Beiträge

Datenschutz im Home-Office

Datenschutz im Home-Office

Von Timo Schutt 22. Januar 2021

Arbeit von zu Hause in aller Munde

Das Home-Office, die Arbeit von zu Hause. Nicht erst seit der Corona-Pandemie ist sie in aller Munde. Aber sicherlich hat Corona die Entwicklung zu mehr Home-Office massiv beschleunigt. Seit dem 19.01.2021 ist klar: Arbeitgeber sind dann, wenn der Arbeitsplatz für das Arbeiten im Home-Office geeignet ist, verpflichtet dem Arbeitnehmer das Home-Office aktiv anzubieten. Viele Millionen Arbeitnehmer dürften mittlerweile ganz oder teilweise im Home-Office arbeiten.

Was aber viele Arbeitgeber nicht auf dem Schirm haben: Was ist mit dem Datenschutz im Home-Office? Was ist mit der IT-Sicherheit? Wie kann ein angemessenes Schutzniveau auch bei den Beschäftigten zu Hause hergestellt werden?

Der Arbeitsplatz daheim darf nicht unsicherer sein als das Büro

Wenn die Arbeit von zu Hause erlaubt ist, gilt: Der Home-Office-Arbeitsplatz ist nicht anders zu behandeln, wie der Büroarbeitsplatz. Verarbeitet der Mitarbeiter zu Hause personenbezogene Daten, muss genauso sichergestellt sein, dass diese Daten geschützt sind. Also sind auch für zu Hause technische und organisatorische Maßnahmen nötig.

Das muss der Arbeitgeber durch eigene vorbereitende Maßnahmen sicherstellen. Dazu gehört die Absicherung der betrieblichen mobilen Geräte. So muss zum Beispiel der Laptop, den die Mitarbeiter nutzen können, nicht nur einen Passwortschutz haben. Auch die folgenden Maßnahmen gehören z.B. dazu:

  • die Festplatte muss verschlüsselt sein (bspw. bei Windows-Rechnern mit Bitlocker oder bei Macs mit FileVault),
  • die Verbindung zum Server der Firma muss per VPN abgesichert sein,
  • der Laptop sollte mit einem Blickwinkelfilter ausgestattet sein (Es gibt auch Modelle, die das elektronisch per Knopfdruck ermöglichen),
  • nach kurzer Zeit muss sich der Screensaver einschalten, der mit Passwortschutz zu versehen ist,
  • darf der Mitarbeiter auch private Daten speichern, müssen die Daten streng voneinander getrennt werden,
  • usw.

Darüber hinaus aber muss der Arbeitgeber den Beschäftigten konkrete Vorgaben machen über Maßnahmen, die nur diese zu Hause umsetzen können. Dazu gehören Maßnahmen, wie:

  • der Laptop muss in einem abschließbaren Behältnis (Schrank o.ä.) aufbewahrt werden,
  • Der Beschäftigte sollte verpflichtet werden Sprachassistenten (z.B. Alexa, Google Assist, Cortana, Siri) während der Arbeit im Home-Office abzuschalten,
  • Ausdrucke mit personenbezogene Daten müssen sicher vernichtet werden. Verfügt der Beschäftigte nicht über eine datenschutzkonforme Aktenvernichtung, sollte er verpflichtet werden, vertrauliche Unterlagen sicher aufzubewahren, bis er sie beim Arbeitgeber datenschutzkonform vernichten kann.
  • usw.

Diese Vorgaben sollte der Arbeitgeber in Form schriftlicher Arbeitsanweisungen den Beschäftigten vorgeben. Schließlich hat er als Verantwortlicher für die Datenverarbeitung (Art. 4 Nr. 7 DSGVO) nachzuweisen, dass er seinen Verpflichtungen nachgekommen ist (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO).

Verbindliche Home-Office-Richtlinie als Lösung

Dafür eignet sich eine unternehmensweite Home-Office-Richtlinie. Sie ist allen Mitarbeitern zur Kenntnis zu gegeben. Und sie sollte als verbindliche Arbeitsanweisung gelten. Damit kann der Arbeitgeber seiner Sorgfaltspflicht nachkommen. Denn die Verantwortung für die Daten bleibt im Home-Office bestehen.

Und: Daten, die das Unternehmen verlassen, sind durch eigene, strengere technische und organisatorische Maßnahmen zu schützen. Daher ist zusätzlich an eigene oder ergänzte TOMs zu denken, die für das Home-Office gelten.

Ich erstelle Ihnen eine vernünftige Home-Office-Richtlinie. Und ich berate Sie zu allen Fragen rund um das Home-Office.

Timo Schutt
Fachanwalt IT-Recht
Ihr DatenschutzPartner