Datenschutz im Homeoffice - was Unternehmen beachten müssen - mit Datenschutz-Checkliste Homeoffice

Der Arbeitgeber ist für die Verarbeitung personenbezogener Daten verantwortlich. Ihm obliegt es auch zu entscheiden, ob Homeoffice im Unternehmen erlaubt ist. Dabei müssen die folgenden Punkte beachtet werden:

IT-Ausstattung durch das Unternehmen
Mitarbeiter dürfen grundsätzlich nicht von ihren privaten Endgeräten auf Unternehmensdaten zugreifen. Der Arbeitgeber hat dafür Sorge zu tragen, dass der Mitarbeiter mit allen notwendigen Betriebsmitteln ausgestattet wird. Nur so ist es dem Arbeitgeber möglich, gesetzte Sicherheitsstandards auf den Endgeräten zu garantieren

Verschlüsselung von Festplatten
Damit im Fall eines Verlusts keine Unternehmensdaten in Gefahr sind, sollte die Festplatte verschlüsselt werden. Windows bietet mit dem Programm Bitlocker eine eigene Lösung ohne Zusatzprogramme. Gleiches gilt im übrigen ebenso für USB-Sticks oder mobile Festplatten.

Sicheres Kennwort für Login
Um Geräte vor dem umbefungten Zugriff zu schützen, müssen diese mit sicheren Kennwörtern / PINs versehen werden. In einem anderen Beitrag haben wir sichere Kennwörter bereits thematisiert.

Sichtschutzfolien
Auch Familienangehörige oder andere Personen, die im selben Haus wohnen, dürfen keinen Zugriff / Einblick auf Unternehmensdaten erhalten. Gleiches gilt für mobiles Arbeiten in der U-Bahn, im Zug oder im Flugzeug. Der Einsatz von Sichtschutzfolien wird daher empfohlen.

Automatisches Sperren des Desktops bei Inaktivität
Es gelten die gleichen Anforderungen wie im Büro. Ein inaktiver Computer sollte sich innerhalb von maximal 10 Minuten automatisch sperren.

Zugriff auf Unternehmens-IT
Der Zugriff auf die Unternehmens-IT, beispielsweise auf Netzlaufwerke sollte nur mittels einer VPN-Verbindung (Virtual Private Network) möglich sein. Zusätzlich werden persönliche Zugangsdaten empfohlen, die bei jeder Verbindung neu eingegeben werden müssen.

Datentransfer
Oftmals müssen Mitarbeiter Dateien versenden oder empfangen, die größer sind als es der E-Mail-Provider erlaubt. Der Arbeitgeber sollte hierbei auf eine unternehmensinterne Cloudlösung, z.B. nextcloud oder einen sicheren Dienstleister zurückgreifen.

Entsorgung von Dokumenten/Vernichtung
Wenn möglich sollte die Verantwortliche Stelle den Mitarbeitern für die sichere Vernichtung nicht mehr benötigter Dokumente mit Aktenvernichtern oder Datentonnen ausstatten.

Auftragsverarbeitungsverträge
Bevor Mitarbeiter vom Homeoffice aus arbeiten dürfen muss darauf geachtet werden, ob man in der Rolle des Auftragnehmers Auftragsverarbeitungsverträge unterzeichnet hat, die Arbeiten aus dem Homeoffice heraus verbieten.

Richtlinie für Mitarbeiter
Den Mitarbeitern sollte eine Richtlinie für Homeoffice zur Verfügung gestellt werden. Diese beinhaltet die maßgeblichen Verhaltensregeln. Ein Muster für eine solche Richtlinie finden Sie am Ende des Beitrags. Vielen Dank an Stephan Hansen-Oest, der diese Richtlinie allen kostenfrei zur Verfügung stellt,

Neben der verantwortlichen Stelle müssen sich auch Beschäftigte an gewisse Spielregeln halten. In allererster Linie gilt die geschlossene Verpflichtung auf Verschwiegenheit wie auch die Richtlinien zum Homeoffice. Darüber hinaus sollten Beschäftigte u.a. folgende Punkte beachten:

Nutzung der IT
Betriebsmitteln dürfen nicht durch Dritte genutzt werden. So dürfen auch im eigenen Haus lebende Kinder, Eltern oder Partner das Gerät nicht verwenden.

Keine privaten USB-Sticks oder Festplatten
Für den Transfer von Dateien dürfen nur vom Unternehmen freigegebene USB-Sticks, Festplatten oder SD-Karten verwendet werden.

Geschäftliche E-Mails nicht auf private Adressen weiterleiten
E-Mails aus dem geschäftlichen Konto dürfen nicht auf private E-Mail-Adressen weitergeleitet werden. Ebenso sollten keine E-Mails vom privaten E-Mail-Konto an geschäftliche Adressen verschickt werden.

Sperren des Computers beim Verlassen
Sobald Mitarbeiter den Arbeitsplatz verlassen, muss der Computer gesperrt werden. Unter Windows geht das mit der Tastenkombination "Windows+L" sehr einfach.

Umgebung beachten
Es sollte möglichst für eine ruhige Umgebung gesorgt werden, ohne dass Dritte den Bildschirm einsehen können. Dies gilt für Arbeiten in den eigenen vier Wänden wie auch unterwegs in der U-Bahn, im Bus, Zug oder Flugzeug.

Abschließbare Räume/Schränke
Sofern mit Papierdokumenten gearbeitet wird sollten diese in einem abschließbaren Raum/Schrank aufbewahrt werden.

Vernichtung 
Nicht mehr benötigte Dokumente müssen sicher vernichtet werden.Wenn kein Aktenvernichter zur Verfügung steht müssen die Unterlagen zumindest möglichst zerkleinert werden. Alternativ müssen die Unterlagen geschützt aufbewahrt und nach der Rückkehr ins Büro sicher vernichtet werden.

Telefonate (und Videokonferenzen)
Telefonate sollten so geführt werden, dass sie nicht von Dritten abgehört werden können. 

Sprachassistenten & sonstige Geräte
Alexa, Siri und Cortana haben sich zu Hause zu einem praktischen Begleiter entwickelt. Leider wurde bekannt, dass Mitarbeiter von Google, Amazon & Co. Mitschnitte analysieren um die Qualität der Reaktion der Sprachassistenten zu verbessern. Ebenso sind viele andere Geräte wie Babyphone oder Überwachungskameras im Einsatz, die oftmals nicht gut abgesichert und relativ einfach von "Außen" angezapft werden können. Hier ist insbesondere die Gefahr eines Hacks groß. Sprachassistenten sowie andere Geräte, die zum Abhören benutzt werden könnten, sollten möglichst deaktiviert werden.

Telearbeit ist heute technisch problemlos möglich. Durch technische, aber insbesondere auch organisatorische Maßnahmen muss aber sichergestellt werden, dass personenbezogene Daten zu jeder Zeit sicher sind. Arbeitgeber und Beschäftigte müssen hierbei an einem Strang ziehen um das Sicherheitsniveau zu gewährleisten. Mit Hilfe unserer kostenlosen Datenschutz-Checkliste Homeoffice können Sie prüfen, ob Sie an alle relevanten Punkte gedacht haben.