Besondere Umstände können es erforderlich machen, dass Beschäftigte befristet oder dauerhaft an einem mobilen Arbeitsplatz oder an einem Heimarbeitsplatz tätig sind. Allerdings sind mit dieser flexiblen Arbeitsweise hohe Sicherheitsanforderungen im IT-Bereich verbunden und es sind die datenschutzrechtlichen Bestimmungen einzuhalten.
Das müssen Beschäftigte beim Arbeiten an einem Heimarbeitsplatz beachten
Bei der Arbeit an einem mobilen Arbeitsplatz oder an einem Heimarbeitsplatz sind dieselben strengen datenschutzrechtlichen Regeln zu befolgen wie bei der Tätigkeit im Firmenbüro.
- Um eine Verbindung mit den IT-Systemen im Unternehmen herzustellen, ist die zur Verfügung gestellte IT-Ausstattung bzw. sind nur verifizierte Endgeräte (z.B. Notebooks, Tablet-PCs, Smartphones) zu verwenden.
- Für die Tätigkeit an einem Heimarbeitsplatz bereitgestellte Hard- und Software darf nicht für private Zwecke verwendet werden. Im Privathaushalt lebende Personen (z.B. Lebenspartner, Eltern oder Kinder) dürfen die geschäftliche Ausstattung nicht nutzen.
- Grundvoraussetzung für die Arbeit an einem Heimarbeitsplatz ist ein belastbarer und sicherer Netzanschluss über ein passwortgeschütztes Heimnetzwerk (LAN oder WLAN). Auf das Unternehmensnetzwerk kann mittels Virtual Private Network Client (VPN-Client) zugegriffen werden. Freie WLAN-Access-Points sind ungeschützt und stellen ein Sicherheitsrisiko dar.
- Software für Privatanwender darf für geschäftliche Zwecke nur in Ausnahmefällen genutzt werden, wenn die IT-Abteilung konsultiert wurde und ausdrücklich zugestimmt hat. Viele für den Privatgebrauch konzipierte Datentransfer- und Konferenzdienste erfüllen nicht die geforderten Mindestanforderungen an den Datenschutz und die IT-Sicherheit.
- Es ist Vertraulichkeit zu wahren. Passwörter dürfen nie an Dritte (z.B. Familienmitglieder, Freunde oder Kollegen) weitergeben. Computer und andere Endgeräte sind zu sperren, wenn – auch kurzzeitig – nicht an ihnen gearbeitet wird.
- Werden personenbezogene Daten verarbeitet, ist darauf zu achten, dass die Daten nicht von Dritten eingesehen werden können. Unterlagen dürfen zu Hause oder im öffentlichen Raum nicht offen ausgebreitet werden. Vertrauliche Telefonate dürfen weder in Anwesen-heit von Familie oder Bekannten noch im Garten oder auf der Terrasse geführt werden.
- Personenbezogene Daten sind in einem separaten, abschließbaren Raum zu verarbeiten und aufzubewahren. Ist dies – aufgrund der örtlichen Gegebenheiten – nicht möglich, hat die Aufbewahrung solcher Daten zumindest in einem abgeschlossenen Schrank zu erfolgen.
- Geschäftliche E-Mail-Korrespondenz darf zur Bearbeitung nicht an private E-Mail-Konten von Beschäftigten an einem Heimarbeitsplatz versendet oder weitergeleitet werden.
- Private Endgeräte (z.B. Tablet-PCs oder Smartphones) sowie Massenspeichermedien (z.B. USB-Sticks oder externe Festplatten) dürfen nicht an geschäftliche IT-Systeme angeschlossen werden. Daten dürfen nicht auf privaten Speichermedien gespeichert werden.
- Müssen Unterlagen mit vertraulichen Inhalten vernichtet werden, hat dies datenschutzgerecht zu erfolgen. Ausdrucke mit personenbezogenen Daten sowie anderen vertraulichen oder sensiblen Inhalten müssen zumindest in kleine Stücke zerrissen und sollten gesondert entsorgt werden.
