Homeoffice 1

Herbst-Homeoffice: Was das für den Datenschutz bedeutet und wer sich darum kümmern muss.

Der Herbst steht vor der Tür und bringt neben gemütlichem Teetrinken bei Kerzenschein auch viel Regen und weniger Tageslicht in unser Leben. So manch einer wird sich jetzt morgens wieder zweimal umdrehen und sich fragen – muss ich heute wirklich ins Büro? Regensachen überziehen und im Dunkeln aufs Fahrrad, in die Bahn oder zum Auto? Oder kann ich nicht einfach den Laptop ins Bett holen und anfangen zu arbeiten? 

Spätestens seit dem Frühjahr 2020 ist Homeoffice für viele Berufe keine Ausnahme mehr, sondern die Regel. Doch was bedeutet es für den Datenschutz, wenn ich meine Arbeit mit nach Hause nehme? 

Telearbeit, Homeoffice und mobiles Arbeiten

Zuerst möchte ich zwei Begriffe klar voneinander trennen: Telearbeit und mobiles Arbeiten. Ein Telearbeitsplatz ist laut dem Bundesbeauftragten für den Datenschutz und die Informationssicherheit (BfDI) ein fester Arbeitsplatz im „häuslichen Bereich“ des Beschäftigten (siehe auch § 2 Abs. 7 ArbStättV). Dieser ist elektronisch mit der eigentlichen Dienststelle verbunden. Der Arbeitgeber übernimmt die Einrichtung des Arbeitsplatzes und die daraus entstehenden Kosten. Arbeitnehmer wechseln hier also zwischen zwei festen Arbeitsorten, ihrem Heimarbeitsplatz und dem Büro. 

Mobiles Arbeiten hingegen ermöglicht tatsächlich ortsunabhängiges Arbeiten. Hier wird ein spezieller Fernzugriff auf die IT-Infrastruktur des Arbeitgebers eingerichtet und das Arbeiten ist theoretisch von überall aus möglich.

In beiden Konstellationen trägt der Arbeitgeber die datenschutzrechtliche Verantwortung für die Tätigkeiten, die der Arbeitnehmer verrichtet. Während ich in der Vergangenheit zum mobilen Arbeiten schon einiges gesagt habe (zu hören z.B. hier in meinem Podcast), möchte ich Ihnen heute meine Einschätzung zur Telearbeit, umgangssprachlich als „Homeoffice“ bezeichnet, geben.

Vorweg: Es gibt keine klare gesetzliche Regelung für die datenschutzrechtliche Zulässigkeit von Telearbeit. Es bedarf also immer einer Einzelfallprüfung. Dabei werden die zu verarbeitenden Daten und die geplante Datenverarbeitung geprüft, um herauszufinden, ob die jeweilige Tätigkeit auch von einem Arbeitsplatz zu Hause datenschutzkonform durchgeführt werden kann. Besonders Unternehmen, die als Auftragsverarbeiter tätig sind, müssen hier aufpassen. Vielfach gibt es in Auftragsverarbeitungsverträgen (AVV) Ausschlüsse oder Genehmigungspflichten zum Arbeiten außerhalb der Betriebsräume des Unternehmens. 

Die Entscheidung trifft letztlich der Arbeitgeber, denn er ist für die datenschutzkonforme Verarbeitung der betroffenen Daten verantwortlich. Ein pauschales Recht auf Homeoffice gibt es für Arbeitnehmer (noch) nicht. Gegebenenfalls können individuelle Vereinbarungen im Arbeitsvertrag zu einem solchen Anspruch führen.

Zurück zum Herbst – vorausgesetzt, mit dem Arbeitgeber ist alles geregelt, können Sie, eventuell auch spontan, im Homeoffice bleiben und den verregneten Tag ohne den Weg ins Büro beginnen. Was bedeutet das für den Datenschutz? 

Technische Maßnahmen für ein angemessenes Schutzniveau im Homeoffice 

Für die Einrichtung eines Telearbeitsplatzes ist in erster Linie der Arbeitgeber zuständig. Die notwendige technische Ausstattung, unter anderem ein Laptop, ein Headset, ein zusätzlicher Bildschirm oder ein Mobiltelefon, ist also vom Unternehmen bereitzustellen. So kann sichergestellt werden, dass alle genutzten Endgeräte nicht nur zentral verwaltet, sondern auch angemessen abgesichert sind. Maßnahmen wie etwa Virenschutzprogramme, Firewalls oder Verschlüsselung können so entsprechend sichergestellt werden. Eine voll elektronische Datenverarbeitung ohne die Verwendung von Papier bzw. Papierakten sollte die Basis eines Telearbeitsplatzes sein: Dadurch entfällt die Gefahr von Verlust, Beschädigung oder unbefugter Kenntnisnahme beim Transport und Lagern von Akten und Unterlagen. Auch hat der Arbeitgeber bei digitalen Daten bessere Steuer- und Kontrollmöglichkeiten.

