Datenschutz im Homeoffice

Wie Covid-19 unsere Arbeitswelt verändert

Durch das Corona-Virus verändert sich derzeit auch die Arbeitswelt massiv. Aus Sicherheitsgründen arbeiten nun immer mehr Arbeitnehmer von zu Hause aus. Diese neue Arbeitsweise kann aber auch eine Chance darstellen dem Virus durch die digitale Ebene die Lebensgrundlage zu entziehen. Außerdem sehen Experten durchaus eine Chance darin, dass die digitale Arbeitswelt sich durch diese Situation langfristig positiv verändern könnte.

Wir möchten Ihnen aus aktuellem Anlass noch einmal die wichtigsten Dinge erklären, die Sie beachten müssen, wenn Sie Ihre Angestellten in die Heimarbeit schicken möchten. In regelmäßigen Abständen werden wir Sie in unseren Blog-Artikeln außerdem mit weiteren Besonderheiten im Datenschutz und der IT-Sicherheit vertraut machen, die sich durch die neue Art der Arbeit ergeben können.

Der Telearbeitsplatz als Teil vom Betrieb

Wer von zu Hause arbeiten möchte oder in Zeiten von Covid-19 muss, dem sollte vor allem klar sein, dass auch das Homeoffice ein Teil des Unternehmens darstellt. Es gelten also grundsätzlich die gleichen Regeln, die Sie auch in Ihrem Büro in der Firma einhalten müssen. IT-Sicherheit und Datenschutz stehen dabei an erster Stelle.

In unserem Blog haben wir von Datenschutzberater.NRW uns schon einmal genauer mit den Vorgaben im Home-Office auseinandergesetzt. Wie Sie IT-Sicherheit und vor allem Datenschutzgrundverordnung (DS-GVO) und Bundesdatenschutzgesetz (BDSG) umsetzen können, lesen Sie hier.

Um alle Seiten in der Arbeit von zu Hause ausreichend abzusichern, sollten Sie eine Vereinbarung zur Tätigkeit im Homeoffice aufsetzen und von beiden Seiten aus unterschreiben lassen. Diese sollte auch betriebliche Anweisungen enthalten, die festlegen, was bei der Arbeit von zu Hause erlaubt ist und was nicht. Hier einige Beispiele, welche Fragen Sie sich bei diesen Vereinbarungen stellen sollten und was festgehalten werden sollte:

  • Welche Daten dürfen verarbeitet werden?
  • Wie wird die IT-Sicherheit gewährleistet?
  • Welche Endgeräte dürfen genutzt werden?
  • Welche Unterlagen dürfen mit nach Hause genommen werden? Auf welche Daten soll zurückgegriffen werden können?
  • Regeln Sie die Bedingungen, unter welchen Umständen die Mitarbeiter von zu Hause aus arbeiten dürfen.
  • Halten Sie Vorgaben über Arbeitszeit und Arbeitsstätte schriftlich fest.
  • Regeln Sie die Zeiterfassung.
  • Legen Sie fest, wie Daten- und Informationsschutz sichergestellt werden.
  • Wie wird der Kontakt zur Dienststelle sichergestellt, in welcher Häufigkeit wird dies erwartet?
  • Klären Sie den Versicherungsschutz und die Haftung.
  • Legen Sie die Beendigungsbedingungen fest.

Diese sogenannte „Vereinbarung über den Betrieb der außerbetrieblichen Arbeitsstätte“ sollte auch die Regelung der Passwortrichtlinien festhalten. Worauf Sie bei der Erstellung von Kennwörtern achten sollten, haben wir in unserem Blog schon einmal für Sie zusammengefasst.

Legen Sie für Ihre Mitarbeiter möglichst genau fest, wie die Passwörter im Homeoffice erstellt werden müssen und machen Sie Vorgaben, welche Eckdaten für die Nutzung von Kennwörtern und Geräten in den Mitarbeiterwohnungen beachtet werden müssen (Passwortrichtlinien).

Beachten Sie dabei, dass möglicherweise auch Sprachassistenten eine Gefahr für die Datensicherheit darstellen können.

Auch in dieser besonderen Situation den Datenschutz nicht aus den Augen verlieren

Bedenken Sie bei allen Vereinbarungen vor allem, dass der Mitarbeiter ab sofort in den eigenen Räumlichkeiten arbeiten muss. Sie sollten bei der Festlegung der Richtlinien und jeglicher Vereinbarungen daher auch die Sichtweise vom Büro-Arbeitsplatz in die Wohnung verlegen. Was ist dabei anwendbar und welche Sicherheitsmaßnahmen sind überhaupt umsetzbar? Daraus ergibt sich dann auch, welche Daten der Mitarbeiter von zu Hause aus bearbeiten kann oder darf.

Bei der Arbeit von zu Hause ist es elementar wichtig, dass ein besonderes Augenmerk auf die IT-Sicherheit und den Datenschutz gelegt wird. Die Infrastruktur eines Unternehmens ist gerade im privaten Bereich der Mitarbeiter angreifbarer und vielen neuen Gefahren ausgesetzt. Eine entsprechende Absicherung zum Beispiel durch VPN-Verbindungen und eine ausreichende Firewall sind dabei nur ein Baustein.

