Datenschutz-Akademie » Datenschutz-News » Datenschutz und Datensicherheit im Homeoffice

Eine Frau arbeitet im Homeoffice und achtet auf Datenschutz und Datensicherheit

Datenschutz und Datensicherheit im Homeoffice

Die Corona-Pandemie zwingt auch Unternehmen, bei denen es normaler Weise keine Möglichkeit des Homeoffice gibt, ihre Mitarbeiter von zu Hause arbeiten zu lassen. Nun müssen die Firmen unter hohem Zeitdruck pragmatische Lösungen finden, die ihre Arbeitsfähigkeit erhalten und gleichzeitig Datenschutz und Datensicherheit gewährleisten. Viele Verantwortliche für die Datenverarbeitung haben bisher keine entsprechenden Regelungen und Richtlinien erlassen. Hier gilt es nun, zügig nachzuziehen und die Regeln eindeutig und transparent zu formulieren, um die Rechte und Pflichten von Arbeitgeber und Arbeitnehmer klar zustellen.

Arbeitet ein Beschäftigter im Homeoffice, so muss er dabei grundsätzlich die gleichen datenschutzrechtlichen Regeln beachten wie bei seiner Tätigkeit im Büro. Die Verantwortlichkeit des Unternehmens und damit eventuell auch die persönliche Haftung der Geschäftsführung bleiben bestehen. Sie enden also nicht an der Unternehmenstür.

Tipps für Datenschutz und Datensicherheit im Homeoffice: Arbeitgeber

Für die DSGVO spielt es keine Rolle, wer die Daten wo verarbeitet. Ausschlaggebend ist, wer über die Zwecke und Mittel der Datenverarbeitung entscheidet. Das ist regelmäßig der Arbeitgeber. Er sollte folgende Maßnahmen ergreifen:

  • Legen Sie fest, welche Hardware und Software im Homeoffice eingesetzt werden darf!
  • Der Zugang zu IT-Systemen und Computern vom Homeoffice aus ist mit einem Passwort zu sichern.
  • Zugriffe auf die Systeme des Unternehmens sollten lediglich über ein VPN möglich sein. Dieses VPN sollte auf seine Belastbarkeit getestet werden, bevor eine hohe Zahl von Beschäftigten darauf zugreift.
  • Sorgen Sie dafür, dass stationäre Rechner und mobile Datenträger wie USB-Sticks verschlüsselt sind! Auch E-Mails sollten die Beschäftigten ausreichend verschlüsseln, wenn es sich um sensible personenbezogene Daten oder Geschäftsgeheimnisse handelt.
  • Optimalerweise stellt der Arbeitgeber seinen Mitarbeitern die IT-Ausstattung zur Verfügung, mit der sie datenschutzgerecht im Homeoffice arbeiten können.
  • Damit Daten stets verfügbar sind, sollten die Daten per Fernzugriff zum Unternehmen gesichert werden können. Eine lokale Speicherung sollte man vermeiden.
  • Verpflichten Sie die Mitarbeiter, Datenpannen und andere sicherheitsrelevante Vorfälle schnell zu melden!

Tipps für Datenschutz und Datensicherheit im Homeoffice: Arbeitnehmer

Mitarbeiter sollten im Homeoffice Folgendes beachten, wenn sie dort personenbezogene Daten verarbeiten oder darauf zugreifen:

  • Diese Daten dürfen nicht von Dritten eingesehen werden, das heißt auch nicht von Angehörigen oder Mitbewohnern. Idealerweise sollten personenbezogene Daten in einem separaten Raum verarbeitet werden und in einem abschließbaren Schrank aufbewahrt werden. Das gilt für digitale und analoge Daten.
  • Die vom Arbeitgeber zur Verfügung gestellte IT-Ausstattung sollte nicht privat oder von Familienmitgliedern genutzt werden.
  • Wenn USB-Sticks zur Speicherung eingesetzt werden, so muss man Sticks des Arbeitgebers verwenden. Das gilt auch für andere Datenträger. Sie dürfen keine privaten Dateien enthalten.
  • Berufliche E-Mails darf man nicht an private E-Mail-Postfächer der Kollegen weiterleiten.
  • Ausdrucke sollte man vermeiden. Wenn man Papierunterlagen verwendet, sollten sie nicht offen lesbar für Andere herumliegen.
  • Auch die Vernichtung von Unterlagen sollte datenschutzgerecht erfolgen. Ausdrucke von personenbezogenen Daten und anderen sensiblen Inhalten müssen zumindest in kleine Stücke zerrissen werden.