Damit der Zugriff auf die Unternehmensinfrastruktur sicher ist, braucht es eine geschützte Verbindung zum Unternehmen – etwa einen VPN-Tunnel (Virtual Private Network). So kann gewährleistet werden, dass der Zugriff auf Unternehmensanwendungen und zentrale Datenablagen nur mit autorisierten und authentifizierten Geräten und Nutzern möglich ist. Zusätzlich gehört es zum Stand der Technik, den Zugriff auf die IT-Infrastruktur des Unternehmens mittels der Zwei-Faktor-Authentifizierung abzusichern. So ist neben der Eingabe eines sicheren Passworts auch die Eingabe eines zweiten Authentifizierungsfaktors notwendig, unter anderem eines per SMS übermittelten PIN-Codes oder eines Fingerabdrucks. 

Insgesamt gilt, dass die Maßnahmen dem Schutzniveau der verarbeiteten Daten angepasst werden müssen. 

Organisatorische Maßnahmen – wer kann hier was tun?

In erster Linie ist wieder der Arbeitgeber in der Verantwortung. Damit Mitarbeiter sicher im Umgang mit (personenbezogenen) Daten im Homeoffice sind, braucht es schriftliche festgehaltene Regelungen (Arbeitsanweisungen) sowie regelmäßige Schulungen zum datensicheren Arbeiten und zum datenschutzgerechten Umgang mit den zur Verfügung gestellten Arbeitsmitteln und Daten. 

Arbeitgeber sollten außerdem:

  • Ein Rollen- und Berechtigungskonzept erstellen, welches die Art, den Umfang und die Kategorien der genutzten Daten beschreibt und festlegt, ob und wie diese im Homeoffice verarbeitet werden dürfen. 
  • Klare betriebsinterne Kommunikationswege festlegen – kann ich meinem Kollegen z.B. eine E-Mail mit einem Anhang senden, damit er diese für mich im Büro ausdruckt?
  • Ansprechpartner benennen, an die sich Mitarbeiter jederzeit mit Datenschutzfragen, egal ob technischer oder organisatorischer Art, wenden können. 

Auch wenn die Verantwortung grundsätzlich beim Arbeitgeber liegt, sind Arbeitnehmer bei der Nutzung eines Telearbeitsplatzes in der Pflicht. Sie selbst müssen bestmöglich mithelfen, die verwendeten Daten zu schützen. Dafür gilt:

  • Die vom Arbeitgeber zur Verfügung gestellte technische Infrastruktur darf nicht (oder nur nach vorheriger Genehmigung) privat genutzt werden. Dazu gehört auch, dass keine privaten Geräte mit den dienstlichen gekoppelt werden (z.B. Drucker oder Scanner).
  • Bei der räumlichen Gestaltung des Telearbeitsplatzes sollten Sie darauf achten, dass Daten auf den Bildschirmen nicht ohne weiteres von außen (z.B. durchs Fenster) einsehbar sind. Sichtschutzfolien können hier Abhilfe schaffen. Vor dem Verlassen des Arbeitsplatzes sollte der Bildschirm gesperrt werden, sodass auch Familienmitglieder oder andere Mitbewohner keinen Zugriff auf den Laptop oder PC haben. 
  • In den Räumen, in denen Telearbeit stattfindet, dürfen sich keine Smart-Home-Geräte befinden. (Keine Sprachassistenten) 
  • Bei Telefonaten im privaten Raum sollten Sie besonders sensibel sein – wer könnte theoretisch mithören? 
  • Achten Sie auf eine „Clean-Desk-Policy“: Wenn Sie Ihren Arbeitstag im Homeoffice beenden, räumen Sie ihren Schreibtisch auf und verschließen alle Arbeitsmaterialien, die personenbezogene oder andere sensible berufliche Daten enthalten. 

Sie haben noch weitere Fragen oder Beratungsbedarf? Dann buchen Sie sich hier unverbindlichen Termin mit mir. 

Der BfDI stellt Ihnen und Ihrem Unternehmen außerdem einen übersichtlichen Wegweiser zu Telearbeit und mobilem Arbeiten zur Verfügung.

Bildquellen:

  • Frau im Homeoffice: gstockstudio (542213843) | stock.adobe.com

Newsletter

Bleiben Sie immer auf dem Laufenden, was wir zum Daten- und Informationsschutz zu berichten haben

Abonnieren Sie jetzt gleich unseren Newsletter.