News
Datenschutz im Homeoffice
Auch im Homeoffice müssen die wesentlichen Grundlagen der DSGVO zum Umgang mit personenbezogenen Daten zwingend beachtet werden.
Urheber: @minhphamdesignHomeoffice - DSGVO konforme Nutzung
Die Corona-Pandemie mit Ihren unumgänglichen Kontaktbeschränkungen hat viele Unternehmen dazu gezwungen, Arbeitnehmerinnen und Arbeitnehmer vom Homeoffice aus arbeiten zu lassen. Neuesten Untersuchungen zur Folge klappt die Arbeit von Zuhause aus besser, als von vielen Unternehmenslenkern befürchtet.
Für viele Firmen war das Thema „Homeoffice“ 2020 noch komplettes Neuland. Die Mehrzahl der Unternehmen hatte nachvollziehbar in den ersten Monaten der Pandemie in erster Linie genug damit zu tun, als ersten Schritt die notwendigen technischen Voraussetzungen für eine effiziente Arbeit vom Homeoffice aus zu organisieren.
Welche Auswirkungen die Arbeit aus dem HomeOffice für den Datenschutz entfalten, stand zunächst im Fokus der Änderungen der Arbeitssituation. Leider greift aber die rein praktische Umsetzung von Homeofficearbeit aus der Sicht von Datenschützern zu kurz.
Denn neben der neu bzw. ergänzend aufzusetzenden IT-Infrastruktur, muss auch der obligatorische Datenschutz nach den Regeln der DSGVO umgesetzt werden, wenn die Arbeit aus dem Homeoffice nicht zu einer im Zweifel teueren Abmahnung des Unternehmens wegen Verstößen gegen die DSGVO führen soll.
In diesem Beitrag klären wir darüber auf, welche datenschutzrechtlichen Besonderheiten beim Homeoffice zu beachten sind, welche Maßnahmen Sie als Unternehmen treffen sollten und wie Sie Ihre Arbeitnehmerinnen und Arbeitnehmer DSGVO-konform von zu Hause aus arbeiten lassen können.
DSGVO Sicherheitsmaßnahmen im Homeoffice
Technische Maßnahmen
Aus dem Homeoffice heraus sollte der Datenzugriff auf Unternehmensdaten auf das zwingend notwendige beschränkt werden. Die Verbindungen der Geräte der Arbeitnehmerinnen und Arbeitnehmer mit den Servern des Unternehmens sollten ausschließlich über verschlüsselte, sichere VPN-Verbindungen (VPN = Virtual Private Network) erfolgen. Nach Möglichkeit sollte die Verwendung von mobilen Datenträgern im Homeoffice unterlassen werden. Lässt sich eine Verwendung von mobilen Datenträgern (externe Festplatten und USB-Speichersticks) nicht vermeiden, so sind diese zu verschlüsseln und in Zeiten der Nichtnutzung stets durch sicher abschließbare Behältnisse vor fremden Zugriff (auch von Familienmitgliedern) zu schützen.
Siri, Google und Alexa
Der Einsatz von digitalen Assistenten, insbesondere solchen, die beständig Ihre Umgebung „belauschen“ ist zu vermeiden.
Organisatorische Maßnahmen
Unternehmen tun gut daran, Ihren Beschäftigen eindeutige Verpflichtungen und Arbeitsanweisungen aufzuerlegen, wie diese mit die Datensicherheit von personenbezogenen Daten betreffenden Situationen umzugehen haben.
