Welche datenschutzrechtlichen Maßnahmen muss ein Arbeitgeber treffen, wenn der Mitarbeiter von zu Hause arbeitet? Vor allem bei der Verarbeitung von personenbezogenen Daten sind datenschutzrechtliche Vorgaben der DSGVO zu beachten und umzusetzen.
Nicht erst mit der Einführung der DSGVO, ist der Arbeitgeber angehalten, technische und organisatorische Maßnahmen zum Datenschutz umzusetzen. Denn auch bei der Arbeit außerhalb der Büroräume muss der Schutz, die Vertraulichkeit und die Integrität der personenbezogenen Daten gewährleistet sein.
Homeoffice vs. Mobiles Arbeiten
Zunächst ist festzustellen, dass es einen arbeitsrechtlichen Unterschied zwischen Homeoffice („Telearbeit“ lt. §2 Abs. 7 ArbStättV) und mobilem Arbeiten gibt. Eine Gegenüberstellung habe ich in einer Präsentation zusammengestellt, die auf unserer Homepage verfügbar ist.
Da die datenschutzrechtlichen Anforderungen in beiden Fällen ähnlich sind, verwende ich den Begriff „Homeoffice“ hier synonym auch für das mobile Arbeiten.
Technisch organisatorische Maßnahmen im Homeoffice
Die DSGVO sieht in Artikel 32 verschiedene technische und organisatorische Maßnahmen zum Datenschutz vor, sogenannte TOM. Nachfolgend habe ich einige typische Beispiele für TOM im Homeoffice aufgeführt. Für weitere Fragen stehe ich gerne zur Verfügung.
Vertraulichkeit, Integrität und Sicherheit
Zutrittskontrolle: es muss gewährleistet sein, dass Unbefugte keinen Zugang zu den Räumlichkeiten haben. Hier hat sich ein eigener Raum oder abgetrennter Bereich bewährt. Für das mobile Arbeiten, z.B. in öffentlichen Bereichen, ist sicher zu stellen, dass Informationen und Daten nicht in unbefugte Hände gelangen können.
Zugangskontrolle: eine sichere, dem Stand der Technik angepasste Internetverbindung muss vorhanden sein. Es sind entsprechende Firewalls und Virenprogramme zu installieren und auf dem neuesten Stand zu halten. Ein Remotezugriff auf die IT-Systeme des Unternehmens sollte stets über verschlüsselte Verbindungen erfolgen.
Zugriffskontrolle: durch geeignete Maßnahmen ist zu gewährleisten, dass Unbefugte keinen Zugriff auf die Informationen und Daten haben. Durch verschieden Authentifizierungen, z.B. Passwort oder biometrische Daten, kann ein unberechtigter Zugriff auf digitale Daten verhindert werden. Für Papierunterlagen lohnt sich die Anschaffung eines (abschließbaren) Aktenschrankes.
Trennung: die Unternehmens-IT-Systeme sollten nicht für private Zwecke verwendet werden. Auch ist sicherzustellen, dass die Daten verschiedener Betroffener, z.B. von Kunden, getrennt von einander verarbeitet werden. Das erleichtert im Falle eines Löschungs- oder Einschränkungsprozesses das Vorgehen.
Clean Desk: auch außerhalb der Büroräume sollte der Arbeitsplatz so aufgeräumt sein, dass ein Dritter nicht unbefugt an Informationen gelangt. Ebenso sollten Ausdrucke auf das Nötigste beschränkt werden. Nicht (mehr) benötigte Ausdrucke sollten datenschutzkonform vernichtet werden – entweder im Aktenvernichter der entsprechenden Schutzklasse nach DIN 66399 oder bei nächster Gelegenheit im Büro.
Datenschutzvorfälle
Datenschutzvorfälle sind unverzüglich dem betrieblichen Datenschutzbeauftragten zu melden. Datenschutzvorfälle können sein:
Unbefugte Kenntnisnahme durch Dritte
Verlust der mobilen Endgeräte
Angriffe von außen auf das IT-System, z.B. Malware oder Schadprogramme (Viren, Trojaner, etc.), Phishing (Fälschen von Webseiten oder E-Mails um an Nutzerdaten zu kommen), Denial of Service (Angriff auf Server oder sonstige Datennetze um die Verfügbarkeit des Dienstes zu stören)
Richtlinie zur sicheren Datenverarbeitung
Um die Einhaltung des notwendigen Datenschutzes im Homeoffice zu gewährleisten, ist eine Richtlinie zu den Einzelheiten der sicheren Datenverarbeitung empfehlenswert.
Wir helfen gerne bei der Ausarbeitung individueller Richtlinien für die sichere Datenverarbeitung für das Homeoffice. Zudem hat der Verantwortliche die Einhaltung der Vorgaben der DSGVO auch im Homeoffice seiner Mitarbeiter sicherzustellen. Hierfür ist ein Verfahren für die regelmäßige Überprüfung, Bewertung und Evaluierung der getroffenen TOM sinnvoll.
Comments