Wer Datenschutz im Homeoffice fordert, wird derzeit häufig auf dringendere Probleme verwiesen. Das ist richtig, verständlich und kann im Hinblick auf die Art und den Umfang der Umsetzung der erforderlichen Schutzmaßnahmen berücksichtigt werden.
Außer Frage steht dagegen, ob die Schutzmaßnahmen umgesetzt werden müssen. Denn sie dienen nicht nur dem Schutz von personenbezogenen Daten oder von Geschäftsgeheimnissen. Es geht generell um Datensicherheit, also vor allem um den Schutz von internen IT-Infrastrukturen und damit um die essentielle Funktionsfähigkeit von Unternehmen oder Organisationen.
Zulässigkeit eines Homeoffice
Der einfachste Weg eine Homeoffice-Regelung zu treffen, ist eine einvernehmliche Vereinbarung zwischen Mitarbeitern und Arbeitgebern. Eine zwangsweise Anordnung einer Homeoffice-Nutzung kommt dagegen, genauso wie ein Recht von Mitarbeitern auf ein Homeoffice, allenfalls in akuten Notlagen in Frage. Das heißt, es müssten schon Infektionsfälle im Büro aufgetreten oder andere Schutzmaßnahmen, wie Hygiene, Raumtrennung, Anmietung anderer Räumlichkeiten, oder ähnliches nicht möglich oder nicht ausreichend sein.
Vor allem jedoch sollte bedacht werden, dass etwaige Verpflichtungen und Vereinbarungen für die Mitarbeiter umsetzbar und zumutbar sein müssen. Allerdings sind die Anforderungen an einen Heimarbeitsplatz gar nicht so hoch, wie häufig angenommen.
Räumliche Voraussetzungen
Traditionell wird ein abschließbarer Raum als Heimarbeitsplatz empfohlen, was auch zu unterstützen ist. Allerdings geht es auch ohne einen abschließbaren Raum. Vor allem bei einem "papierlosen Büro", wird es vor allem auf die technische Sicherheit der zuhause verwendeten Geräte und Onlinezugänge ankommen.
Wer also alleine wohnt und Geräte sperren und mit etwaigen Akten wegsperren kann, der wird auch ohne einen abschließbaren Raum zu Hause arbeiten können.
Technische Voraussetzungen
Das Hauptaugenmerk liegt beim Homeoffice auf der technischen Sicherheit. Dazu gehört zum einen die Sicherheit der Geräte selbst, als auch ihrer Nutzung und der verwendeten Schnittstellen. Zur Sicherheit der Geräte gehört vor allem, dass sie im Hinblick auf die Software und Schutzsysteme wie Firewalls und Virenerkennung auf dem aktuellen Stand sind. Die betrieblichen Daten sollten zudem nur verschlüsselt gespeichert werden, um auch im Fall eines etwaigen Diebstahls geschützt zu sein.
Bei Schnittstellen ist an das heimische WLAN zu denken, das entsprechend dem Stand der Technik verschlüsselt sein sollte. Dennoch sollte die Einwahl in die IT-Infrastruktur des Arbeitgebers stets durch eine besonders gesicherte Verbindung (VPN) erfolgen. Bluetooth und andere Nahfeldtechnologien sollten, bis auf die Fälle erforderlicher Nutzung, ausgeschaltet bleiben.
Ferner sollte der Einsatz von USB-Speichern untersagt oder auf betriebliche Speicher beschränkt werden (deren Herausgabe im Optimalfall registriert wird). Ansonsten sollte ein Datenaustausch via sicherer betrieblicher Cloudspeicher favorisiert werden.
Sicherheit bei der Nutzung
Die sichere Nutzung von Geräten setzt vor allem die Verwendung hinreichend sicherer Zugangsdaten voraus. Dabei sind eine Passwortmanagementsoftware sowie lange (am besten mind. 20 Zeichen) und für Menschen nicht merkbarer Passwörter, einem häufigen Austausch merkbarer Passwörter vorzuziehen.
Des Weiteren sollte die Nutzung von betrieblichen Daten auf einen erforderlichen Umfang begrenzt werden. So sollten Lese- und Schreibrechte innerhalb interner IT-Infrastruktur generell auf das Nötigste beschränkt werden (Need-to-know-Prinzip).
Ebenso sollte Mitarbeitern klar sein, dass sie beruflich genutzte Geräte nicht aus den Augen lassen dürfen und sonst den Zugang zu ihnen oder betrieblichen Bereichen auf den Geräten sperren müssen. Das gilt ganz besonders für die mobile Nutzung.
Sicherheit im Mobileoffice
Mit Mobileoffice sind mobile Arbeitsplätze, also beispielsweise in der Bahn, in Co-Working-Spaces oder mit Smartphone in der Hand morgens beim Bäcker gemeint. Bei mobiler Nutzung besteht die besondere Gefahr, dass Geräte gestohlen, Bildschirme ausgespäht oder Telefonate abgehört werden.