Zu regeln ist z.B. welche Vorkehrungen für das Führen von vertraulichen Telefon- oder Videogesprächen von den Beschäftigen zu treffen sind. Schriftliche Aufzeichnungen von Gesprächen mit Kunden müssen sicher verwahrt und am besten elektronisch erfasst und im Firmennetzwerk gespeichert werden. Handschriftliche Notizen mit personenbezogenen Daten sind zügig in elektronische Form zu überführen, für den Zeitraum der Erfüllung des Zwecks der Erhebung der Daten zu archivieren und anschließend auf genau festzulegende Art und Weise ordnungsgemäß zu löschen. Des Weiteren sollte festgelegt werden, welche Maßnahmen Beschäftigte zum Schutze von personenbezogenen Daten zu tätigen haben, wenn sie z.B. ihren Homeoffice-Arbeitsplatz für einen längeren Zeitraum verlassen (Abschließbare Räumlichkeit, Sperren des Zugriffs des Arbeitscomputers und anderer ähnlicher Geräte etc.), welche Schutzmaßnahmen hinsichtlich mobiler Datenträger im Homeoffice ergriffen werden müssen und wie der Schutz von Daten während einer dienstlich angeordneten Reise sichergestellt werden soll.
Teil der Organisatorischen Maßnahmen sollte auch das Festlegen einer Passwortrichtlinie sein, auf deren Einhaltung Beschäftigte schriftlich verpflichtet werden.
Unterrichtung, Schulung, Verpflichtung
Bestenfalls schon vor Beginn der Aufnahme der Tätigkeit aus dem Homeoffice sind die Beschäftigten über die besonderen Gefahrensituationen, die aus dem Homeoffice erwachsen können, zu unterrichten. Schulungen der Mitarbeiterinnen und Mitarbeiter über die von dem Unternehmen geforderten Sicherheitsmaßnahmen im Homeoffice bilden die Grundlage der Schaffung eines sicheren Homeoffice-Arbeitsplatzes. Nach erfolgter Schulung sollten alle Beschäftigten auf die Einhaltung der festgelegten und geforderten Sicherheitsmaßnahmen verpflichtet werden.
Die Unterrichtungen und Schulungen der Beschäftigten sollen in regelmäßigen Abständen (etwa alle 12 Monate) aufgefrischt werden. Anlassbezogen natürlich auch schon früher.
Wichtig!
Unternehmen sind verpflichtet, nachweisen zu können, dass sie zum Schutze von personenbezogenen Daten alle notwendigen Sicherheitsmaßnahmen ergriffen haben. Alle Maßnahmen wie auch durchgeführte Schulungen und Homeoffice-Arbeitsanweisungen sind aus diesem Grund zwingend mit Datum und Unterschrift versehen, aufzubewahren.
Beendigung der Arbeit aus dem Homeoffice
Sobald die Arbeit aus dem Homeoffice nicht nur vorübergehend eingestellt wird, ist Folgendes zu beachten:
- Alle unternehmensrelevanten Daten und Unterlagen sind von den Mitarbeiter:innen an das Unternehmen zurückzugeben.
- Die Beschäftigten sollten schriftlich bestätigen, dass alle Daten und Unterlagen -insbesondere solche mit Personenbezug- an das Unternehmen zurückgegeben worden sind.
- Ebenso sollten die Beschäftigten schriftlich bestätigen, dass alle geschäftsbezogenen Daten von Geräten der Beschäftigten ordnungsgemäß gelöscht worden sind.
netinsiders Datenschutzwerft hilft Unternehmen seit Mai 2018 bei allen erforderlichen Umsetzungen des Datenschutzes gemäß den Vorschriften der DSGVO.
Gerne übernimmt die Datenschutzwerft für Sie und Ihr Unternehmen das Erstellen der nach DSGVO erforderlichen Dokumente und hilft Ihnen somit, Ihre Geschäfte DSGVO-konform zu tätigen.
DatenschutzDatensicherheitWir helfen
Autor:
Mirko Gosch
Chief Marketing Officer (CMO)
Datenschutzbeauftragter DSB-TÜV
Mirko ist Volljurist und unser Marketing "Mad" Man. Im Online Marketing hat er seine Berufung gefunden. Am liebsten wendet er die erprobten Erfolgskonzepte amerikanischer Online-Marketer auf den deutschen Markt an. So sind die von netinsiders betreuten Firmen/Kunden der Konkurrenz immer mindestens eine Nasenlänge voraus.
Erstellt:19.08.2021
Letzte Aktualisierung:21.08.2021