Datenschutz und Datensicherheit im Home-Office

03.04.2020

Viele berufstätige Menschen, Arbeitnehmer ebenso wie Selbstständige, hat es im Angesicht der Corona-Pandemie unversehens ins Home-Office verschlagen. Dabei darf natürlich der Datenschutz und die Datensicherheit nicht auf der Strecke bleiben. Wer schon bisher das Arbeiten im Home-Office zuließ, konnte seinen Beschäftigten eher Leitlinien geben als Unternehmen, bei denen das bislang nicht der Fall war. Auch der Arbeit im Home-Office steht das Datenschutzrecht nicht entgegen. Wichtig ist allerdings, dass Vorkehrungen für die Sicherheit der Daten getroffen werden, die dem mit der Verarbeitung zusammenhängende Risiko angemessen sind.

Im Home-Office werden die Daten zwar zumindest teilweise an einem anderen Ort und mit anderen Mitteln verarbeitet. Verantwortlicher im Sinne des Datenschutzrechts bleibt auch im Home-Office der Arbeitgeber. Deshalb ist es wichtig, dass private und dienstliche Daten nicht vermischt werden. Der Arbeitgeber legt die technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten auch im Home-Office fest.

Werden Daten für einen Dritten im Auftrag verarbeitet, ist der zugrunde liegende Vertrag über Auftragsverarbeitung zu prüfen. Nicht jeder Vertrag lässt die Tätigkeit im Home-Office zu. Manche Verträge enthalten zumindest Einschränkungen oder fordern bestimmte Sicherheitsvorkehrungen. Das betrifft natürlich nur die Fälle, in denen der Arbeitnehmer für den Auftragnehmer tätig ist.

Die datenschutzrechtlichen Pflichten sind nicht einschlägig, wenn nur Daten ohne Personenbezug verarbeitet werden. In den meisten Fällen lässt es sich jedoch gar nicht vermeiden, dass zumindest einige personenbezogene Daten genutzt oder verarbeitet werden. Auch vertrauliche Daten ohne Personenbezug, wie z.B. Geschäftsgeheimnisse, müssen im Unternehmen durch ausreichende technische Vorkehrungen geschützt werden.

Empfehlenswert für ein Unternehmen ist es, alle Vorgaben im Zusammenhang mit der Arbeit zu Hause in einer Home-Office Richtlinie festzulegen. Dort können dann auch alle Vorkehrungen zur Sicherheit beschrieben werden. Folgende Punkte sollten insbesondere aufgenommen werden:

  • Vorrangig sollten die IT Geräte des Unternehmens genutzt werden und nicht private Geräte. So wird gewährleistet, dass die Sicherheitsvorkehrungen wie z.B. Betriebssystem, Virenschutz und Firewall auf dem aktuellsten Stand sind. Eine Privatnutzung dieser Geräte sollte untersagt werden, weil ansonsten der Zugriff auf gespeicherte Daten durch das Unternehmen erschwert werden kann.
  • Die Speichermedien auf den IT-Geräten und externe Speichermedien sollten verschlüsselt sein. Gehen die Speichermedien verloren oder werden gestohlen, sind die Daten so trotzdem vor unberechtigtem Zugriff gesichert. Am besten ist jedoch, wenn Dateien mit personenbezogenen Daten auf den Servern des Unternehmens gespeichert werden und nicht auf dem Endgerät im Home-Office.
  • Wird der Zugang in das Internet zu Hause über ein WLAN hergestellt, muss dieses WLAN ausreichend verschlüsselt sein. Das betrifft sowohl die Art der Verschlüsselung als auch die Komplexität des Schlüssels.
  • Die Online-Verbindung zu den Servern des Unternehmers darf nur über eine sichere VPN Verbindung hergestellt werden.
  • Die Weiterleitung von geschäftlichen E-Mails auf private E-Mail-Adressen sollte unterbleiben.
  • Werden Messenger-Anwendungen verwendet, sollten sie eine ausreichende Ende-zu-Ende Verschlüsselung haben.
  • Wenn man das Zimmer verlässt, sollten die (personenbezogenen) Daten vor unberechtigtem Zugriff geschützt werden. Auf dem Computer sollte deshalb ein Bildschirmschoner mit Kennwort-Schutz aktiviert werden.
  • Idealerweise ist der Raum in dem man arbeitet, abschließbar. Schriftliche Dokumente sollten ohnehin in einem verschlossenen Behältnis aufbewahrt werden.
  • Es ist darauf zu achten, dass die anderen Personen, die sich im Haushalt aufhalten, keinen Zugriff auf personenbezogene Daten erhalten. Deshalb sollte der Bildschirm so aufgestellt werden, dass andere ihn nicht ablesen können. Telefonate sollten in Räumen geführt werden, in denen andere nicht mithören können. Ausdrucke sollte möglichst rasch aus dem privaten Drucker entfernt werden. Druckaufträge sollten natürlich auch nicht auf Druckern im Unternehmen landen, wo sie der Auftraggeber nicht abholen kann.
  • Beim Papiermüll ist ebenfalls Vorsicht geboten. Geschäftsunterlagen und insbesondere Dokumente mit personenbezogenen Daten sollten immer in das Unternehmen gebracht und dort fachgerecht entsorgt werden. Auf gar keinen Fall sollten solche Unterlagen in den Hausmüll geworfen werden.

Kommt es doch einmal zu einem Datenverlust, sollten die Mitarbeiter auch wissen, dass sie den Vorfall schnellstmöglich melden müssen und an wen sie ihn im Unternehmen melden müssen.

Weiterführende Hinweise zum Home-Office geben auch die Datenschutzaufsichtsbehörden z.B.:

Gerne unterstützen wir Sie bei allen datenschutzrechtlichen Fragen rund um das Homeoffice und insbesondere bei der Erstellung entsprechender Unternehmens-Richtlinien.

Stand: 01.04.2020