Werden im Home-Office personenbezogene Daten, etwa über Kunden oder Beschäftigte, verarbeitet, hat dies eine besondere datenschutzrechtliche Komponente. Denn im Home-Office sind Daten und IT-Technik der unmittelbaren Kontrolle des Arbeitgebers entzogen. Gleichzeitig steigt die Gefahr unberechtigter Zugriffe durch Dritte. Diesen Risiken müssen Arbeitgeber begegnen, indem sie entsprechende technische und organisatorische Sicherheitsmaßnahmen ergreifen. Mit dem folgenden Beitrag stellen wir Ihnen die wichtigsten Maßnahmen zum Datenschutz vor, die Unternehmen beachten müssen, wenn Sie Beschäftigten die Arbeit im Home-Office ermöglichen.

Telearbeit oder BYOD?

Die Arbeit im Home-Office erfolgt zumeist in Form von Telearbeit. Hierbei wird die erforderliche Technik, im Regelfall Notebook und Smartphone, durch den Arbeitgeber zur Verfügung gestellt. Gesetzlich werden solche Telearbeitsplätze in § 2 Abs. 7 Arbeitsstättenverordnung geregelt und definiert. Im Fall der Telearbeit lassen sich zumindest die technischen Vorkehrungen des Unternehmens (z.B. Zugangsbeschränkungen, Berechtigungskonzepte etc.) aufrechterhalten. Nichtsdestotrotz muss auch ein möglicher Zugriff durch Dritte organisatorisch ausgeschlossen werden.

Etwas komplizierter wird immer dann, wenn Beschäftigte im Home-Office eigene Endgeräte wie Laptops, Smartphones oder Tablets verwenden. Dies wird auch als „Bring your own device” (BYOD) bezeichnet. Neben den generellen Vorgaben bei Telearbeit muss der Arbeitgeber auch die grundsätzlich mögliche private Nutzung durch die Beschäftigten angemessen berücksichtigen.

Home-Office-Vereinbarung

Wesentlicher Baustein zur Begrenzung von Risiken außerhalb des Unternehmens stellt der Abschluss einer Home-Office-Vereinbarung dar. Es handelt sich hierbei um eine Zusatzvereinbarung zum Arbeitsvertrag, über die eine Ergänzung der allgemeinen betrieblichen Datenschutzbestimmungen erfolgt.

Durch die Home-Office-Vereinbarung werden die Beschäftigten auf die Einhaltung spezifischer technischer und organisatorischer Sicherheitsmaßnahmen verpflichtet und entsprechend sensibilisiert. Um hinreichende Kontrollmöglichkeiten für den Arbeitgeber und die Aufsichtsbehörde zu gewährleisten, sind in der Home-Office-Vereinbarung außerdem in erforderlichem Maß Zutrittsrechte in den Privatbereich der Beschäftigten zu vereinbaren.

Im Fall von BYOD muss die Home-Office-Vereinbarung außerdem um Bestimmungen ergänzt werden, die das Verhältnis von betrieblicher und privater Nutzung der verwendeten Endgeräte regeln.
Abhängig von der Größe eines Unternehmens können die Regelungen auch in Form einer allgemeinen Richtlinie erfolgen, auf die dann im Rahmen einer Zusatzvereinbarung Bezug genommen wird.

Maßnahmen zur Gewährleistung der Datensicherheit

Bei der Datenverarbeitung im Home-Office besteht ein erhöhtes Risiko, dass Dritte (hierzu zählen auch Familienangehörige) einen unbefugten Zugang zu personenbezogenen Daten erhalten. Solche Gefährdungen können sich etwa ergeben, wenn Außenstehende unmittelbar personenbezogene Daten wahrnehmen, Zugriff auf Datenträger mit personenbezogenen Dateien erlangen oder Informationen darüber erhalten, wie sie sich den unmittelbaren Zugang zu den geschützten Daten verschaffen können.

