Coronavirus: Informations- und Datenschutz im Home-Office

Wir haben eine Checkliste zum Datenschutz im Home-Office zusammengestellt. Machen Sie den Selbsttest um festzustellen, wie gut Sie aufgestellt sind. Hier finden Sie den Download.

 

 

In der derzeitigen Krisensituation sind viele Unternehmen aufgrund ihrer Fürsorgepflicht, aber auch zur Aufrechterhaltung des Betriebs gehalten, Mitarbeiter im Home-Office arbeiten zu lassen. Wenngleich es sic

Home-Office in Zeiten der Coronavirus-Pandemie: Informations- und Datenschutz

 

 

Update 28.1.2021

Wir haben eine Checkliste zum Datenschutz im Home-Office zusammengestellt. Machen Sie den Selbsttest um festzustellen, wie gut Sie aufgestellt sind. Hier finden Sie den Download.

 

Home-Office während der Coronavirus-Pandemie: Einhaltung des Informations- und Datenschutzes

In der derzeitigen Krisensituation sind viele Unternehmen aufgrund ihrer Fürsorgepflicht, aber auch zur Aufrechterhaltung des Betriebs gehalten, Mitarbeiter im Home-Office arbeiten zu lassen. Wenngleich es sich um eine vorübergehende Ausnahmesituation handeln soll, begleitet die Mitarbeiter der dienstliche Datenschutz auch bis nach Hause. Während in Single-Haushalten in der Regel lediglich im Zusammenhang mit Gästen verstärkt auf den Datenschutz geachtet werden muss, ist der Datenschutz in Mehrpersonenhaushalten – insbesondere in Anbetracht der derzeit geschlossenen Schulen – weitaus schwieriger zu gewährleisten. Um den Mitarbeitern einen schnellen Hinweis zur Gewährleistung des Datenschutzes zu Hause an die Hand zu geben, sollten sie per E-Mail über die folgenden Grundsätze informiert werden:

  • Bitte achten Sie auf den Schutz von dienstlichen Informationen im Home-Office. Es gelten die gleichen Grundsätze wie am Arbeitsplatz. Dies betrifft nicht nur dienstliche Informationen über das Unternehmen, sondern auch den Schutz von personenbezogenen Daten von Mitarbeitern sowie ihrer Kunden, Patienten und Klienten.  [Für Unternehmen des Gesundheitswesens: Gesundheitsdaten zählen zu den sogenannten besonderen personenbezogenen Daten und unterliegen damit besonderen Anforderungen bezüglich des Datenschutzes und ihrer Geheimhaltung]. Sie sind im Rahmen ihres bestehenden Arbeitsvertrages schriftlich auf das Datengeheimnis [für Unternehmen des Gesundheitswesen: sowie die ärztliche Schweigepflicht gem. § 203 StGB] verpflichtet worden. Auch im Home-Office haben Sie über alle betrieblichen und geschäftlichen Daten, über die Sie im Rahmen ihrer Tätigkeit Kenntnis erlangen, Stillschweigen zu bewahren. Die gesetzlichen und betrieblichen Regelungen des Datenschutzes und der Datensicherheit sind grundsätzlich zu beachten und anzuwenden.
  • Für das Home-Office erforderliche Arbeitsunterlagen, die sich im Betrieb befinden, dürfen nur mit Zustimmung in Textform (per E-Mail) des Vorgesetzten in das Home-Office verbracht werden. [Anmerkung des Verfassers: Ohne Zustimmung kann sich der Mitarbeiter im Falle eines Datendiebstahls ggf. erfolgreich darauf berufen, dass er die Daten zum Arbeiten im Home-Office seiner Ansicht nach benötigt hat]. Digitale Informationen auf USB-Sticks, Laptops oder mobilen Festplatten sind verschlüsselt, physische Daten wie Unterlagen in Papierform sind in verschlossenen Behältnissen zu transportieren und dürfen nicht unbeaufsichtigt (z.B. im Fahrzeug) belassen werden.
  • Vertrauliche Daten, Informationen, Passwörter und dienstliche Unterlagen sind von den Mitarbeitern so zu schützen, dass Dritte – insbesondere auch im Haushalt der Mitarbeiter lebende Personen oder sonstige sich dort berechtigt aufhaltende Dritte wie Gäste etc. – weder Einsicht noch Zugriff nehmen können. Der häusliche Arbeitsplatz ist so zu wählen, dass Dritte nicht ohne Weiteres Einsicht in Unterlagen oder auf den Bildschirm nehmen können. Um die Verfügbarkeit der Daten zu gewährleisten, sollten Daten möglichst nicht lokal, sondern im Unternehmensnetzwerk gespeichert werden.
     