Externer Datenschutzbeauftragter

Gern können Sie uns als externen Datenschutzbeauftragten (DSB) bestellen. Wir bieten auch einzelne Beratungsleistungen sowie Audits an und erstellen Ihnen gern ein unverbindliches Angebot. Mehr Informationen zu unseren externen Datenschutzbeauftragten finden Sie auf unserer Website.

Empfehlungen für Datensicherheit

Auch für Datensicherheit im Homeoffice müssen viele technische und organisatorische Maßnahmen ergriffen werden. Unternehmen sollten sich auch in der Telearbeit an den Katalogen der ISO 27001 oder des BSI-Grundschutzes orientieren. Die Auswahl der Maßnahmen sollte sich nach dem konkreten Risiko der Verarbeitung am jeweiligen Ort richten. Die DSGVO stellt bei der Risikobewertung auf Art, Umfang, Umstände und Zwecke der Verarbeitung und auf die tatsächliche Eintrittswahrscheinlichkeit eines Risikos ab.

Natürlich können bei spontanen Lösungen für mobiles Arbeiten in der Regel nicht alle Anforderungen für IT-Sicherheit vollständig umgesetzt werden. In etlichen Fällen werden hilfsweise private Hard- und Software und Netzanbindungen genutzt. Möglicherweise sind auch nicht alle Komponenten, die Unternehmen ad hoc zur Verfügung stellen, auf dem Stand der Technik in Bezug auf Datensicherheit. Schnellere und stabile Netzanschlüsse, der Aufbau von VPN-Lösungen sowie die Anschaffung geeigneter Hardware können oft nicht kurzfristig bewerkstelligt werden.

Das BSI empfiehlt Firmen einige Maßnahmen, die ohne größeren Aufwand einen Grundstein für IT-Sicherheit im mobilen Arbeiten legen:

  • Treffen Sie schriftlich deutliche und verbindliche Regelungen zur IT-Sicherheit und zur Sicherheit Ihrer Daten und teilen Sie diese allen Beteiligten mit!
  • Sorgen Sie für klare Kontaktstellen und Kommunikationswege, die von den Beschäftigten verifiziert werden können!

Stärkere Gefahr durch Phishing

Derzeit können vermehrt neue Phishing-Mails auftreten, die die aktuelle Krisensituation ausnutzen und versuchen werden, sensible Daten zum Beispiel mit Hinweis auf Remote-Zugänge, Sicherheitstipps und das Zurücksetzen von Passwörtern abzugreifen. Am heimischen Schreibtisch müssen Mitarbeiter oft ohne Schulung selbst sehen, wie sie mit einer neuen Videokonferenz-Software und ungewohnten Kollaborationsplattformen zurechtkommen. Auch das kann Phishing-Tätern Täuschungen erleichtern.

Weitergehende Tipps listet das BSI hier auf: Empfehlungen des BSI zum Thema Homeoffice

Die Mitglieder des Bundesverbands IT-Sicherheit (TeleTrusT) stellen für drei Monate kostenfreie IT-Sicherheitslösungen einschließlich Fernberatung zur Verfügung:
https://www.teletrust.de/kostenfreie-it-sicherheitsloesungen/

Ulrich Hottelet

Das könnte Sie auch interessieren:

IT-Sicherheitsvorfall

Was tun beim IT-Sicherheitsvorfall?

Das Wichtigste zum IT-Sicherheitsvorfall. Erfahren Sie im Beitrag praktische Tipps zur Erkennung und Behandlung von IT-Notfällen.

ISMS: Definition, Umsetzung, Normen

Alle Informationen zum Informationssicherheits Management System: Abgrenzung DSMS, Hinweise zur Umsetzung, Normen und Standards

Schutz von Informationen und Daten

Was ist Informationssicherheit? Aufgaben des Informationssicherheitsbeauftragten und Abgrenzung zum Datenschutz.