Der Wunsch von zu Hause arbeiten zu können und nebenbei Zeit für Familie, Hund und Haushalt zu haben, ist mittlerweile von vielen Arbeitnehmenden gewünscht, nein sogar gefordert. In der nahen Vergangenheit sind wir zudem zunehmend mit der Diskussion um eine Homeoffice-Pflicht konfrontiert worden. Natürlich spielen Datenschutz und Informationssicherheit auch im Homeoffice eine zentrale Rolle. Es schadet daher nicht, sich umfassend mit den entsprechenden Anforderungen auseinander zu setzen, findet Datenschutz-Experte Alexander Stinglwagner.
Allgemeines zum Datenschutz
Bezogen auf den Datenschutz gelten für die Arbeit im Büro, im Homeoffice und im Fall der mobilen Arbeit, bei der die Arbeitsstätte nicht an einen bestimmten Ort gebunden ist, dieselben Anforderungen. Datenschutz endet nicht an der Pforte des Arbeitgebers. Die verantwortliche Stelle für die Datenverarbeitung bleibt weiterhin das Unternehmen, unabhängig davon, an welchem Ort die Daten verarbeitet werden.
Die Geschäftsleitung muss daher ein hohes Interesse daran haben, dass ihre Mitarbeitenden die Daten auch außerhalb der Büroräumlichkeiten im Einklang mit der Datenschutz-Grundverordnung (DS-GVO) verarbeiten.
Technische Schutzmaßnahmen für mehr Datenschutz
Vermeidung von BYOD („Bring your own device”)
Die Verwendung privater Endgeräte der Mitarbeitenden führt oftmals zu zahlreichen Sicherheitsmängeln und Datenschutzrisiken. Sicherer ist die Bereitstellung von Hard- sowie Software. Hierbei sind nicht nur die primären Arbeitsgeräte wie Laptops, Thin Clients oder Terminal-PC zu berücksichtigen. Auch Peripheriegeräte wie Bildschirme, Tastatur und USB-Sticks sollten zentral überprüft, freigegeben und verteilt werden.
Warum ist das so wichtig?
Die Systeme können vor der Herausgabe an die Mitarbeitenden bereits auf Schadsoftware oder Sicherheitsmängel überprüft werden. Die Installation des aktuellen Betriebssystems, der gewünschten Virenschutzsoftware und die Umsetzung möglicher Sicherheitseinstellungen kann ebenfalls vorab gewährleistet werden.
Zudem sorgt die mögliche Homogenität der Arbeitsmittel dauerhaft für eine effizientere Administration. Technische Vorgaben zur regelmäßigen Aktualisierung des Betriebssystems und Softwarestände sind umzusetzen. Agieren Sie hierbei nicht unüberlegt. Die neuen Softwarestände sollten auf Funktionalität und Kompatibilität mit Ihrem aktuellen System überprüft werden. Bekannte Sicherheitslücken sind schnellstmöglich und sinnvoll zu schließen.
Frühzeitig Beschaffung von Geräten starten
Oftmals wird in der Einführungsphase von Homeoffice die Nutzung privater Geräte gestattet, da entsprechende Ressourcen und Arbeitsmittel fehlen. Sie sollten daher frühzeitig mit der Beschaffung beginnen. Sofern Sie das nötige Know-How nicht vorweisen können, ist ein EDV-Partner mit entsprechenden Verträgen zur Administration, Wartung und Beschaffung zielführend.
Bitte denken Sie daran, dass insbesondere in Krisenzeiten Lieferengpässe entstehen können. Ein gewisser Vorrat an benötigter Hardware kann daher hilfreich sein.
Verschlüsselte VPN-Verbindung zwischen Homeoffice und Unternehmen
Hiermit kommen wir gleich zur nächsten technischen Maßnahme: Schützen Sie den externen Zugriff auf Ihr Netzwerk. Eine verschlüsselte VPN-Verbindung nach aktuellem Stand der Technik ist zwischen dem Arbeitsgerät der Beschäftigten und dem Unternehmensnetzwerk einzurichten.
Eine zusätzliche Mehr-Faktor-Authentifizierung ist dabei noch die sprichwörtliche Kirsche auf dem Eis und definitiv zu empfehlen.
Achtung: Eine zweimalige Eingabe eines Passworts wird nicht als Zwei-Faktor-Authentifizierung gewertet.
Achten Sie darauf unterschiedliche Arten von Faktoren einzusetzen. Das kann eine Besitzkomponente (Token) und eine Wissenskomponente (Passwort nach aktuellen Sicherheitsempfehlungen) sein. Auch ein individuell installiertes Software-Zertifikat auf dem jeweiligen Client, welches das Geräte eindeutig authentifiziert, kann eine entsprechende Komponente darstellen.