Daher sollten Geräte beim Verlassen von mobilen Arbeitsplätzen nicht nur gesperrt, sondern auch mitgenommen werden. Ferner sollten Blickschutzfilter verwendet und in Hörweite unbefugter Personen keine vertraulichen Informationen ausgetauscht werden (weswegen auch der Einsatz von „lauschenden“ digitalen Assistenten im Homeoffice untersagt werden sollte).
Einsatz von Privatgeräten für berufliche Zwecke
Die eindeutige Empfehlung lautet, Mitarbeitern betriebliche Computer oder Smartphones zur Nutzung im Homeoffice bereitzustellen. Denn auf Privatgeräten sind die Kontrollmöglichkeiten des Arbeitgebers, und damit automatisch auch die Datensicherheit, erheblich eingeschränkt.
Werden Privatgeräte eingesetzt (bekannt unter dem Schlagwort „Bring-Your-Own-Device“, kurz BYOD), dann steht einer effektiven Kontrolle die Privatsphäre der Mitarbeiter entgegen. Es muss dann zwangsläufig eine Vereinbarung getroffen werden, die es dem Arbeitgeber erlaubt, die betrieblichen Informationen zu kontrollieren und (im Optimalfall auch aus der Ferne) zu löschen. Um die Privatsphäre nicht zu verletzen und die Datenkontrolle zu gewährleisten, sollten Trennungspflichten vereinbart werden.
Einsatz von privater Software
Beim Einsatz von Software sollte nach Möglichkeit betrieblich installierte und eingerichtete Software verwendet werden. Zum einen, weil neben dem Datenschutz das Urheberrecht und die Zulässigkeit einer betrieblichen Nutzung beachtet werden muss. Auch sind häufig Datenschutzfunktionen, Auftragsverarbeitungs- und andere erforderliche Datenschutzvereinbarungen auf Geschäftsversionen der Software beschränkt. Vor allem sollte auch die eingesetzte Kommunikations- und Konferenzsoftware geprüft und freigegeben werden (Anleitung des Autors und Folge 11 des "Auslegungssache"-Podcasts der c’t zur DSGVO-Sicherheit von Konferenzsoftware).
Nicht zuletzt, kann dank dedizierter betrieblicher Software auch die erforderliche Trennung von betrieblichen und privaten Daten effektiver eingehalten werden.
Trennungspflichten
Auch wenn der Beruf und das Privatleben sich zunehmend vermischen, sollten betriebliche Daten stets von privaten Daten getrennt bleiben. Denn nur so kann gewährleistet werden, dass der Arbeitgeber bei der Ausübung seiner Kontroll- und Löschungsrechte die Privatsphäre der Mitarbeiter nicht verletzt. Daher sollten betriebliche Daten vorzugswürdig auf betrieblichen Cloudspeichern oder Softwarecontainern gespeichert und Weboberflächen für Zugang zu betrieblichen E-Mails verwendet werden.
Nicht nur bei besonders schützenswerten Daten (z. B. Gesundheitsdaten oder wertvollen Geschäftsgeheimnissen), sollten die Geräte daher am besten von der IT-Abteilung mit Einverständnis der Mitarbeiter eingerichtet oder freigegeben werden.
Verpflichtung und Schulung
All die vorgenannten Schutzmaßnahmen sind wirkungslos, wenn sie in der Praxis nicht umgesetzt werden. Die wichtigste Voraussetzung ist daher, dass Mitarbeiter ihre Schutzpflichten kennen. Dazu empfiehlt es sich die Pflichten als Teil von Vereinbarungen über Homeoffice oder Privatgeräte samt einem Vorbehalt betrieblicher Kontrolle aufzunehmen oder sonst separat auszuhändigen.
Die Kenntnisnahme der Pflichten sollte aus Nachweisgründen schriftlich oder auch per E-Mail von den Mitarbeitern bestätigt werden. Daneben sollten Mitarbeiter auch in Workshops geschult oder individuell instruiert werden. In jedem Fall sollte sichergestellt sein, dass die Mitarbeiter die Schutzpflichten tatsächlich verstanden haben und umsetzen können.
Beteiligung des Betriebsrats und der Personalvertretung
Die Arbeitnehmervertretung muss an der Einführung von Homeoffice oder der Nutzung von Privatgeräten zu betrieblichen Zwecken beteiligt werden (im Regelfall im Rahmen einer Betriebsvereinbarung). Denn mit der Verrichtung der Arbeitstätigkeit mittels von technischen Geräten, besteht stets zumindest die Möglichkeit, dass Mitarbeiter überwacht werden (87 Abs. Nr. 6 BetrVG).
Homeoffice-Verbote in Verträgen
Arbeitgeber sollten in Verträgen mit Geschäftspartnern prüfen, ob Ihnen die Verarbeitung von betrieblichen Daten im Homeoffice nicht untersagt ist. So findet sich in vielen Auftragsverarbeitungsverträgen eine Klausel, die Verarbeitung von Daten der Auftraggeber im Homeoffice untersagt oder von deren Zustimmung abhängig macht.
