Homeoffice und Datenschutz

von MarkusD

Homeoffice bedeutet Arbeiten von zu Hause aus

Bild: Tisch, Stühle, Laptop, Arbeiten, Homeoffice

Wie verhält es sich mit dem Datenschutz, wenn im Homeoffice gearbeitet wird. Erfahren Sie nützliche Tipps und Tricks für den Alltag

Integrität und Vertraulichkeit (personenbezogene Daten dürfen nicht von Unbefugten eingesehen und verändert werden, personenbezogene Daten müssen geschützt werden vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder einer unbeabsichtigten Schädigung) sind zentrale Grundsätze der Datensicherheit und des Datenschutzrechts.

Homeoffice, das sich in letzter Zeit in vielen Unternehmen und Organisationen zunehmender Beliebtheit erfreut, stellt spezielle Herausforderungen für das Befolgen dieser Vorgaben. Jedem Unternehmen/jeder Organisation muss klar sein: Datenschutz endet nicht bei den Unternehmens-/Organisationsräumlichkeiten, ein adäquates Schutz- und Sicherheitsniveau muss auch bei Homeoffice (Telearbeit/Heimarbeit) gewährleistet werden. Hier sind sowohl Dienstgeber als auch Dienstnehmer gefordert.

Was sind denkbare Szenarien beim Homeoffice und mögliche Konsequenzen? Mitarbeiter greifen auf nicht geschütztem Weg (z. B. keine VPN-Verbindung) auf interne Systeme zu, Dritte können so Zugriff auf Unternehmensinterna erlangen.

Mitarbeiter speichern Daten ganz oder teilweise auf privaten Geräten – diese sind nicht entsprechend konfiguriert (z. B. keine Verschlüsselung der Datenträger, Gerätezugriff auch ohne Passwörter, keine Fernlöschmöglichkeiten), unterliegen nicht der Verfügungsgewalt des Unternehmens und bringen so ein ungleich höheres Risiko mit sich (möglicher Zugriff auf Daten durch Familienmitglieder und sonstige Dritte; Verlust von Geräten mit unverschlüsselten Datenträgern bedeutet unbefugte Offenlegung von Daten; bei Veräußerung von Geräten wird oft aus Bequemlichkeit auf die sichere Datenlöschung verzichtet; Daten gelangen nicht vollständig in die Unternehmenssphäre und können so unter anderem bei Backup-Prozessen nicht berücksichtigt werden).

Mitarbeiter drucken zu Hause Dateien/Akten aus. Es besteht die Gefahr, dass die Dateien nicht versperrt aufbewahrt werden bzw. nicht sicher durch Shreddern der Papierseiten vernichtet werden, sondern dass eine Entsorgung im Haus-Altpapier ohne vorheriges Shreddern erfolgt.

Mitarbeiter nutzen möglicherweise private E-Mail-Accounts für berufliche Zwecke, die im beruflichen E-Mail-Account eingerichteten Sicherheitslayer (z. B. automatische Löschung bzw. Isolierung verdächtiger Mails, keine Möglichkeit, Schaddateien zu öffnen) greifen dann nicht, Schadsoftware gelangt auf das genutzte Endgerät, Daten werden ausgelesen.

Die berufliche Kollaboration zwischen Kolleginnen und Kollegen bzw. externen Personen (z. B. Videotelefonie) erfolgt über einen unsicheren, ggf. auch privaten Kommunikationskanal (nicht Ende-zu-Ende-verschlüsselt, der Kommunikations-Diensteanbieter gewährleistet kein adäquates Sicherheitsniveau), Dritte können die Kommunikation mitverfolgen. Bei der Auswahl des Kommunikations-Dienstleisters werden Aspekte der Datenweitergabe in Drittstaaten (z. B. Server außerhalb EU/EWR) nicht ausreichend berücksichtigt (Datenübermittlung nicht abgedeckt über Instrumente des Art. 44 DSGVO). Das Unternehmen/die Organisation verstößt somit gegen die allgemeinen Grundsätze der Datenübermittlung (Strafrahmen bis zu 20 Mio. Euro oder 4 % des gesamten weltweit erzielten Jahresumsatzes).

Man sieht: Beim Homeoffice existieren viele Möglichkeiten, unbeabsichtigt gegen datenschutzrechtliche Vorgaben zu verstoßen. Die Konsequenzen können durchaus weitreichend sein (Schadenersatz gegenüber Betroffenen, verwaltungsbehördliche Geldbußen in großer Höhe). Es gilt daher, Telearbeit sorgfältig zu planen und aufzusetzen. Das Sicherheits- bzw. Schutzniveau, das das Unternehmen/die Organisation als notwendig erachtet, darf durch das Homeoffice von Mitarbeitern nicht herabgesetzt werden. Alle Homeoffice-Schutzmaßnahmen sollten unter diesem Blickwinkel gestaltet werden. Es sollte letztlich keinen maßgeblichen Unterschied im Schutz- bzw. Sicherheitsniveau ausmachen, ob der jeweilige Mitarbeiter seiner Arbeit nun im Büro oder von zu Hause aus nachkommt.

Zu empfehlen ist jedenfalls das Aufstellen von genauen Vorgaben bzw. Regeln für das Homeoffice (z. B. Einrichtung des Arbeitsplatzes, Verbot der Nutzung privater Geräte bzw. Bedingungen für deren Einsatz, Regelungen für den sicheren Zugriff auf Systeme, Datenbanken und Anwendungen). Nachdem Menschen und nicht Systemfehler Risikoquelle Nummer eins sind (Social Engineering, Unachtsamkeiten etc.), gilt es, diejenigen Mitarbeiter, die ihre Tätigkeit ganz oder teilweise im Homeoffice ausüben, entsprechend zu informieren und zu sensibilisieren. Hier bieten sich regelmäßige Schulungen oder Mitarbeiterinformationen an.

Das Dargelegte gilt umso mehr, wenn die Arbeitserbringung der Mitarbeiter via Homeoffice nicht nur in der gegenwärtigen Lage eine vorübergehende Lösung sein soll, sondern geplant wird, dass Telearbeit/Homeoffice auch längerfristig im Unternehmen/in der Organisation im Sinne einer Flexibilisierung der Arbeit Bestand hat.

Homeoffice und Datenschutz/Datensicherheit müssen sich nicht ausschließen. Bei einer entsprechend sorgfältigen Gestaltung der Prozesse, bei einer ausreichenden Unterstützung der Mitarbeiter (insb. Ausstattung mit den notwendigen Ressourcen) und Erfüllen der aufgestellten Regeln durch die Mitarbeiter selbst lassen sich Risiken der Realisierung von Datenschutzverletzungen und IT-Sicherheitspannen deutlich eingrenzen.