglich gewährleistet wird. So sind Mitarbeiter anzuweisen, die verwendeten Geräte so aufzustellen, dass der Zugriff Dritter ausgeschlossen ist und das Gerät unter keinen Umständen von anderen Mitgliedern des Haushaltes genutzt wird. Der Arbeitgeber muss ferner sicherstellen, dass die Arbeitsmittel verschlüsselt sind und Mitarbeiter verpflichtet werden, im Falle einer Datenpanne den Vorfall unverzüglich an das Unternehmen zu melden.

Als vorbereitenden Maßnahmen sollten Arbeitnehmer, die im Home Office Daten verarbeiten, zusätzlich angewiesen werden, die ihnen zur Verfügung gestellten Geräte nicht privat zu verwenden, um zu vermeiden, dass unwissentlich schädliche Software auf die Geräte gelangt. Zusätzlich müssen alle verwendeten Geräte und Datenträger entsprechend verschlüsselt werden und z.B. ein VPN-Client verwendet werden. Festplattenverschlüsselung sollte vorgesehen und ggf. nachträglich noch eingebaut werden.

Fazit zum Home Office: Überprüfen und Nachbessern

Die Arbeit im Home Office wird auch während der derzeitigen Phase oder nach Beendigung der Covid-19-Pandemie für Unternehmen eine große Rolle spielen. Hat sich das Instrument des mobilen Arbeitens als effektiv herausgestellt und die Unternehmen die Herausforderungen erfolgreich gemeistert, ist abzusehen, dass die Arbeit im Home Office immer mehr ausgeweitet wird und in vielen Branchen zum Alltag wird.

Die Regeln des Datenschutzes sollten auch im Rahmen einer Pandemie, bei der Umstellungen und Handlungen teilweise sehr kurzfristig zu erfolgen hatten, nicht aus den Augen verloren werden. Deswegen ist die schnelle Überprüfung der Einhaltung aller Vorgaben und die eventuelle Nachbesserung unumgänglich. Alle Maßnahmen, insbesondere die Schulung und Sensibilisierung der Mitarbeiter oder die Nachbestellung von Firmen-Hardware, sind auch nachträglich umsetzbar.

 

Tipp: eine leicht verständliche und umfangreiche Checkliste zum Home Office für KMU bietet z.B. das Bayerische Landesamt für Datenschutzaufsicht an: Klicken sie hier.

Ihr Berater: Dr. Matthias Lachenmann, Datenschutzbeauftragter (UDISzert); E-Mail: lachenmann@bho-consulting.com; Telefon: +49 (0) 221 270 956 260

Recent Posts
Contact Us

Not readable? Change text. captcha txt