Trennung von privaten und geschäftlichen Daten
Vor allem bei der Verwendung von privaten Endgeräten, ist auf eine geschützte Remote-Verbindung zu einem Terminalserver zu achten, da eine strikte logische Trennung von privaten und geschäftlichen Daten vorzuweisen ist. Eine lokale Speicherung von Daten, die im Zuge der beruflichen Tätigkeit verarbeitet werden, ist hierbei zu untersagen.
Um jedoch ruhig schlafen zu können, kann nur ein Verbot der Nutzung von privaten Endgeräten die Lösung sein.
Weitere organisatorische Datenschutz-Regelungen
Besonders bei der Verwendung von Privatgeräten der Mitarbeitenden sind andere Personen beispielsweise deren Familienmitglieder von der Nutzung dieses Systems auszuschließen und die Systeme gemäß den derzeitigen Sicherheitsanforderungen aktuell zu halten.
Hier aber nochmals die Empfehlung:
Vermeiden Sie die Nutzung von privaten Arbeitsmitteln in jeglicher Form!
Sobald die Arbeitsgeräte bereitgestellt wurden, sollte ebenfalls die Privatnutzung dieser geschäftlichen Geräte untersagt werden.
Laptops, Tablets und Smartphones sind optimale Begleiter für einen flexiblen Arbeitsplatz. Die Mobilität dieser Arbeitsmittel setzt jedoch nicht nur die Umsetzung von technischen, sondern auch organisatorischen Maßnahmen voraus, um aus Sicht des Datenschutzes und der Informationssicherheit gegen Gefahren gewappnet zu sein.
Von welcher Gefahr sprechen wir hier?
Gefahr: Datenverlust durch die Portabilität
Ein Verlust oder die unbefugte Offenlegung von Daten muss unbedingt vermieden werden. Durch die Portabilität (Tragbarkeit) steigt die Wahrscheinlichkeit des Verlusts dieser Geräte. Und damit auch der darauf gespeicherten Daten und Informationen.
Die lokale Datenhaltung sollte daher mittels Arbeitsanweisung untersagt werden. Natürlich kann es im Arbeitsalltag vorkommen, dass Daten lokal gesichert werden, weswegen eine Festplattenvollverschlüsselung bei mobilen Endgeräten immer zusätzlich zu empfehlen ist.
Regelungen für den Transport von mobilen IT-Systemen
Ebenfalls ist der Transport von IT-Systemen, Datenträgern und Unterlagen zwischen den Räumlichkeiten des Unternehmens und dem örtlich getrennten Arbeitsplatz zu regeln. Papierunterlagen und technische Arbeitsmittel sollten beim Transport nicht frei zugänglich oder im Vorbeigehen einsehbar sein.
Eine verschließbare Aktentasche kann bereits eine wirksame Schutzmaßnahme darstellen, ebenso wie eine Sichtschutzfolie auf dem genutzten Endgerät.
Beim Thema Papierunterlagen möchte ich gerne noch eine Empfehlung aussprechen:
Verzichten Sie auf die Mitnahme von Papierunterlagen ins Homeoffice!
Nicht nur der Transport birgt einige Risiken, auch die Entsorgung dieser Unterlagen sorgt regelmäßig für Datenpannen. Damit eine solche nicht entsteht, sollte dafür gesorgt werden, dass Beschäftigte ein Bewusstsein für sensible Inhalte entwickeln.
Somit kann eine wirksame Arbeitsanweisung formuliert werden, vertrauliche bzw. sensible Informationen in Papierform oder auf anderen Datenträgern (USB-Stick) nicht im privaten Hausmüll zu entsorgen.
Vereinfach gesagt: Den Mitarbeitenden sind Vorgaben an die Hand zu geben, die vor Datenverlust oder unberechtigter Datenmanipulation sowie -offenlegung schützen.
Abschirmung gegen Datenabgriff
Weitere wirksame Maßnahmen: Fenster und Türen sind bei Telefonaten zu schließen und das Arbeitsgerät beim Verlassen des Arbeitsplatzes herunterzufahren beziehungsweise zu sperren. Sprachassistenten (Apple HomePod, Amazon Alexa etc.) sollten nicht in der unmittelbaren Arbeitsumgebung aufgestellt werden, da auch diese dauerhaft zuhören.
Bitte denken Sie daran, dass auch heutige Smart-TV, Smartphones und Smartwatches standardmäßig mit diesen Assistenten ausgestattet sind. Natürlich lassen sich diese deaktivieren. Wie sicher diese Einstellungsmöglichkeit letztendlich ist, bleibt uns leider verborgen.
Wie so oft gilt auch hier: Die Beschäftigten sind für die Vertraulichkeit von Informationen und Gesprächsinhalten zu sensibilisieren und diese Geräte zur Besprechung hoch-sensibler Daten zu meiden bzw. zu entfernen.