Zu den spezifischen Maßnahmen, die der Arbeitgeber zu Gewährleistung der Datensicherheit im Home-Office ergreifen muss, gehören daher insbesondere die Sicherung der Übertragungswege und die Verschlüsselung der Daten. Außerdem sollten die Beschäftigten klare Vorgaben zur Nutzung der bereitgestellten Geräte und zur Einrichtung des häuslichen Arbeitsplatzes erhalten.

Vertiefte Informationen zu den relevanten Sicherheitsaspekten für die Datenverarbeitung im Home-Office bietet das IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik. Die hier vorhandenen IT-Grundschutz-Bausteine beleuchten unter anderem wichtige Sicherheitsanforderungen für die Telearbeit und die technische Ausstattung des häuslichen Arbeitsplatzes.

Beispiele für mögliche Regelungen

Auch wenn die Regelungen für Home-Office sehr von der Organisation des Unternehmens abhängen, gibt es doch ein paar Klassiker, die Unternehmen beachten sollten. Hierzu zählen insbesondere folgende Verbote:

  • Mitteilung ohne sonstige Kenntnisnahme von Passwörtern durch Dritte (z.B. durch das Notieren von Passwörtern oder die Lagerung von Zugangskarten);
  • Zugriff auf betrieblich genutzte Software und Geräte durch Dritte (auch Familienangehörige);
  • Speicherung betrieblicher Daten auf eigenen USB-Sticks oder Cloud-Speichern (z.B. automatische Synchronisierung mit Google, Apple und Co);
  • Weiterleitung beruflicher Mails auf private Accounts;
  • Vernichtung von Ausdrucken über den Hausmüll.

 

Auch die Zugangssicherung der technischen Geräte muss im Home-Office besonders beachten werden. Dies bedeutet insbesondere, dass

 

  • der verwendete Computer gesperrt werden muss, so dass bei Rückkehr zumindest die Eingabe des Passwortes erforderlich ist;
  • Fenster verschlossen sein müssen, außer bei kurzzeitiger Abwesenheit, während der ein Eindringen realistischerweise ausgeschlossen werden kann;
  • bei Nutzung von Unterlagen diese in einem Schrank einzuschließen sind oder der Arbeitsraum abzuschließen ist; dies gilt nur dann nicht, wenn der Mitarbeiter allein zu Hause ist und seinen Arbeitsplatz nur kurzzeitig verlässt;
  • bei Verlassen der Wohnung ein gegebenenfalls genutztes Zugangsmedium (z. B. Chipkarte, Transponder) vom Computer entfernt werden muss und bei Nutzung von Unterlagen diese in einem Schrank einzuschließen sind.

Schulung der Beschäftigten

Besondere Risiken können sich gerade auch aus dem Umstand ergeben, dass die Umsetzung bestimmter Sicherheitsmaßnahmen im Home-Office allein in der Verantwortung der Beschäftigten liegt. Damit die Beschäftigten konkrete Handlungsanweisungen bekommen, ist eine gesonderte Sensibilisierung erforderlich. Über eine eigene Schulung sollten die Beschäftigten daher über mögliche Risiken aufgeklärt werden, um dadurch auch die Haftung des Unternehmens zu reduzieren.

Fazit

Die Arbeit im Home-Office geht regelmäßig mit besonderen Risiken für die Sicherheit der Datenverarbeitung einher. Unternehmen können diese Risiken aber durch spezifische technische und organisatorische Maßnahmen reduzieren. Zentrale Bausteine bilden hierbei der Abschluss einer Home-Office-Vereinbarung und die Schulung der Beschäftigten.

Marinus J. Stehmeier ist Rechtsanwalt und berät Unternehmen im Datenschutz-, E-Commerce- und Wettbewerbsrecht.

Wie hat Ihnen dieser Beitrag gefallen?
(Bewertungen: 14, Ø: 4.4 von 5)