- Der Angriff auf oder das Abhandenkommen von personenbezogenen Daten an einem mobilen Arbeitsplatz oder an einem Heimarbeitsplatz ist Thermoplan unverzüglich anzuzeigen. Es ist unerheblich, ob der Verlust durch eine Malware-Attacke, durch einen Diebstahl eines geschäftlich genutzten Endgeräts (insbes. Speichermedien) oder durch das Verloren-gehen von schriftlichen Unterlagen bedingt ist.
Es handelt sich in jedem Fall um eine Datenschutzverletzung, die – je nach Schwere der Folgen für die betroffenen Personen – eine Meldepflicht bei den Aufsichtsbehörden nach sich ziehen kann.
Das müssen Arbeitgeber bei der Arbeitsverlagerung an einen Heimarbeitsplatz beachten
Arbeitgeber haben entsprechende Vorkehrungen zu treffen und Anweisungen zu erteilen, damit Beschäftigte an einem Heimarbeitsplatz ein ähnlich hohes Datenschutzniveau einhalten können wie in der Firma:
- Der Arbeitgeber hat Beschäftigen, die an einem mobilen Arbeitsplatz oder an einem Heimarbeitsplatz arbeiten eine IT-Ausstattung (Notebook, Tablet-PC) und eine technische Infrastruktur sowie alle notwendigen Arbeitsmittel zur Verfügung zu stellen, mit der ein datenschutzgerechtes Arbeiten möglich ist.
- Bei geschäftlich ausgegebenen Computern (z.B. Notebooks), ist deren Festplatte zu verschlüsseln. Dasselbe gilt für unternehmenseigene, zur Verfügung gestellte Massenspeichermedien (z.B. USB-Sticks oder externe Festplatten).
- Der Zugriff auf die Systeme des Arbeitgebers sollten nur über ein in sich geschlossenes Virtual Privat Network (VPN) möglich sein. Das VPN ist hinsichtlich seiner Belastbarkeit so auszulegen, dass alle Beschäftigte verzögerungsfrei darauf zugreifen können.
- Über die administrative Schnittstelle des Routers sind die Anmeldeinformationen des Geräts zu ändern und ein sicheres WLAN-Passwort (min. 16 Zeichen) zu vergeben. Außerdem ist zu verifizieren, das Port-Weiterleitung und Universal Plug and Play (UPnP) in den Router-Einstel-lungen deaktiviert sind; sofern diese nicht wissentlich verwendet werden.
- Über Analyse-Tools ist permanent zu prüfen, welche Endgeräte mit dem Netzwerk verbunden sind und ob diese einem Risiko ausgesetzt sind. Netzwerke sind nur so sicher wie ihr schwächstes Glied – insofern ist es wichtig, dass alle mit dem Netzwerk verbundenen Geräte sicher sind, da sie sonst potenzielle Einfallstore für Cyber-Kriminelle sind.
- Der Zugriff auf die vom Arbeitgeber bereitgestellten Systeme und Software-Anwendungen sind mit sicheren Identifikations- und Zugangsroutinen (z.B. Zwei-Faktor-Authentifizierung mit Nutzerkennung plus Passwort) zu sichern.
- Die E-Mail-Kommunikation und die Datenübermittlung muss – entsprechend dem Stand der Technik – verschlüsselt sein.
- Während der Remote-Arbeit hat der IT-Administrator des Arbeitgebers verstärkt auf Phishing-E-Mails (inkl. Spear-Phishing-E-Mails) zu achten. Diese kommen vermeintlich aus dem Unternehmen und enthalten schadhafte Anhänge oder Links. Es ist wichtig, die E-Mail-Adresse jedes Absenders zu verifizieren bevor Anhänge oder Links geöffnet werden.
- Die Arbeit und das Verhalten an einem Heimarbeitsplatz sollten in einer verbindlichen Richtlinie geregelt sein. Bei der Ausarbeitung und Formulierung einer solchen Richtlinie sind der Datenschutzbeauftragte und – sofern vorhanden – der Betriebsrat einzubeziehen. Die Richtlinie gibt vor, auf welche Art und Weise die Tätigkeiten an einem mobilen Arbeitsplatz oder an einem Heimarbeitsplatz zu verrichten sind und wie der Umgang und die Vernichtung von sensiblen Unterlagen zu handhaben sind.
14.04.2020
Photo by Luca Bravo on Unsplash