Vergessen Sie nicht, dass alle Regeln, die EU-DSGVO und BDSG festlegen, auch für die Arbeit von zu Hause gelten und eingehalten werden müssen. Eine kontrollierte Umgebung, wie man diese im Büro vorfindet, gibt es in der Mitarbeiterwohnung nur selten. Daher sollte es auch eine Vereinbarung für die Einhaltung des Datenschutzes im Homeoffice geben. Diese sollte den Umgang mit personenbezogenen Daten Regeln.

Online Termine und Video-Konferenzen

Viele Firmen nutzen nun für die Arbeit auch die unterschiedlichsten Möglichkeiten, um zu kommunizieren. Egal ob über Online-Termine, Fernwartung oder Videokonferenzen, alle Arten der neuen Kommunikation bilden in der jetzigen Situation aber auch für die Zukunft Chancen für ein Unternehmen. Trotzdem ist nicht jeder auf diese Art der Arbeit vorbereitet, denn hier bei ist einiges zu beachten.

Es gibt viele unterschiedliche Systeme, mit denen man online kommunizieren kann. Man sollte dabei natürlich auf die Sicherheit bei der Datenverarbeitung achten. In puncto Datenschutz sei aber auch zu erwähnen, dass in dieser Kommunikation mit anderen, schon allein bei der Anmeldung, personenbezogene Daten verarbeitet werden. Da hier ein Dritter in Form eines Anbieters genutzt wird, erfolgt eine Verarbeitung der personenbezogenen Daten im Auftrag – es liegt also eine Auftragsdatenverarbeitung vor. Hier muss auf jeden Fall geprüft werden, ob ein sogenannter ADV-Vertrag (Vertrag über die Auftragsdatenverarbeitung) vorliegt oder ggf. noch abgeschlossen werden muss.

Bei der Umstellung auf eine Onlineberatung sollte durch den (externen) Datenschutzbeauftragten in jedem Fall geprüft werden, ob noch eine vertragliche Grundlage zur Verarbeitung der personenbezogenen Daten vorliegt.

Für alle Arbeiten, in denen personenbezogene Daten verarbeitet werden, müssen nach DSGVO Verarbeitungsverzeichnisse (VVT) erstellt werden. Außerdem sollten Sie die technisch-organisatorischen Maßnahmen (TOMs) dokumentieren und prüfen, ob eine Datenschutzfolgenabschätzung aufgrund der neuen Situation notwendig wird. In jedem Fall müssen Sie die Datenschutzhinweise und die Informationen für Betroffene entsprechend anpassen.

Durch die veränderte Situation kann ein Datenschutzbeauftragter notwendig werden

Für viele Unternehmen kam die Notwendigkeit und die Umsetzung des Homeoffice für die eigenen Mitarbeiter sehr kurzfristig. Die Regelungen gelten dabei selbstverständlich für alle, die den Arbeitsplatz von einem Büro nun in einen Arbeitsplatz von zu Hause umwandeln mussten (z.B. ebenso Vereine, Kanzleien, Praxen oder sonstige Anbieter).

Damit Sie möglichst sicher sein können, ob Sie den Telearbeitsplatz Ihres Mitarbeiters sowohl von Seiten der IT als auch im Datenschutz richtig nutzen, sollten Sie Ihren internen oder externen Datenschutzbeauftragten zu Rate ziehen.

Viele kleine Unternehmen, die von der Arbeit von zu Hause nun betroffen sind, benötigten unter Umständen bisher keinen Datenschutzbeauftragten. Dies kann sich durch die neue Situation jetzt allerdings durchaus ändern. Aber egal, ob Sie einen (externen) Datenschutzbeauftragten benötigen oder nicht: eine Prüfung vom Datenschutz sollte jetzt eine hohe Priorität darstellen – die Einhaltung der Betroffenenrechte und die Anpassung der Informationspflichten der Verantwortlichen, sowie den ADV-Verträgen, sind nur einige Bausteine, die es zu beachten gilt. In diesem besonderen Fall, kann ein Datenschutzberater Ihnen helfen, die Lage kurzfristig zu beurteilen.

Datenschutzberater.NRW wird Ihnen, neben der aktuellen Blogthemen, als besonderen Service zeitnah Unterlagen zum Thema Homeoffice als Download zur Verfügung stellen (Checkliste Homeoffice, Datenschutzvereinbarung für die Heimarbeit und Betriebsvereinbarung für die Arbeit in Mitarbeiterwohnungen).

Mit unseren Fachleuten aus dem Bereich IT-Sicherheit, Buchhaltung und Datenschutz, können wir Ihnen auch bei der Umsetzung des Datenschutzes in Ihrem Unternehmen und im Homeoffice, praxisnah und individuell helfen.

Kontaktieren Sie uns einfach über das Feld neben diesem Beitrag – per E-Mail oder FREECALL.

Unser Angebot für Köln, Bonn, Düsseldorf und ganz NRW umfasst außerdem:

Datenschutz-Blog EXTRA – Homeoffice als Chance gegen Corona #wirbleibenzuhause
Markiert in: