TÜV Süd gibt Tipps zur korrekten Umsetzung
Datenschutz im Home-Office
Das Home-Office steht wieder im Fokus, hat doch die Bundesregierung Unternehmen aufgefordert, ihrer Belegschaft das Arbeiten von zu Hause zu gestatten, wo immer dies möglich ist. TÜV Süd erklärt nachfolgend, was dabei in puncto Datenschutz zu beachten ist.
Home-Office und mobiles Arbeiten werden auch langfristig eine wichtige Rolle in unserer Arbeitswelt spielen. Unternehmen sollten deshalb laut dem TÜV Süd ihre Arbeitsprozesse so gestalten, dass sie auch beim mobilen Arbeiten die seit Mai 2018 geltenden Anforderungen der Datenschutz-Grundverordnung (DSGVO) einhalten. „Bisher gab es nur wenige Bußgelder“, so Mareike Vogt, Expertin für Datenschutz beim TÜV Süd. „Aber die Coronakrise darf mittlerweile kein Grund mehr sein, die Anforderungen der EU-DSGVO zur Datenverarbeitung nicht einzuhalten, wenn von zu Hause gearbeitet wird.“
Sie rät: „Unternehmen sollten ihre technischen und organisatorischen Maßnahmen entsprechend für eine rechtskonforme Verarbeitung von personenbezogenen Daten auch an Heimarbeitsplätzen anpassen. Kleinere Unternehmen mit wenig Ressourcen sollten dabei im Zweifel auch die Hilfe unabhängiger externer Experten nutzen, bevor sie das Risiko von Bußgeldern oder eines Imageschadens eingehen.“ Im Hinblick auf den Datenschutz sollten Unternehmen und Belegschaft bei der Arbeit im Home-Office laut dem IT-Beratungshaus Folgendes beachten:
Sichere IT-Infrastruktur: Das Unternehmen sollte dem Arbeitnehmer betriebliche Arbeitsmittel zur Verfügung stellen, mit denen er sich ins Unternehmensnetz einwählen kann. Idealerweise handelt es sich dabei laut TÜV Süd um ein VPN (Virtual Private Network; andere Security-Experten raten hier zum neueren Zero-Trust-Ansatz, der allerdings aufwendig umzusetzen ist und auf den ein Unternehmen zuerst einmal umsatteln müsste). Falls im Einzelfall ein Mitarbeiter doch sein eigenes Gerät nutzen muss, um zu arbeiten, sollte das Unternehmen „entsprechende Maßnahmen“ treffen, so der TÜV Süd.
Schulungen gegen Phishing: Die Angriffsfläche für Phishing wächst durch die verstärkte Arbeit im Home-Office, warnen die IT-Berater. Für den verantwortungsvollen Umgang mit sensiblen Daten sollte ein Unternehmen daher sämtliche Mitarbeiter verstärkt im Hinblick auf solche Bedrohungen schulen.
Vereinbarungen zum Home-Office: Mit Mitarbeitern, die zeitweise von zu Hause arbeiten, sollte das Unternehmen eine Vereinbarung zur künftigen Arbeit im Home-Office treffen, rät der TÜV Süd. Darin müsse es im Einzelfall zutreffende Pflichten und vereinbarte Schutzvorkehrungen dokumentieren. Um dies datenschutzrechtlich von Anfang an sicher zu gestalten, sollten die Beteiligten laut dem Beratungshaus eine solche Regelung am besten von Beginn an treffen und unterschreiben oder dies schnellstmöglich nachholen. Neben allgemeinen Maßnahmen zum Schutz könne in einer solchen Vereinbarung auch ein Kontrollrecht des Arbeitgebers über den Heimarbeitsplatz vereinbart sein.
Trennung privater von geschäftliche Daten: Private und geschäftlichen Daten sollten getrennt sein. Auch hier sollte eine Vereinbarung am besten alle Maßnahmen individuell dokumentieren, so das Beratungshaus.
Regeln für Auftragsdatenverarbeitung: Verarbeitet ein Unternehmen für ein anderes im Auftrag personenbezogene Daten, ist weiterhin zu beachten, was innerhalb des Auftragsverarbeitungsvertrags vereinbart wurde. Das heißt zum Beispiel, dass man die vereinbarten technischen und organisatorischen Maßnahmen (TOM) auch in solchen Situationen nicht unterschreiten darf.
Kontrolle im Home-Office: Persönliche Kontrollbesuche sind nur erlaubt, wenn der Besuch vorher abgesprochen und nicht bloß angekündigt wurde, warnt der TÜV Süd. Keylogger-Software, die jeden Tastaturanschlag speichert und den Bildschirm hin und wieder fotografiert, sei ebenfalls nur erlaubt, wenn ein konkreter Anlass vorliegt und das Unternehmen den Einsatz der Software kommuniziert hat. Zugriff auf geschäftlichen E-Mail-Verkehr dürfe der Chef jedoch immer einfordern; sind E-Mails jedoch durch den Betreff bereits deutlich als privat erkenntlich, dürfe er diese aber selbst bei Verbot privater E-Mail-Nutzung nicht einfach lesen. Eine Kontrolle, ob private Mails verschickt wurden, sei ohne Einsichtnahme jedoch erlaubt. Ebenso möglich ist es laut TÜV Süd, den Browser-Verlauf des Dienst-Notebooks auszuwerten – nicht jedoch des privaten Computers. Programme wie Microsoft Teams zeigen zudem an, wer gerade online ist. In jedem Fall sind laut den Beratern bei solchen Maßnahmen der Betriebsrat und der Datenschutzbeauftragte mit einzubeziehen.
Weitere Informationen finden sich unter www.tuvsud.com.
Lesen Sie mehr zum Thema
