Mit dem Fortschreiten der Corona-Krise hat sich das Arbeitskonzept Home-Office nun auch in Deutschland, zumindest vorübergehend, flächendeckend etabliert. Doch mit dem Einzug des Arbeitsplatzes in die privaten Gemäuer, zieht auch die Gefahr eines Verstoßes gegen Datenschutzbestimmungen ins Haus, denn die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) beschränken sich nicht auf die Räumlichkeiten des Unternehmens.
Welche Sicherheitsmaßnahmen zu treffen sind, hängt weitestgehend von der Art der Daten ab, die im Home-Office verarbeitet werden. Die gute Nachricht ist: wird nicht mit personenbezogenen Daten gearbeitet, ist die Heimarbeit weitestgehend unbedenklich.
Achtung bei personenbezogenen Daten
Bei personenbezogenen Daten, die zum Beispiel Mitarbeiter oder Kunden betreffen, ist besondere Vorsicht angebracht, da die Persönlichkeitsrechte Dritter auf keinen Fall verletzt werden dürfen. Zu diesen Daten zählen unter anderem
- Namen und Kontaktinformationen
- Staats- und Religionszugehörigkeiten
- Konto- und Kreditkartennummern
- IP-Adressen und Standortdaten
- sowie Betriebs- und Geschäftsgeheimnisse
Verstöße können nicht nur für Arbeitgeber, sondern im Falle einer nachweisbaren Verletzung arbeitsvertraglicher Pflichten durch fahrlässiges Handeln der Arbeitnehmer, auch für letztere strafrechtliche Konsequenzen haben. Datenschutz ist also keine einseitige Angelegenheit.
Trenne Arbeit und Privates
Die Trennung von Arbeit und Privatem ist im Home-Office nicht einfach, nichtdestotrotz eine Notwendigkeit, wenn mit sensiblen Daten gearbeitet wird. In diesem Fall muss zunächst ein separates, abschließbares Arbeitszimmer eingerichtet werden, zu dem unbefugte Personen – ob Familienmitglieder, Mitbewohner oder Gäste – keinen Zutritt haben, sodass eine sichere Verwahrung sensibler Daten möglich ist.
Des Weiteren dürfen vom Arbeitgeber bereitgestellte Arbeitsgeräte, wie zum Beispiel Laptops, Tablets und Smartphones, ausschließlich für Berufszwecke verwendet werden. Das heißt, privates Surfen, persönlicher E-Mail-Verkehr und auch außerberufliche Social-Media-Besuche sind zu unterlassen.
Die Arbeitsgeräte müssen zudem, falls online gearbeitet wird, mit einem beruflichen Internetanschluss vernetzt werden. Ebenso ist das Verwenden privater Drucker nicht zulässig, sofern diese nicht lokal angebunden oder Teil eines separaten und gesicherten Netzwerks sind.
Wähle sichere Passwörter für deine Geräte und Konten
Dieser Hinweis klingt im Jahr 2020 zwar nach einer Banalität, dennoch ist die Verwendung unsicherer Passwörter, die einfach herauszufindende Information, wie zum Beispiel Geburtsdaten, Name oder Wohnort des Nutzers beinhalten, immer noch weitverbreitet, ebenso wie die Nutzung eines einzelnen Passworts für eine Vielzahl von Geräten und Konten.
Vor allem im Arbeitsbereich lohnt es sich eine Passwort-Manager-Software zu nutzen, die automatisch sichere Passwörter generiert, verschlüsselt speichert und diese nur nach Eingabe eines Master-Passwortes durch den Nutzer freigibt.
Richte ein Virtual Private Network (VPN) für verschlüsselte Datenübertragung ein
Mithilfe eines VPN-Zugangs wird eine verschlüsselte Verbindung zwischen dem Server des Unternehmens und dem Endgerät des Arbeitsnehmers im Home-Office hergestellt, wodurch Arbeitnehmer auch von zuhause aus ohne Risiken auf die lokalen Dateien und Software des Unternehmens zugreifen und arbeiten können. Dadurch können etwaige Datenschutz- und lizenzrechtliche Verstöße vermieden werden, wie zum Beispiel:
- das Verwenden privater Software für Unternehmenszwecke
- das Speichern von Firmendaten auf privaten Geräten und Datenträgern sowie
- das Speichern und Übermitteln von Firmendaten mithilfe unsicherer, externer Clouds.
Prüfe und update deine Antivirensoftware, Browser und das Betriebssystem
Während die Firmengeräte meist von der IT-Abteilung gewartet und regelmäßig mit Updates versorgt werden, ist dies bei privaten Geräten häufig weniger bis gar nicht zutreffend. Mangelnder Virenschutz, fehlende Firewalls, sowie veraltete (nicht upgedatete) Software und Betriebssysteme stellen ein erhöhtes Sicherheitsrisiko dar und machen das Arbeitsgerät und somit auch die Firmendaten zu einem leichten Ziel für Hacker und schadhafte Mal- und Spyware. Dies kann nicht nur zum Diebstahl sensibler Daten oder einer Einflussnahme Dritter führen, sondern auch finanzielle Schäden nach sich ziehen, die die Kosten für die angesprochenen Sicherheitsmaßnahmen bei weitem übersteigen.
Kontrollen durch den Arbeitgeber sind möglich und auch Pflicht
Der Arbeitgeber darf und ist sogar verpflichtet, sowohl selbst als auch in Stellvertretung eines Datenschutzbeauftragten, die Einhaltung der DSGVO-Bestimmungen im Home-Office eines Mitarbeiters zu kontrollieren. Befindet sich das Home-Office jedoch in den eigenen vier Wänden des betroffenen Mitarbeiters, muss das Hausrecht beachtet werden. Trotz Kontrollrechte muss also der Mitarbeiter sowie auch alle weiteren im Haushalt lebende Personen ein Zutrittsrecht erteilen. Daher wird dieses häufig bereits vorab vertraglich festgehalten.