Im Home-Office ist auch an Datenschutz zu denken

Home-Office. Die Corona-Pandemie hat die Entwicklung zu Arbeit von zu Hause sicherlich massiv beschleunigt. Seit dem 19.01.2021 gilt: Wenn der Arbeitsplatz für das Arbeiten im von Zuhause geeignet ist, sind Arbeitgeber verpflichtet, dem Arbeitnehmer das Home-Office aktiv anzubieten. Viele Millionen Arbeitnehmer dürften mittlerweile ganz oder teilweise von zu Hause aus arbeiten.

Woran viele Arbeitgeber aber sicher nicht denken: Was ist eigentlich mit dem Datenschutz im Home-Office? Und was ist mit der IT-Sicherheit? Wie kann ein angemessenes Schutzniveau auch bei den Beschäftigten zu Hause hergestellt werden?

Der Arbeitsplatz daheim muss genauso sicher sein wie das Büro

Bei der Arbeit von zu Hause gilt: Der Home-Office-Arbeitsplatz ist nicht anders zu behandeln, wie der Büroarbeitsplatz. Verarbeitet der Mitarbeiter zu Hause personenbezogene Daten? Dann muss genauso sichergestellt sein, dass diese Daten geschützt sind. Also sind auch für zu Hause technische und organisatorische Maßnahmen nötig.

Das muss der Arbeitgeber durch eigene vorbereitende Maßnahmen sicherstellen. Dazu gehört die Absicherung der betrieblichen mobilen Geräte. So muss zum Beispiel der Laptop, den die Mitarbeiter nutzen können, nicht nur einen Passwortschutz haben. Auch die folgenden Maßnahmen gehören z.B. dazu:

  • die Festplatte muss verschlüsselt sein (bspw. bei Windows-Rechnern mit Bitlocker oder bei Macs mit FileVault),
  • die Verbindung zum Server der Firma muss per VPN abgesichert sein,
  • der Laptop sollte mit einem Blickwinkelfilter ausgestattet sein (Es gibt auch Modelle, die das elektronisch per Knopfdruck ermöglichen),
  • nach kurzer Zeit muss sich der Screensaver einschalten, der mit Passwortschutz zu versehen ist,
  • darf der Mitarbeiter auch private Daten speichern, müssen die Daten streng voneinander getrennt werden,
  • usw.

Darüber hinaus aber muss der Arbeitgeber den Beschäftigten konkrete Vorgaben machen. Es müssen Maßnahmen getroffen werden, die nur diese zu Hause umgesetzt werden können. Dazu gehören Maßnahmen wie:

  • Laptop in einem abschließbaren Behältnis (Schrank o.ä.) aufbewahren.
  • Die Verpflichtung für den Beschäftigten, Sprachassistenten (z.B. Alexa, Google Assist, Cortana, Siri) während der Arbeit im Home-Office abzuschalten,
  • Sichere Vernichtung von Ausdrucken mit personenbezogene Daten. Verfügt der Beschäftigte nicht über eine datenschutzkonforme Aktenvernichtung, sollte er verpflichtet werden, vertrauliche Unterlagen sicher aufzubewahren, bis er sie beim Arbeitgeber datenschutzkonform vernichten kann.
  • usw.

Diese Vorgaben sollte der Arbeitgeber in Form schriftlicher Arbeitsanweisungen den Beschäftigten vorgeben. Denn er hat als Verantwortlicher für die Datenverarbeitung (Art. 4 Nr. 7 DSGVO) nachzuweisen, dass er seinen Verpflichtungen nachgekommen ist (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO).

Die Lösung: Verbindliche Home-Office-Richtlinie

Dafür eignet sich eine unternehmensweite Home-Office-Richtlinie. Sie ist allen Mitarbeitern zur Kenntnis zu gegeben. Und sie sollte als verbindliche Arbeitsanweisung gelten. Damit kann der Arbeitgeber seiner Sorgfaltspflicht nachkommen. Denn die Verantwortung für die Daten bleibt im Home-Office bestehen.

Und: Daten, die das Unternehmen verlassen, sind durch eigene, strengere technische und organisatorische Maßnahmen zu schützen. Daher ist zusätzlich an eigene oder ergänzte TOMs zu denken, die für das Home-Office gelten.

Ich erstelle Ihnen eine vernünftige Home-Office-Richtlinie. Und ich berate Sie zu allen Fragen rund um das Home-Office.

Timo Schutt
Fachanwalt IT-Recht
Ihr DatenschutzPartner

Urheberangabe für das Foto für diesen Beitrag:

  • Concept of sending e-mails: ra2studio - 123rf.com