  • Private Endgeräte dürfen nur im Ausnahmefall genutzt werden und dienstliche Informationen müssen von übrigen Informationen getrennt und gegen den Zugriff von Dritten besonders geschützt sein. Der Nutzung muss die Geschäftsführung mindestens in Textform (per E-Mail) zustimmen. [Sofern vorhanden: Das Nähere regelt die Bring-Your-Own-Device-Richtlinie.]
     
  • Sofern betriebliche Endgeräte zur Verfügung gestellt werden, sind diese nicht privat oder von Familienmitgliedern genutzt werden.
  • Sofern ein separater Raum für das Home-Office genutzt wird, ist dieser auch bei kurzer Abwesenheit (und sei es nur zur Toilette) zu verschließen und vor dem Betreten Dritter zu schützen.
  • Sofern kein separater Raum zur Verfügung steht, ist auch bei kurzer Abwesenheit sicherzustellen, dass Dritte weder dienstliche Informationen oder Akten einsehen oder darauf zugreifen können. Dies bedeutet insbesondere, dass
    • der verwendete Computer gesperrt werden muss, so dass bei Rückkehr zumindest die Eingabe des Passwortes erforderlich ist;
    • betriebliche Unterlagen, z.B. Papier-Akten oder Ausdrucke, in einem Schrank oder in einer Aktentasche verschlossen werden;
    • ein ggf. genutztes Zugangsmedium zum Unternehmensnetzwerk (z.B. Chipkarte, Transponder) vom Computer entfernt wird.
  • Berufliche Telefonate mit sensiblen Inhalten sollten nur geführt werden, wenn ein Mithören Dritter ausgeschlossen werden kann.
     
  • Die Weiterleitung geschäftlicher E-Mails an das private Postfach muss auch im Home-Office untersagt bleiben.
     
  • Die Entsorgung von dienstlichen Unterlagen mit sensiblen Informationen ist ausgeschlossen, sondern darf nur auf vorgeschriebene Weise im Betrieb geschehen. Daher sind zu vernichtende Unterlagen in der Zwischenzeit geschützt, also in abschließbaren Schränken oder Aktentaschen, aufzubewahren.

Home-Office: Anforderungen an den Arbeitgeber 

Neben der Entwicklung einer Home-Office-Richtlinie ist darüber hinaus auch der Arbeitsvertrag um eine entsprechende Zusatzvereinbarung zu ergänzen. Darin ist der Arbeitnehmer aufzufordern, sich beim Arbeitgeber zu melden, falls die obigen Grundsätze im Home-Office nicht erfüllt werden können. 

Zusätzlich zu den oben genannten Mindestvorgaben des Datenschutzes hat der Arbeitgeber noch folgende Dinge zu gewährleisten:

  • Sofern Notebooks herausgegeben werden, sind die Festplatten, aber auch andere mobile Speichermedien nach dem Stand der Technik zu verschlüsseln. 
  • Die Verarbeitung von besonders sensiblen Informationen sollte nur im Rahmen einer sogenannten Zwei-Faktor-Authentifizierung möglich sein und der Zugriff auf das Unternehmensnetzwerk nur im Rahmen einer verschlüsselten Verbindung (z.B. via VPN) erfolgen. 
  • Sofern eine verschlüsselte Verbindung nicht möglich ist, sind andere Formen der Verschlüsselung – z.B. passwortgeschützte ZIP-Dateien – zu wählen.

Wichtiger Hinweis: Home-Office ist mit der sogenannten Mobilarbeit nicht gleichzusetzen. Bei der Mobilarbeit gelten zum Teil andere gesetzliche Vorgaben. 

Fazit: Informations- und Datenschutz im Home-Office

Die oben dargestellten Grundsätze sind als Minimum der Informationssicherheit und des Datenschutzes zur Gewährleistung des Rechenschaftsprinzips zu betrachten und stellen lediglich provisorische Vorgaben dar, die nicht sämtlichen Bedürfnissen des Schutzes von dienstlichen Informationen und personenbezogenen Daten gerecht werden. Je länger die derzeitige Situation andauert, desto eher wird es jedoch erforderlich sein, eine umfassende Home-Office-Richtlinie zu erlassen, in der u.a. auch dienstliche Kontroll- und Zugangsregelungen ins Home-Office und Sanktionen zu regeln sind. Darüber hinaus sollten weitere technische und organisatorische Maßnahmen ergriffen werden, um die Informationssicherheit und den Datenschutz sicherzustellen. Sofern die Nutzung von privaten Endgeräten unvermeidbar ist, sind strenge Regelungen im Rahmen einer sogenannten Bring-Your-Own-Device-Richtlinie erforderlich, sodass dienstliche Informationen und personenbezogene Daten dem Einflussbereich des Arbeitgebers nicht entzogen werden.

Weitere Artikel, die Sie interessieren könnten

phone
mail Pfeil weiß