Die Verlagerung von Arbeitstätigkeiten ins Home-Office dürfte eine wirksame Maßnahme zur Abschwächung des Verbreitungsrisikos des COVID-19 darstellen. Es ist daher nachvollziehbar, dass viele Unternehmen – sofern umsetzbar – zumindest einen Teil der Mitarbeiter ins Home-Office verlegen wollen bzw. bereits verlegt haben. Insbesondere für Unternehmen, die bisher das Arbeiten im Home-Office nicht begrüßten, stellt sich die Frage, ob eine kurzfristige Verlagerung möglich ist und welche Maßnahmen ergriffen werden sollen, um den Datenschutz bei der Heimarbeit zu gewährleisten.
Datenschutz im Home-Office – Kurzfristige Maßnahmen zur Risikominimierung
Es ist nachvollziehbar, dass Verantwortliche in der aktuellen Situation andere Sorgen haben, als den Datenschutz. Für Unternehmen, die jedoch bisher auf das Arbeiten im Büro setzten und ihren Mitarbeiter – aufgrund der aktuellen Lage – kurzfristig das Arbeiten im privaten Umfeld ermöglichen möchten bzw. müssen, ist es ratsam, den Mitarbeitern etwas an die Hand zu geben, um mit personenbezogenen Daten (also all denen Informationen, die man irgendwie mit einem Menschen verknüpfen kann) richtig umzugehen. Verantwortliche Stellen, die über keine Regelungen zum Home-Office verfügen, sollten ihren Mitarbeitern zumindest kurzfristig ein Hinweisblatt mit einfachen Sicherheitsmaßnahmen zur Verfügung stellen. Wichtige Hinweise und Regeln zum Datenschutz im Home-Office hat zum Beispiel das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) veröffentlicht. Aber auch auf den Webseiten des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) oder des Bundesamts für Sicherheit in der Informationstechnik (BSI) wird zu Maßnahmen im Home-Office informiert. Maßnahmen/Regeln, die Sie unter anderem berücksichtigt sollten, sind:
Bei der Arbeit im privaten Umfeld sollten möglichst die gleichen Sicherheitsanforderungen, wie beim Arbeiten im Büro, berücksichtigt werden:
- Aktivieren Sie den Bildschirmschoner mit einem Passwortschutz und verschließen Sie Unterlagen mit personenbezogenen Daten, wenn Sie Ihren Arbeitsplatz kurzfristig verlassen (sofern möglich, sollte bestenfalls zudem der Raum verschlossen werden).
- Verwenden Sie sichere Passwörter und geben Sie diese nicht an Dritte (auch nicht Personen im Haushalt) weiter.
- Werfen Sie Papierdokumente nicht einfach in den Papiermüll (Sofern Sie vom Unternehmen keinen geeigneten Shredder erhalten haben, sollten die Unterlagen verschlossen gesammelt und – sobald möglich – im Unternehmen entsorgt werden).
- Achten Sie darauf das Unbefugte (auch andere Personen im Haushalt) keine Kenntnis von Ihren Telefonaten erhalten können.
- Es ist zu empfehlen, dass IT-Geräte des Unternehmens eingesetzt werden, dabei sollte insbesondere auf eine Verschlüsselung geachtet werden. Virenschutz und Firewall sollten aktiv sein.
- Achten Sie auf einen passwortgeschützten WLAN-Zugang und verwenden Sie – sofern vorhanden – eine verschlüsselte VPN-Verbindung.
- Private und dienstliche Daten sollten nicht vermischt werden.
- Beachten Sie geltende Unternehmensrichtlinien.
- Setzen Sie keine privaten Cloud-Lösungen ein.
- Es sollten Ansprechpersonen bekannt sein, die Sie – falls technische Probleme auftauchen oder im Falle einer Datenpanne – unverzüglich kontaktieren können.
Zur Erstellung passgenauer Regelungen sollten Sie Ihren Datenschutzbeauftragten oder Datenschutzberater einbinden. Auch sollten – sofern sich die Situation über einen längeren Zeitraum hinzieht – detailliertere Regelungen (z. B. über eine Richtlinie, im Datenschutzkonzept oder über eine Betriebsvereinbarung zum Homeoffice) geschaffen werden. Unternehmen sollten ebenso darauf achten, dass beim Home-Office – neben dem Datenschutz – insbesondere auch das Arbeitsrecht nicht außer Acht gelassen werden sollte.
Mobiles Arbeiten und der Datenschutz
Zwar dürfte die mobile Arbeit in der aktuellen Situation nicht in Frage kommen, allerdings ist auch das mobile Arbeiten keine Seltenheit mehr und dürfte somit auch zukünftig ein wichtiges Thema sein.
Bei der mobilen Arbeit sollten zusätzliche Sicherheitsmaßnahmen getroffen werden. Dabei sollten unter anderem nach Möglichkeit technische Hilfsmittel eingesetzt werden, welche die Einsichtnahme durch Dritte verhindern oder zumindest erschweren (bspw. mittels Bildschirmfilter und abschließbare Transportbehältnisse für Akten). Daneben sollten dringend Regelungen zur Datenspeicherung getroffenen werden, um dem Datenverlust vorzubeugen. Auch sollte durch geeignete technische und organisatorische Maßnahmen sichergestellt werden, dass das verantwortliche Unternehmen eine datenschutzwidrige Nutzung des mobilen Gerätes entdecken bzw. dem vorbeugen kann. In diesem Zusammenhang ist daher auch der Einsatz eines Mobile Device Managements (MDM) zur Verwaltung der mobilen Endgeräte anzuraten, allerdings sollte berücksichtigt werden, dass das MDM objektiv betrachtet zur Verhaltens- und Leistungskontrolle geeignet ist und einen gefühlten Überwachungsdruck bei den Mitarbeitern auslösen könnte. Vor der Einführung eines MDM ist daher die Einbindung des Datenschutzbeauftragten und gegebenenfalls des Betriebsrats sowie die Schaffung von klaren Regelungen dringend anzuraten.