Allerdings spricht die aktuelle Krisenlage dafür, dass Geschäftspartner eine Zustimmung generell nicht grundlos versagen dürfen. Das gilt zumindest dann, wenn die Sicherheitsmaßnahmen im Homeoffice eingehalten werden.
Corona als Rechtfertigung
Vorgaben zum Schutz von personenbezogenen Daten und Geschäftsgeheimnissen sind selten starr formuliert, sondern richten sich an den Umständen des Einzelfalls (z. B. Art. 25 Abs. 1, 32 Abs. 1 DSGVO oder § 2 Abs. 1 b. GeschGehG). Auch im Fall der behördlichen Maßnahmen oder der Verhängung von Bußgeldern muss die Möglichkeit und Zumutbarkeit der Umsetzung von Schutzvorschriften beachtet werden.
Daher ist davon auszugehen, dass Behörden darauf Rücksicht nehmen werden, wenn etwa eine Schulung nachgereicht wird und zuerst nur die wichtigsten Instruktionen erfolgen. Allerdings sollten Sicherheitsmaßnahmen möglichst schnell nachgeholt werden.
Zusammenfassung und Praxisempfehlung
Bei der Arbeit außerhalb der Betriebsstätte müssen besondere technische und organisatorische Maßnahmen ergriffen werden. Vor allem zum Schutz betrieblicher Daten und Informationen müssen Mitarbeitern Schutzpflichten auferlegt und Kontrollmöglichkeiten des Arbeitgebers sichergestellt werden.
In einem papierlosen Büro kommt es dabei vor allem auf eine Verschlüsselung von Daten auf den Geräten, sichere Passwörter und Datenübertragungswege an. Im Optimalfall sollten Mitarbeiter dabei vom Arbeitgeber gestellte Geräte nutzen. Sollten doch Privatgeräte verwendet werden, müssen private von betrieblichen Daten strikt getrennt werden.
Zwar werden sich Arbeitgeber gegenüber Datenschutzbehörden durchaus auf die aktuelle Krise berufen können. Allerdings sollten Verpflichtungen von Mitarbeitern auf die Schutzpflichten und vor allen deren Instruktion möglichst schnell erfolgen. Vor allem weil die Corona-Krise von kriminellen Personen eher als Chance, denn als Hinderungsgrund gesehen werden dürfte. Weiterführende Informationen finden Sie auch in diesem Blogbeitrag.
Checkliste: Wann ist ein Homeoffice (und Mobileoffice) erlaubt?
Ist die Nutzung eines Homeoffice (und Mobileoffice) zwischen Arbeitgeber und Mitarbeiter wirksam vereinbart worden?
Wurde geprüft, inwieweit der Zugriff auf betriebliche Daten möglichst eingeschränkt werden kann (Rechtemanagement)?
Sind die räumlichen Voraussetzungen erfüllt (Arbeitsecke ist in der Regel ausreichend)?
Ist das verwendete Gerät technisch auf den aktuellem Stand, sind Virenscanner und Firewalls aktiv?
Wird ein verschlüsselter Onlinezugang/WLAN-Verbindung zu Hause verwendet?
Erfolgt die Einwahl in IT-Infrastruktur des Arbeitgebers mittels besonders gesicherter Verbindung (VPN)?
Ist die Nutzung von USB-Speichern untersagt oder geregelt (betriebliche Cloud ist grundsätzlich vorzuziehen)?
Werden vom Arbeitgeber gestellte Geräte verwendet oder falls Privatgeräte verwendet werden müssen, wird eine Trennung zwischen betrieblichen und privaten Daten gewährleistet?
Existiert eine aktuelle Passwortrichtlinie (16 Zeichen, abstrakt, Passwordmanager)?
Ist gesichert, dass Mitarbeiter Geräte in der Öffentlichkeit im Blick behalten und sonst generell bei Nichtnutzung sperren?
Wird bei Mobileoffice der Blick- und Abhörschutz beachtet (z. B. Blickschutzfilter)?
Wurden den Schutzpflichten Mitarbeitern nachweislich (Unterschrift/E-Mailbestätigung, etc.) ausgehändigt?
Wurden mit Mitarbeitern Kontrollrechte für das Homeoffice und vor allem für privatgenutzte Geräte vereinbart (Schutzpflichten und Kontrollrechte können auch gemeinsam vereinbart werden)?
Wurden Mitarbeiter nachweislich im Hinblick auf die Datensicherheitsmaßnahmen instruiert und unterrichtet?
Wurden die Maßnahmen noch vor der Aufnahme des Homeoffice umgesetzt und falls nein, besteht eine Entschuldigung für die Verzögerung (z. B. Ansteckungsgefahr im Büro) und werden die Maßnahmen schnellstmöglich nachgeholt?
©Heise Medien GmbH & Co. KG