Datenschutz im Homeoffice: Was muss man beachten?

Aufgrund der Corona-Pandemie arbeiten aktuell viele Menschen im Home-Office. Das stellt Arbeitgeber und Arbeitnehmer beim Thema Datenschutz vor neue Herausforderungen. Damit vertrauliche Firmendaten auch am heimischen Computer sicher bleiben, gibt es einige Punkte zu beachten.   

Wenn Mitarbeiter ihren Arbeitsplatz in die eigene Wohnung verlegen, gelten die bisherigen Regelungen zum Datenschutz und der Datensicherheit grundsätzlich weiter fort. Unternehmen haben dafür Sorge zu tragen, dass auch am heimischen Arbeitsplatz ein vergleichbares Datenschutzniveau erreicht wird wie im Büro auf dem Betriebsgelände. Dies stellt Arbeitgeber vor eine nicht zu unterschätzende Aufgabe, für deren Umsetzung man in „Friedenszeiten“ sicher mehrere Monate einplanen würde und die nun ad hoc bewerkstelligt werden muss. Für einen praxisgerechten Umgang mit dieser komplexen Thematik haben wir Ihnen ein paar wichtige Anregungen zusammengestellt.

Umgang mit betrieblichen Daten im Home-Office

Sinnbildlich gesprochen ist der Heimarbeitsplatz lediglich die Erweiterung des eigentlichen Arbeitsplatzes eines jeden Mitarbeiters. Das hat zur Folge, dass alle vertraglichen Weisungsrechte des Arbeitgebers bestehen bleiben und dieser für alle betrieblichen Daten weiterhin verantwortlich ist. Es gilt daher auch außerhalb des Betriebsgeländes stets der Grundsatz, dass vertrauliche Daten der Einsichtnahme durch Dritte – z. B. durch einen Blick auf den Bildschirm – entzogen sein müssen. Die Verwendung zu betriebsfremden Zwecken muss unterbunden werden.

Hierzu gilt es individuelle Regelungen zum konkreten Umgang zu definieren. Dazu einige Beispiele:

• Der Zugang zur unternehmensinternen IT-Infrastruktur (zumeist geschützt über einen Passwortzugang) muss geheim gehalten werden, d.h. auch der Ehegatte darf hiervon wie von sonstigen Unternehmensdaten keine Kenntnis nehmen;
• betriebliche Daten müssen auf Geräten des Unternehmens verbleiben. Anders wäre dies nur, wenn beispielsweise mit sog. „Container-Lösungen“ hybride Geräte für den privaten und den Dienstgebrauch in Benutzung sind;
• der Abruf dienstlicher Daten mit privaten Geräten sollte untersagt werden. Dazu gehört auch der Abruf des dienstlichen E-Mail-Accounts. Ausgenommen hiervon ist der unternehmenseigene Webmail-Zugang.

Insbesondere der letzte Standard zielt auf die zu wahrende Trennung zwischen dienstlichen und privaten Endgeräten – oder zumindest dienstlicher und privater Daten. Die Notwendigkeit dieser Trennung wird auch an den unterschiedlichen Anforderungen an private und dienstliche Nutzung deutlich. Mittlerweile ist einem Großteil der Nutzer von WhatsApp bewusst, dass durch die Nutzung des Messenger-Dienstes auch eine Kommunikation weiterer Handydaten erfolgen kann. Wenn das private Smartphone, auf dem WhatsApp genutzt wird, nun auch zur dienstlichen Kommunikation verwendet wird, kann ein Zugriff auf dienstliche Daten durch den Arbeitnehmer nicht sachgerecht verhindert werden.

Der sichere Heimarbeitsplatz

Ebenso ist bei der Auswahl des konkreten Heimarbeitsplatzes, also des Raumes, auf die Sicherheit hinsichtlich der Zugänglichkeit durch andere Personen zu achten. In jedem Fall vorzuziehen wäre ein gesondert abschließbarer Raum als Home-Office. Dass dies nicht immer möglich sein wird, liegt allerdings auf der Hand. In jedem Fall muss der Mitarbeiter gewährleisten können, dass er jederzeit die Aufsicht über seinen Heimarbeitsplatz ausüben und Dritte (seien es Handwerker, Gäste oder auch Familienmitglieder) vom Zugriff auf betriebsinterne Daten ausschließen kann.

Zum Teil wirken derartige Regelungen ein wenig befremdlich. Und natürlich ist zu beachten, dass in Abhängigkeit von der Art der Wohngemeinschaft auch unterschiedliche Vertrauensverhältnisse bestehen, welche sich jedoch nur schwer in konkreten Handlungsrichtlinien berücksichtigen lassen. Daher muss es z. B. in Wohnungen, in welchen ausschließlich die Familienmitglieder zur Wohngemeinschaft zählen und Räumlichkeiten nicht abgeschlossen werden können, zumindest eine klare Trennung zwischen dem Arbeitsbereich und dem privaten Bereich geben. Bedeutet konkret: Das Schlafzimmer wird tagsüber zum Arbeitszimmer und die Unterlagen und Daten werden täglich nach Abschluss der Arbeitstätigkeit verschlossen aufbewahrt.

Für den Fall, dass der Mitarbeiter seinen Heimarbeitsplatz kurzfristig verlässt, gilt es Sicherheitsmaßnahmen zu vereinbaren, die z. B. wie folgt gestaltet werden können:

• Einschalten des Sperrbildschirms bei (auch nur kurzzeitigem) Verlassen des Heimarbeitsplatzes; ein erneuter Login sollte nur mit Passwort möglich sein;
• Fenster und Türen sollten geschlossen sein;
• soweit möglich sollten Papierakten dem unmittelbaren Zugriff entzogen und in abschließbaren Schränken aufbewahrt werden.

Sicherheitsmaßnahmen bei der Übertragung von Akten und Daten

Kommt es zu einem Transport von Akten oder anderen physischen Unterlagen, sollten diese nur in verschlossenen Behältnissen transportiert werden (z. B. im verschlossenen Aktenkoffer). Wichtig ist, dass der Mitarbeiter die Unterlagen beim Transport zu keiner Zeit unbeaufsichtigt lässt.

Darüber hinaus ist beim Transport von Daten über einen Datenträger sicherzustellen, dass der Datenträger mittels eines freigegebenen Verfahrens nach dem Stand der Technik gesichert ist. In der Regel erfolgt dies in Form speziell hierfür verschlüsselter Datenträger.

Kommunikationsformen

Neben den geschilderten Themen bezüglich der eigentlichen Arbeitstätigkeit ergeben sich auch ergänzende Anforderungen aus der Kommunikation und Abstimmung über die Distanz. Dabei ist die einfache telefonische Kommunikation aus Sicht des Datenschutzes noch am unkompliziertesten, auch wenn hier ebenfalls die Trennung zwischen privaten und dienstlichen Endgeräten zu beachten ist. Darüber hinaus ergibt sich jedoch durch die Abstimmung über Videokonferenzen oder Chats die Notwendigkeit einer expliziten Beurteilung aus Datenschutzsicht. Hier sei z. B. auf die automatische Aufnahmefunktion der Videokonferenz, welche bei einigen Anbietern voreinstellbar ist, hingewiesen. Erfolgt hier eine Videoaufnahme des Arbeitnehmers ohne dessen Einverständnis, kann es schnell zu einem Verstoß gegen den Datenschutz kommen.

An den geschilderten Beispielen wird deutlich, dass die praktische Umsetzung eines mit dem üblichen Arbeitsplatz vergleichbaren Schutzniveaus nicht ohne gesonderte Anstrengungen und Regelungen möglich ist.

Herr Sebastian Heinemann kann Sie als fachkundiger externer Datenschutzbeauftragter bei deren Umsetzung unterstützen und steht Ihnen für Fragen zum Thema Datenschutz gerne zur Verfügung. Nehmen Sie jetzt Kontakt auf.

Darüber hinaus möchten wir ebenso auf aktuelle Beiträge unserer Kollegen der PETERSEN HARDRAHT PRUGGMAYER Rechtsanwälte und Steuerberater zu aktuellen Themen im Rahmen der Corona-Pandemie hinweisen.