Homeoffice und Datenschutz

Arbeitswelt im Wandel – Homeoffice als Zukunftsmodell?

Unsere Arbeitswelt befindet sich in einem ständigen Wandel. Schon länger ist es nicht mehr unbedingt notwendig, dass alle Arbeiten von unternehmerischen Büroräumen aus getätigt werden. Diese Entwicklung unterliegt dabei vor allem ökonomischen, gesellschaftlichen aber auch ökologischen Faktoren. Nicht zuletzt spielen Pandemie und Work-Life-Balance in diesen Zeiten eine ausschlaggebende Rolle.

Neben der Überlegung, wie ein Arbeitsplatz professionell eingerichtet und die IT-Sicherheit gewährleistet wird, müssen sich Unternehmer die Frage stellen, wie sie den Datenschutz im Homeoffice sicherstellen, denn die Umsetzung kann durchaus Tücken mit sich bringen.

Datenschutz im Homeoffice – Grundlagen kennen

Grundsätzlich ist die Verarbeitung von personenbezogenen Daten nach dem Grundsatz des Datenschutzes verboten. Liegen Gründe vor, die die Verarbeitung erlauben oder gar notwendig machen, kann diese dennoch möglich oder verpflichtend sein (Verbot mit Erlaubnisvorbehalt).

Personenbezogene Daten sind alle Daten, die Rückschlüsse auf eine natürliche Person zulassen und eine Verarbeitung ist jeder Vorgang im Zusammenhang mit personenbezogenen Daten. Dabei ist es egal, ob dieser mit oder ohne Hilfe automatisierter Verfahren ausgeführt wird – z. B. erfassen, organisieren, löschen.

Die DSGVO besagt, dass jeder sich an die Vorgaben im Datenschutz halten muss, der regelmäßig personenbezogene Daten – auch in Vertretung – verarbeitet. Aufgabe der Verantwortlichen eines Unternehmens ist der Schutz des Betroffenen durch den Schutz seiner personenbezogenen Daten. Dabei ist die Unternehmensgröße unerheblich.

Soweit die Grundlagen, welche für Unternehmen die vermutlich bekannten Vorgaben mit sich bringen. Exemplarisch seien hier die Betroffenenrechte, das Verzeichnis von Verarbeitungstätigkeiten (VVT), die technischen und organisatorischen Maßnahmen (TOM) und die Datenschutzfolgenabschätzung genannt.

Tücken und Stolpersteine

Egal, wie gut der Datenschutz im Unternehmen geregelt ist, die Umsetzung im Homeoffice stellt eine weitaus höhere Herausforderung dar. Allein dadurch, dass bestimmte systemische Kontrollmechanismen entfallen, entzieht sich vieles im Datenschutz den automatisiert eingerichteten Abläufen.

Betrachten wir einige Beispiele genauer, so wird deutlich, dass dies nicht nur Technik und IT-Sicherheit betrifft. Wenn Arbeitsplätze im Homeoffice, anders als Büroräume, nicht ausreichend vor unbefugten Zutritten geschützt werden können, kann eine erste Lücke im Datenschutz entstehen. Kann gewährleistet werden, dass ausschließlich der zuständige Mitarbeiter Zugriff auf die zu schützenden Daten erhält? Es muss! Dabei zählen auch Familienmitglieder aus dem gleichen Haushalt zu sogenannten unbefugten Dritten, die keinen Zugriff auf personenbezogene Daten erhalten dürfen. Diese Regel gilt sowohl für digitale Medien als auch für Ausdrucke auf Papier.

Ein erster Schritt muss daher immer sein die Gegebenheiten vor Ort an den Datenschutz anzupassen. Unterlagen mit personenbezogenen Daten müssen sicher und unzugänglich aufbewahrt werden. Computer müssen zwingend beim Verlassen des Arbeitsplatzes gesperrt werden. Ein Endgerät mit personenbezogenen Daten darf nicht für private Zwecke oder durch andere genutzt werden – zumindest muss sichergestellt sein, dass ein Zugriff auf die Daten durch einen Unbefugten nicht möglich ist.

Nicht zu unterschätzen ist die Nutzung von privaten Endgeräten oder auch BYOD – „Bring your own device“. Mehr noch als bei firmeneigenen Geräten ist hier die Gefahr von Zugriffen Unbefugter zu beurteilen. Ist das Gerät ausreichend vor Zugriffen von außen geschützt und welche Nutzer greifen noch auf das Gerät zu? Grundlagen, die es vor der Arbeit im Homeoffice zu klären und sicher zu gestalten gilt.

