Datensicherheit im Homeoffice - so schützen Sie sensible Daten

Medienberichten zufolge wurden 2021 insgesamt 434 Strafen gegenüber Firmen ausgesprochen, weil sie gegen die Datenschutz-Grundverordnung(DSGVO) verstoßen haben. 2019 waren es insgesamt nur 151. Die Homeoffice-Pflicht, die angesichts der weltweiten Corona-Pandemie durch die Bundesregierung angeordnet wurde, könnte dazu beigetragen haben, dass mehr Verstöße gegen die DSGV ausgesprochen wurden, denn auch zu Hause müssen Arbeitnehmer den Datenschutz beachten und sensible, personenbezogene und vertrauliche Daten schützen. Zuhause lauern deutlich mehr Gefahren als im Büro. 

Homeoffice muss vertraglich vereinbart sein

Im Paragrafen 2, Absatz 7 der Arbeitsstättenverordnung ist geregelt, dass Telearbeit eine individualvertragliche Vereinbarung zwischen Unternehmen und seinen Mitarbeitern bedarf. Telearbeit ist dabei der vertraglich gängige Begriff, der das Arbeiten zu Hause meint. Heute spricht man in der Regel von Homeoffice. In diesem Vertrag muss die wöchentliche Telearbeitszeit, also die Arbeitszeit im Homeoffice, geregelt sein. Außerdem muss festgelegt werden, wie lange dieser Vertrag gilt. Das Grundgesetzgarantiert im Artikel 13 die Unverletzlichkeit der Wohnung. Deshalb hat ein Arbeitgeber kein generelles Zugangsrecht zu den privaten Wohnungen seiner Mitarbeiter. Ohne Einwilligung darf er die Wohnung nicht betreten. Bei größeren Unternehmen werden diese Vereinbarungen über den Betriebsrat geschlossen.

Datenschutz im Homeoffice: So funktioniert er

Der Arbeitnehmer muss einen geeigneten Arbeitsplatznachweisen, an dem er personenbezogene Daten sicher aufbewahren kann. Das kann ein separates Arbeitszimmer sein, das während der Arbeitszeit und nach Feierabend für Dritte nicht zugänglich ist. Dazu zählen auch der Partner und Kinder. Ist das räumlich nicht möglich, so müssen diese Dokumente in einemabschließbaren Rollcontainer oder Aktenschrank aufbewahrt werden. Ferner muss der Angestellte Maßnahmen treffen, dass sich berufliche und private Dokumente und Daten nicht mischen und keine unberechtigte Person Zugriff auf dienstliche Daten hat. Alle Geräte müssen deshalb einen sicheren Passwortschutz haben oder durch ein geeignetes Authentifizierungsverfahren und verschlüsselten Speichergeschützt sein. Gängige Authentifizierungsverfahren sind beispielsweise Chipkarten und sogenannte Token. Beim Einrichten des Arbeitszimmers sollen Mitarbeiter ihren Bildschirm so aufstellen, dass Unbefugte keinen Blick darauf wechseln können, wenn sie das Zimmer betreten. Dabei kann ein sogenannter Blickschutzfilter helfen oder eine entsprechende Position des Schreibtisches. Verlassen Sie ihren Arbeitsplatz, weil sie beispielsweise Mittagspause machen, muss der Bildschirm mit Passwortschutz gesperrt werden. Alternativ muss der Computer ausgeschalten werden. Wer von seinem Arbeitgeber Dienstgeräte zur Verfügung gestellt bekommt, sollte keine private Hardware wie Festplatten, USB-Sticks oder Tastaturen anschließen, denn sie könnten Schadsoftwareenthalten oder private und berufliche Daten miteinander vermischen.

Daten müssen regelmäßig gesichert werden

Wie am Arbeitsplatz im Büro üblich, müssen auch im Homeoffice die Daten regelmäßig gesichert werden. Je nach Arbeitgeber werden dazu Recovery- oder Backupverfahren verwendet. Wer noch mit Papierdokumenten arbeitet, ist verpflichtet, diese zwischen Arbeit und Homeoffice in verschlossenen Behältern zu transportieren. Der Datenschutzbeauftragte kann beantworten, welche Behälter dazu geeignet sind. Dokumente, die nicht mehr benötigt werden, dürfen nicht einfach im Papiermüll im Arbeitszimmer oder in der Küche entsorgt werden. In vielen Unternehmen gibt es dafür eigene Richtlinien oder spezielle Container, die von Firmen abgeholt werden. Im Homeoffice können sie durch einen Schredder vernichtet werden. Steht keiner zur Verfügung, ist es besser, sie wieder mit an den Arbeitsplatz in der Firma zu nehmen und dort sicher zu vernichten. Empfehlenswert ist es, direkt beim Vorgesetzten oder dem Datenschutzbeauftragten zu fragen, ob das Vernichten mit einem privaten Aktenvernichter erlaubt ist.

