Digitalization

Das Homeoffice – oder besser „mobiles Arbeiten“ – erlebt gerade Hochkonjunktur. Bei all den Vorteilen, die das Arbeiten von zuhause mit sich bringt, darf aber der Datenschutz nicht außer Acht gelassen werden. Wir erklären, wie auch zuhause mit personenbezogenen Daten richtig und sicher umgegangen wird.

Normalerweise sollte die Einrichtung eines mobilen Arbeitsplatzes gut vorbereitet sein, um Datenschutz und IT-Sicherheit optimal zu gewährleisten. In der aktuellen Situation hat sich der Wechsel ins Homeoffice für viele Arbeitnehmer häufig eher kurzfristig und vergleichsweise spontan vollzogen.

Bei der Arbeit mit personenbezogenen Daten gelten auch zuhause alle datenschutzrechtlichen Regelungen, wie beispielsweise die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG). Im Idealfall wurde zwischen Unternehmen und Arbeitnehmer eine Vereinbarung getroffen oder es existiert eine Betriebsvereinbarung, in der auch das Arbeiten von unterwegs oder zuhause geregelt ist. Zudem sollten die folgenden Punkte berücksichtigt werden:

  • Verschlüsselung mobiler Endgeräte: Zwingend erforderlich sind verschlüsselte mobile Endgeräte, vor allem Notebooks und Smartphones müssen besonders geschützt sein.
  • Informationssicherheitsrichtlinie: Gibt es bereits eine Informationssicherheitsrichtline im Unternehmen, gilt diese natürlich auch im Homeoffice.
  • Verträge checken: Werden personenbezogene Daten im Auftrag verarbeitet, muss vor einem Umzug ins Homeoffice geprüft werden, ob eine Datenverarbeitung von Zuhause aus in den Vereinbarungen nicht ausgeschlossen ist!
  • Separates Arbeiten: Wenn möglich, sollte sich der heimische Arbeitsplatz in einem extra Zimmer befinden, so dass keine Personen mitlesen oder mithören können. Nur so kann neben dem Datenschutz auch die Geheimhaltung garantiert werden. Das dienstliche Equipment sollte in ungenutzten Zeiten oder bei Abwesenheit unter Verschluss bleiben.
  • VPN: Auf das Firmennetzwerk dürfen die Arbeitnehmer nur über eine sichere und verschlüsselte Virtual Private Network (VPN) Verbindung zugreifen können. Hierfür sollte beim Aufbau der Verbindung immer eine Zwei-Faktor-Authentifizierung zur Verfügung stehen.
  • Keine private Nutzung: Auch im Homeoffice darf die IT-Ausstattung, die vom Unternehmen gestellt wird, etwa Notebooks oder Smartphones, nicht für private Zwecke verwendet werden.
  • Bildschirm sperren: Selbst wenn der Arbeitsplatz nur kurz verlassen wird, muss der Rechner gesperrt sein, besonders wenn mehrere Personen im Haushalt zusammenleben.
  • Externe Datenträger verschlüsseln: USB-Sticks und sonstige externe Datenträger dürfen nur nach Genehmigung durch die IT verwendet werden sofern es keinen expliziten Verwendungsausschluss gibt. Darüber hinaus müssen sie nach dem aktuellen Stand der Technik verschlüsselt sein.
  • Richtige Ablage und Vernichtung von Dokumenten: Auch bei der Arbeit von Zuhause müssen Dokumente mit personenbezogenen Daten so abgelegt werden, dass andere keinen Zugriff darauf haben (zum Beispiel in einem verschlossenen Schrank oder Schreibtisch). Je nach Klassifikation der Dokumente in „öffentlich“, „intern“ oder „vertraulich“, dürfen Unterlagen der Stufe „vertraulich“ das Unternehmen nicht verlassen. Das betrifft auch das mobile Arbeiten. Müssen Dokumente entsorgt werden, wird die Aufgabe im Unternehmen erledigt.
  • WLAN-Netzwerk: Zuhause wird meistens der private Internetzugang verwendet. Dabei muss darauf geachtet werden, dass das Netzwerk entsprechend abgesichert ist, etwa mit einer Verschlüsselung, sicheren Passwörtern etc.
  • Regelmäßige Updates: Auch im Homeoffice sollten alle verwendeten Programme, Tools und Systeme immer auf dem neuesten Stand gehalten werden.
  • Bring your own device (BYOD): Private Endgeräte können nur unter Berücksichtigung der gültigen Informationssicherheitsrichtline des Unternehmens eingesetzt werden. Gibt es keine Richtlinie, ist der Einsatz privater Endgeräte auf keinen Fall zu empfehlen. Die Nutzung von privaten Notebooks mit Zugriff auf das Unternehmensnetz ist ohne entsprechende Sicherheitseinrichtungen wie einem Secure Boot Stick ausgeschlossen.