Mit der Corona-Pandemie schickten Tausende Unternehmen ihre Angestellten ins Home-Office, praktisch ohne jede Vorbereitungszeit. Dafür mussten oft genug erst Strukturen geschaffen werden. Zu beachten ist aber nicht nur die IT-Infrastruktur, sondern auch der Datenschutz, denn die Umsetzung der DSGVO ist auch im Home-Office zu beachten. Im Interview verrät uns Andreas Riehn, Senior Consultant für Datenschutz bei Dataguard, wichtige Handlungsempfehlungen für Arbeitgeber.
Herr Riehn, wer übernimmt im Home-Office die Verantwortung für den Datenschutz?
Andreas Riehn, DataguardRiehn: Die Verantwortung für den Datenschutz liegt beim Unternehmen selbst, bei Einzelunternehmern mitunter auch bei einer Person. Arbeitgeber können diese Verantwortung nicht delegieren, indem sie Mitarbeitern das Home-Office ermöglichen. Kommt es in der Folge zu einer Datenpanne, müssen die Unternehmen die Konsequenzen tragen.
Sie sollten sich daher klarmachen, welche Daten im Rahmen der Datenschutz-Grundverordnung (DSGVO) als besonders sensibel gelten: Sozialdaten, Gesundheitsdaten, biometrische Daten, Daten zur Glaubensrichtung und zur ethnischen Herkunft. Je sensibler die Daten, desto höher der Schutz: Vorkehrungen für höchste Vertraulichkeit sind auch im Home-Office nötig.
Welche Vereinbarungen sollten Arbeitgeber daher mit ihren Arbeitnehmern treffen?
Riehn: Idealerweise sollten Arbeitgeber bereits eine schriftliche Vereinbarung über die Ausgestaltung der Arbeit im Home-Office mit ihren Mitarbeitern getroffen haben, bevor diese ihren ersten Arbeitstag außerhalb des Büros verbringen.
Der zweitbeste Zeitpunkt ist jetzt, denn auch hier gilt: besser spät als nie. Eine solche, von beiden Parteien unterzeichnete Vereinbarung sollte keine Standardlösung aus dem Internet sein, sondern individuell auf die Situation des Unternehmens zugeschnitten sein und die Mitarbeiter über ihre Pflichten informieren. In jedem Fall sollte eine Verschwiegenheitserklärung enthalten sein, die auch weitere Haushaltsmitglieder umfasst, wenn der Arbeitsplatz nicht klar vom Rest der Wohnung abgetrennt ist.
Datenschutz im Home-Office: Berufliches vom privaten trennen
Wie sieht es mit der Trennung von Berufs- und Privatleben aus?
Riehn: Je nach Gegebenheiten ist die beste Lösung für Mitarbeiterinnen und Mitarbeiter im Home-Office ein eigenes, abschließbares Arbeitszimmer. Wo diese Möglichkeit nicht besteht, sollte doch mindestens der Bildschirm gegen Blicke geschützt sein. Hierbei helfen Blickschutzfilter oder Folien.
Soft- und Hardware wie Laptop und gängige Office-Programme sollten vollständig vom Arbeitgeber gestellt werden: So wird der dienstliche Rechner nur für berufliche Angelegenheiten genutzt, der private ausschließlich in der Freizeit. Auch vertrauliche Telefonate dürfen selbstverständlich nicht in Gegenwart Dritter geführt werden.
Und was raten Sie beim Thema Datenverschlüsselung?
Riehn: Das Thema Verschlüsselung im Home-Office beginnt bei der Internetverbindung: Eine offene WLAN-Verbindung ist komfortabler, ein LAN-Netzwerk jedoch wesentlich sicherer. Wer das Einstöpseln des Kabels als lästig empfindet, der kann sich mit dem Gedanken trösten, dass der LAN-Anschluss auch eine schnellere Verbindung gewährleisten sollte.
Für die firmeninterne Kommunikation bieten sich inzwischen diverse verschlüsselte Messenger-Lösungen an. Verschlüsselt werden sollte aber auch die Festplatte des Arbeitsrechners selbst, der zudem nach maximal zehn Minuten Inaktivität mit einer automatischen Bildschirmsperre versehen wird. Zusätzliche Sicherheit bei der Anmeldung bietet die Zwei-Faktor-Authentifizierung, bei der etwa das Smartphone als zweites, unabhängiges Gerät genutzt wird. Herumliegende USB-Sticks stellen nicht nur im Home-Office ein großes Risiko aus Datenschutzsicht dar: Wo sie sich nicht vermeiden lassen, empfiehlt sich ebenfalls eine Verschlüsselung. Schließlich kann es sich auch lohnen, USB-Ports gleich komplett oder für externe Speicher zu sperren.