Eigener Arbeitsbereich im Homeoffice
Des Weiteren sollte ein eigener Arbeitsbereich im Homeoffice zur Verfügung stehen, der am Ende des Tages die Möglichkeit zur sicheren Verwahrung von Arbeitsmitteln ermöglicht. Wichtig: Auch Familienmitglieder, Bekannte oder Nachbarn sind unberechtigte Personen. Auch sie dürfen keine Kenntnisse über Daten und Informationen erhalten. Formulieren Sie diese Anforderungen entsprechend in der Richtlinie.
Muss das „Homeoffice“ durch die Führungskraft kontrolliert werden?
Organisatorische Maßnahmen setzen voraus, dass regelmäßige Kontrollen zur Einhaltung dieser Maßnahmen durchgeführt werden. Es besteht also eine Kontrollpflicht des Arbeitgebers!
Hier liegt die größte Herausforderung. Es ist stark umstritten, in welchem Ausmaße der Arbeitgeber seine Überprüfung in den privaten Räumlichkeiten der Angestellten umsetzen darf. In der Regel bewerten die zuständigen Aufsichtsbehörden das Vorhandensein einer dokumentierten Verhaltensrichtlinie und eine unterzeichnete Verpflichtungserklärung aller Mitarbeitenden in Verbindung mit einer Checkliste für Beschäftigte als ausreichend, sodass Vor-Ort-Kontrollen in der Regel entfallen können.
Schriftliche Arbeitsanweisungen / Verhaltensrichtlinie erforderlich
Arbeitsanweisungen an die Beschäftigten werden meist mündlich erteilt. Gemäß der Rechenschaftspflicht, die sich aus Art. 5 Abs. 2 DS-GVO ergibt, ist die Erstellung und Bereitstellung einer schriftlichen Verhaltensrichtlinie für Beschäftigte erforderlich. Ein schriftliches Regelwerk ist nicht nur verpflichtend, sondern spart im Alltag auch erheblich Zeit. So können beispielsweise neue Mitarbeitende schnell auf die derzeit geltenden datenschutzrechtlichen Anforderungen sensibilisiert werden. Bei späteren Nachfragen haben sie eine Leitlinie an der Hand, in die zu jeder Zeit ein Blick geworfen werden kann.
„Mobiles Arbeiten und Homeoffice“ sollte als eigene Rubrik in dieser Richtlinie aufgeführt werden, da es durchaus Abweichungen zu den Vorgaben für die Geschäftsräumlichkeiten geben kann.
Sobald das Regelwerk erstellt wurde, ist dieses zentral an alle Mitarbeitenden zur Verfügung zu stellen und eine unterschriebene Verpflichtungserklärung aller Mitarbeiterinnen und Mitarbeiter einzuholen.
Zusätzlich ist eine Checkliste für Mitarbeitenden zur Überprüfung des eigenen Arbeitsplatzes zu Hause sehr sinnvoll.
Regelmäßige Sensibilisierung zum Datenschutz ist entscheidend
Wiederkehrende Datenschutzsensibilisierungen sind gesetzlich gefordert. Datenschutzbeauftragte sollten hier unter anderem auf Gefahren im Homeoffice oder am mobilen Arbeitsplatz aufmerksam machen. Es ist klarzustellen, dass es für Mitarbeitenden im Homeoffice ebenfalls Meldepflichten zu beachten gilt.
Sollte beispielsweise eine Datenschutzverletzung durch Verlust eines USB-Sticks passieren, ist die zuständige Stelle im Unternehmen zu informieren. Auf diese Meldewege muss in der Sensibilisierung hingewiesen werden, die mindestens einmal jährlich durchgeführt werden sollte.
Wie diese Maßnahme zur Sensibilisierung gestaltet ist, ist nicht vorgeschrieben. Alle Varianten (Vortrag des Fachpersonals, Lernspiele, Schulungsvideos, etc.) bieten unterschiedliche Vor- und Nachteile.
Sie entscheiden, welche Maßnahme die wirkungsvollste für Ihr Unternehmen ist.
Fazit zu Datenschutz im Homeoffice
Komme ich also zurück auf die ursprüngliche Frage: „Datenschutz im Homeoffice – wie geht das?“ Die Antwort: Aus Sicht des Datenschutzes ist Homeoffice zumindest kein „No-Go“. Mit den oben beschriebenen Hinweisen sind Sie bereits sehr gut aufgestellt.
Es ist aber notwendig, sich frühzeitig mit der Thematik zu beschäftigen, um im Bedarfsfall eine schnelle und sichere Umsetzung ermöglichen zu können. Es können schon einfache technische und organisatorische Maßnahmen für ein höheres Schutzniveau sorgen.
Ein großer Fehler hingegen wäre es, Homeoffice ohne ausreichend Regelungen stillschweigend einzuführen.
Lassen Sie sich also nicht vorschnell abschrecken, jede Maßnahme kann helfen.