Was gilt für Videokonferenzen und Telefonate?

Über Videokonferenzen können sich Arbeitgeber und Arbeitnehmer auf der ganzen Welt austauschen, auch wenn sie Tausende Kilometer voneinander getrennt sind. Auch Telefonate gehören für viele Arbeitnehmer zum Berufsalltag. Wer im Homeoffice arbeitet, ist verpflichtet darauf zu achten, dass Familienmitglieder, Partner, Besucher oder Nachbarn die Inhalte der Konferenzen oder Gespräche nicht mithören können. Das gilt für das Arbeiten auf der Terrasse oder dem Balkon, aber auch im Arbeitszimmer. Deshalb sollten Fenster bei vertraulichen Gesprächen geschlossen werden. Auch digitale Assistenten wie Alexa und Siri sollten bei sensiblen Gesprächsinhalten besserabgeschaltet werden.

Welche technischen Maßnahmen müssen getroffen werden?

Die für die IT zuständigen Verantwortlichen müssen der Gefährdungslage im Homeoffice Rechnung tragen und dafür Sorge tragen, dass das Schutzniveau für das Unternehmen angemessen ist. Aus diesem Grund stellen viele Unternehmen ihren Mitarbeiter Endgeräte bereit, die zentral administriert werden. Der Mitarbeiter ist verpflichtet, regelmäßig Updates durchzuführen für Software, Patchmanagement und Signaturen. Nur so kann die Sicherheit der Daten dauerhaft gewährleistet werden. Der Zugang zum Firmennetzwerk sollte nur mit Pin-Sperre und Zwei-Faktoren-Authentifizierung (sogenannten vertrauensbasierten Vertrauensanker) erfolgen. Die Verbindung erfolgt im Idealfall über ein sogenanntes Virtual Private Network (VPN) erfolgen und Mitarbeiter sollten sicherstellen, dass ihre eigene Internetanbindung (WLAN oder Festnetz/Wi-Fi)gesichert sind, also einen Passwortschutz haben. Das gilt auch für Handys für den dienstlichen Gebrauch. Unternehmen können einen Pin-Schutz verlangen. Das gilt auch für Computer. Viele Unternehmen sperren aus Sicherheitsgründen auch USB-Zugänge der Endgeräte, damit Mitarbeiter keine private Hardware anschließen können. Dies gilt auch für private Drucker. Wenn es für die Arbeit erforderlich ist, sollte aber sichergestellt sein, dass Mitarbeiter Dokumente, die sie zum Arbeiten benötigen, auch zu Hause ausdrucken können.

Worin liegen die größten Gefahren für die Sicherheit bei Telearbeit?

Zuhause sind die Gefahren, gegen die DSGVO zu verstoßen etwas größer als am Arbeitsplatz. Oftmals wird – wenn auch unbeabsichtigt, die Vertraulichkeit der personenbezogenen Daten verletzt. Das ist bereits der Fall, wenn Dokumente kurz auf dem Küchentisch abgelegt werden und der Partner einen Blick darauf werfen kann. Oder die Ehefrau hat Besuch und beide hören durch Zufall bei der Videokonferenz mit. Für die Kommunikation gilt, dass Datenverschlüsselt, übertragen werden müssen. Als sicherste Methode gilt die Ende-zu-Ende-Verschlüsselung, wobei die Kontrolle bei dem Mitarbeiter im Homeoffice und seinem Kommunikationspartner liegen und nicht beim Unternehmen. Firmen müssen ihre Arbeitnehmer deshalb regelmäßig über die Datenschutzbelange im Homeoffice aufklären und sensibilisieren. Dafür reicht es nicht, eine E-Mail zu schreiben. Der Datenschutzbeauftragte sollte regelmäßig die Mitarbeiter zum Datenschutz und zur Datenschutzverordnung schulen und fortbilden. Das ist auch über Videokonferenzen möglich.

Dürfen Arbeitgeber die Nutzung privater Geräte verlangen?

Unternehmen können von ihren Mitarbeitern nicht verlangen, dass sie für die Erbringung der Arbeitsleistung private Endgeräte zu Hause nutzen. Mit Einwilligung der Mitarbeiter ist dies möglich. Das Unternehmen ist aber verpflichtet, zu überprüfen, ob diese privaten Geräte ausreichend geschützt sind, beispielsweise durch einen Virenschutz. Empfohlen wird es, auf die Nutzung privater Endgeräte zu verzichten. Zwar erscheinen im ersten Moment die Anschaffungskosten für mobile Endgeräte hoch, aber die Kosten für die Beseitigung von Schadsoftware kann deutlich höher sein. Ein weiterer Vorteil ist, dass Arbeitgeber sicherstellen können, dass ihre Mitarbeiter alle benötigten Programme installiert haben und ihrer Arbeit nachkommen können.