Ausdrucke nicht einfach im Hausmüll entsorgen
Was ist bei der Datenentsorgung zu beachten?
Riehn: Was für die Umwelt gilt, ist auch im Datenschutz richtig: Müllvermeidung ist besser als Mülltrennung. Als Datenmüll gelten etwa unnötige Dateien und Kopien auf anderen Datenträgern: Personenbezogene Daten sollten so wenig wie irgend möglich verarbeitet werden, dazu verpflichtet die DSGVO. Müll im direkten Sinne entsteht aber auch durch überflüssige Ausdrucke auf Papier. Keinesfalls gehören diese in die heimische Altpapiertonne! Wo Papier anfällt, sollte es in einem abschließbaren Schrank verwahrt und dann bei nächster Gelegenheit im Büro im Schredder landen.
Haben Sie einen Tipp in Sachen Clean-Desk?
Riehn: An einem aufgeräumten Schreibtisch arbeitet es sich auch aufgeräumt. Was im Büro gilt, ist auch im Home-Office sinnvoll: Mitarbeiter sollten im Sinne des Clean-Desk-Gedankens zum Feierabend ihren Schreibtisch so aufräumen, dass sie am nächsten Morgen mit der Arbeit beginnen können, ohne zunächst den Laptop unter Papierbergen freiräumen zu müssen. Es verbietet sich von alleine, Ausdrucke mit sensiblen Daten offen herumliegen zu lassen: Diese gehören auch bei kurzer Abwesenheit in einen abschließbaren Schrank.
Verschieben sich die Datenschutzmaßstäbe in der Krise?
Riehn: Ja, Regierungen, Aufsichtsbehörden, Arbeitgeber und Arbeitnehmer sind zur Improvisation gezwungen. Doch das ist keinesfalls als Freibrief zu verstehen, den Datenschutz beiseitezuschieben. Vielmehr geht es darum, zu gewichten und neue Maßstäbe anzulegen: In Zeiten von Corona kann die Fürsorgepflicht des Arbeitgebers gegenüber seiner Belegschaft möglicherweise schwerer wiegen als der Datenschutz, wenn es beispielsweise um die Frage geht, ob ein Arbeitnehmer in seiner Freizeit Risikogebiete besucht hat. Auch in Krisenzeiten gilt: Alle Maßnahmen, die in die Rechte anderer eingreifen, müssen erforderlich sein, und es ist stets das mildeste Mittel zu wählen.
Home-Office: Vertrauen und Transparenz
Wie viel Kontrolle muss im Home-Office sein? Müssen Arbeitnehmer Kontrollbesuche befürchten?
Riehn: Die Arbeit im Home-Office setzt einen gewissen Vertrauensvorschuss des Arbeitgebers voraus. Die Erfahrung zeigt, dass dieses Vertrauen in den seltensten Fällen enttäuscht wird. Kleinliche Kontrollanrufe sind wenig sinnvoll und wirken eher demotivierend. Dennoch hat der Arbeitgeber weiterhin eine Verantwortung nicht zuletzt für den Datenschutz im Home-Office und sollte sich daher gewisse Kontrollmöglichkeiten wahren.
Dem steht entgegen, dass die Unverletzbarkeit der Wohnung vom Grundgesetz ganz besonders geschützt wird. Unangemeldete Besuche im Home-Office scheiden deshalb von vornherein aus. Wie dennoch eine Kontrolle möglich sein kann, sollte in der Home-Office-Vereinbarung geregelt werden.
Was raten Sie, falls etwas schiefgeht und eine Datenpanne (Data-Breach) auftritt?
Riehn: Falls trotz aller Vorkehrungen zum Datenschutz im Home-Office Datenpannen auftreten, ist eine offene und ehrliche Kommunikation das oberste Gebot. Der Arbeitnehmer sollte wissen, auf welchem Weg er seinen Arbeitgeber über relevante Vorfälle informieren kann. Nicht jede Datenpanne ist dann auch für den Arbeitgeber meldepflichtig: Ob dem so ist, kann ein externer Datenschutzbeauftragter klären helfen.
.