Was sollten Unternehmen tun?

Datenschutz unterliegt festen gesetzlichen Vorgaben und muss doch individuell an die Abläufe eines Unternehmens angepasst werden. Für die Arbeit im Homeoffice bedeutet das, dass diese im Einzelfall bewertet werden müssen und auch in die Dokumentation aufgenommen werden.

Konkrete Schritte sind beispielsweise, dass die Verarbeitungen, die im Homeoffice stattfinden in den datenschutzrelevanten Vorgaben berücksichtigt werden. Verantwortliche müssen diese ebenso in den VVT erfassen und dokumentieren, als auch notwendige technische und organisatorische Maßnahmen erstellen, durchsetzen und festhalten. Sicherheitsstandards müssen einhaltbar sein. Bei der Verarbeitung von personenbezogenen Daten besonderer Arten, wie Gesundheitsdaten, ethnische Herkunft oder Religionszugehörigkeit, muss eine Risikoanalyse ggf. gefolgt von einer Datenschutzfolgenabschätzung durchgeführt werden.

Bei der Nutzung von Anbietern zur VPN-Übermittlung oder Videokonferenzen sowie Cloud-Lösungen kann es notwendig sein zu prüfen, ob ein Vertrag zur Auftragsdatenverarbeitung benötigt wird. Auch das Speichern von personenbezogenen Daten auf Datenträgern, deren Löschung und Vernichtung, bis hin zum Drucken, Faxen und Shreddern von Dokumenten sollte datenschutzrechtlich geprüft und bewertet werden.

Besondere Risiken im Datenschutz sind im Homeoffice ganz besonders genau zu hinterfragen, da die Kontrolle durch den Arbeitgeber nicht oder nur begrenzt gegeben ist und die Gefahr eines Zugriffs durch Dritte ungleich höher ist, als in den Büroräumen eines Unternehmens.

Der Mitarbeiter als wichtiger Baustein für den Datenschutz

Wer von zu Hause aus mit personenbezogenen Daten arbeitet, der trägt eine Verantwortung für die gesetzeskonforme Umsetzung des Datenschutzes. Ein gut informierter Mitarbeiter bildet dabei eine unabdingbare Grundlage.

Unternehmen ist zu empfehlen, Datenschutzschulungen für Mitarbeiter im Homeoffice anzupassen und diese auf die Besonderheiten hinzuweisen, die es einzuhalten gilt. Eine Homeoffice-Vereinbarung kann darüber hinaus zur Verpflichtung auf die Einhaltung der Vorgaben sowie der Einhaltung der technischen und organisatorischen Maßnahmen erstellt werden. Geregelt werden sollten dabei auch die BYOD-Vorgaben oder die Nutzung von unternehmenseigenen Endgeräten.

Eine Weiterleitung von firmeninternen E-Mails auf den privaten Account ist aus datenschutzrechtlicher Sicht nicht erlaubt, stellt diese doch unter Umständen eine nicht autorisierte Weitergabe von personenbezogenen Daten dar.

Passwortrichtlinien spielen hierbei ebenso eine Rolle, wie eine sichere Übermittlung der Daten aus der eigenen Wohnung heraus. VPN-Lösungen mit ausreichenden Verschlüsselungen stellen eine Möglichkeit dar, diese Sicherheit zu gewährleisten.

Die Bausteine zusammenfügen – ein Fazit

Bewertet man die einzelnen Schritte um den Datenschutz im Homeoffice umzusetzen, wirkt es erst einmal, als würden sich Datenschutz und Homeoffice ausschließen. Grundsätzlich kann man aber sagen, dass ein gut durchdachtes Konzept im Datenschutz, in Verbindung mit dem richtigen IT-Sicherheitskonzept eine lösbare Aufgabe ist. Setzt man die einzelnen Fragmente fachgerecht zusammen oder lässt dies durch einen Fachmann betreuen, kann man mit dem Homeoffice ein umsetzbares Zukunftskonzept im Unternehmen etablieren, dass nicht zuletzt auch zur längerfristigen Angestelltenbindung und flexibleren Arbeitsweisen beiträgt – solange man den Datenschutz nicht aus den Augen verliert.