Datenschutzkonformes Arbeiten im Home-Office - von Nico Ellmann
Die Corona-Pandemie stellt Arbeitgeber und Mitarbeiter im geschäftlichen Alltag vor große Herausforderungen. Auch Mitarbeiter, die bislang nicht im Home-Office gearbeitet haben, müssen gegebenenfalls ihren Arbeitsalltag nach Hause verlegen oder tun dies als Vorsichtsmaßnahme. Aufgrund der unerwarteten Situation fehlt in vielen Unternehmen eine gewachsene Struktur oder Vorbereitung für die Heimarbeit der Mitarbeiter. Eine Datenpanne, auch wenn Sie im Home-Office passiert, wird immer auf das Unternehmen zurückfallen und dieses muss letztlich auch die Konsequenzen tragen. Hier gilt es also auch nachträglich noch nach zu justieren, falls die bisherigen Maßnahmen nicht ausreichend sind.
Maßnahmen des Arbeitgebers
Mit Mitarbeitern, die im Home Office arbeiten, sollte eine Home-Office-Vereinbarung getroffen werden. Diese Vereinbarung wird vom Mitarbeiter unterschrieben und regelt somit die Rahmenbedingungen für die Arbeit im Home-Office. Es ist alternativ möglich eine Richtlinie festzulegen, allerdings besteht dann der Nachteil, dass hierbei keine Zustimmung durch den Mitarbeiter vorliegt. In der Vereinbarung oder der Richtlinie wird geregelt welche Grundsätze der Mitarbeiter im Home-Office beachten muss.
Vom Unternehmen sind geeignete technische und organisatorische Maßnahmen zu treffen. Die Mitarbeiter sollten im Rahmen einer Schulung hinreichend zu den datenschutzrechtlichen Aspekten der Home-Office Arbeit geschult werden. Grundsätzlich sollten Unternehmensdaten und private Daten von Mitarbeitern immer strikt getrennt werden. Daher dürfen E-Mails auch nicht an private Mail-Accounts weitergeleitet werden. Mitarbeitern sollte jeweils ein eigenes Mail-Postfach vom Unternehmen eingerichtet werden. Des Weiteren dürfen keine Daten über private WhatsApp Accounts oder andere Tools, welche eigentlich privat genutzt werden, geteilt werden.
Mitarbeitern im Home-Office muss die für Ihre Tätigkeit notwendige Ausstattung zur Verfügung gestellt werden. Hierzu gehören etwa ein PC, Notebook oder Smartphone, die in das IT-Sicherheitskonzept des Unternehmens eingebunden sind sowie geeignete Softwarelösungen. Soll die Arbeit auf einem privaten Gerät des Mitarbeiters durchgeführt werden, kann dies durch geeignete Web-Software realisiert werden. Hierbei werden keine Daten auf dem Gerät des Mitarbeiters gespeichert, sondern verbleiben immer auf dem Server des Unternehmens.
Auf Grund der derzeitigen
Ausnahmesituation durch die Corona-Pandemie ist es allerdings auch möglich, Mitarbeiter ihre private Hardware nutzen zu lassen. Diese Vorgehensweise ist allerdings auf den Zeitraum der derzeitigen Situation beschränkt und hierbei muss immer eine strikte Datentrennung sichergestellt sein. Die Verwendung von Papierdokumenten sollte nach Möglichkeit vermieden beziehungsweise reduziert werden. Hier besteht in der Regel ein erhöhtes Risiko, dass diese unbeaufsichtigt liegen bleiben oder verloren gehen.
Was Mitarbeiter wissen müssen
Ein geeigneter Arbeitsplatz für das Home Office sollte nach Möglichkeit räumlich abgetrennt sein. Eine WG-Küche ist als Arbeitsplatz, insbesondere wenn personenbezogene Daten verarbeitet werden, ungeeignet. Suchen Sie sich eine ruhige Ecke und stellen Sie sicher, dass Ihr Monitor nicht von vorbeigehenden Personen einsehbar ist. Dies kann etwa auch bei einem Arbeitsplatz am Fenster der Fall sein. Hilfreich ist hier eine Blickschutzfolie. Darüber hinaus sollten Telefongespräche und Videokonferenzen nicht in Anwesenheit Dritter durchgeführt werden.
Die Verbindung zu arbeitsbezogenen Diensten sollte immer verschlüsselt stattfinden. Nutzen Sie also immer ein passwortgeschütztes WLAN und sichere SSL/TLS-Verbindungen. Im Idealfall besteht eine VPN-Verbindung zum Unternehmensnetzwerk. Die vom Arbeitgeber bereitstellten Geräte sollten nicht für private Zwecke genutzt und auf keinen Fall von den eigenen Kindern, dem Partner oder anderen Personen verwendet werden.
Sollten für die Arbeit im Home-Office Papierdokumente notwendig sein, ist sicherzustellen, dass die Unterlagen in Pausen und am Ende des Arbeitstages angemessen verwahrt werden, wenn andere Personen Zugang zu den Räumlichkeiten haben. Ebenso ist bei der Entsorgung darauf zu achten, dass Unterlagen mit personenbezogenen Daten nicht im heimischen Papiermüll landen. Bewahren Sie die Unterlagen verschlossen bis zum nächsten Bürotag auf und entsorgen Sie diese dann in der Datentonne oder im Shredder.
Sollten doch einmal
Datenpannen auftreten, wie verlorengegangene Dokumente oder Datenträger, sollte nicht gezögert werden den Arbeitgeber hierüber zu informieren. Nicht jede Datenpanne ist an die Aufsichtsbehörde meldepflichtig, die Beurteilung hierzu kann aber nicht der Mitarbeiter selbst vornehmen. Im besten Fall steht hierfür ein Datenschutzbeauftragter zur Verfügung.
Fazit
| DO`S | DONT`s |
|
|
Auch wenn Sie bisher keine ausreichenden datenschutzbezogenen Maßnahmen getroffen haben ist dies kein Beinbruch. Guter Datenschutz benötigt eine fortlaufende Betreuung und Überprüfung. Justieren sie an den entsprechenden Stellen nach und bringen Sie ihr Unternehmen auf den richtigen Kurs in Richtung datenschutzkonforme Datenverarbeitung.
Autor
Nico Ellmann berät Unternehmen zum Thema Datenschutz und Datensicherheit und betreut Unternehmen als Externer Datenschutzbeauftragter. Weitere Informationen zu seiner Arbeit erhalten Sie unter diomda.de