Zum Hauptinhalt springen
Kostenlos testen Demo anfordern
Kostenlos testen Demo anfordern

13 Min. Lesezeit

Datenschutzkonform im Homeoffice: so gehts!

Datenschutzkonform im Homeoffice: so gehts!
  • Datenschutz im Homeoffice erfordert sowohl vom Arbeitgeber als auch vom Arbeitnehmer besondere Maßnahmen zur Sicherstellung der Datenintegrität und -vertraulichkeit.
  • Technische Maßnahmen umfassen u.a. starke Passwörter, Datenverschlüsselung und sichere Netzwerkverbindungen, während organisatorische Maßnahmen Mitarbeiterschulungen, Richtlinien und Homeoffice-Vereinbarungen beinhalten.
  • Wichtig ist auch die klare Trennung von beruflichen und privaten Daten sowie Geräten, die Verschlüsselung von Daten und die sichere Gestaltung des Heimarbeitsplatzes.
  • Arbeitgeber tragen die Hauptverantwortung für den Datenschutz im Homeoffice, müssen jedoch ihre Mitarbeitenden entsprechend schulen und unterstützen.
  • In diesem Artikel erfahren Sie, wie Sie Datenschutz und Datensicherheit im Homeoffice effektiv umsetzen und Risiken minimieren können.

So gelingt Datenschutz und Datensicherheit im Homeoffice

Datenschutz im Homeoffice ist eine ernsthafte Bedrohung für die Frisur. Datenschützer und Sicherheitsbeauftragte hören nicht mehr auf, sich die Haare deswegen zu raufen - sofern sie überhaupt noch welche auf dem Kopf haben seit der nicht weiter erklärungsbedürftigen Massenpilgerung in die Heimarbeit des Jahres 2020. Kein Wunder, denn das traute Heim ist in etwa das Gegenteil einer gut kontrollierbaren Büroumgebung, in der (zumindest theoretisch) gewisse Standards für die Datensicherheit und den Schutz personenbezogener Daten herrschen.

Im Folgenden erläutern wir, welche Bedrohungen für Datensicherheit und Datenschutz im Homeoffice existieren, welchen Pflichten Arbeitgeber und Arbeitnehmer dabei nachkommen müssen und wie sich Datenschutz und Datensicherheit in der Heimarbeit bestmöglich umsetzen lassen.

 

Datenschutz und Homoffice
// Begriffe und wichtige Unterschiede

⚪ Unterschied zwischen Datensicherheit und Datenschutz

Datensicherheit und Datenschutz sind zwei grundlegend verschiedene Dinge. Bei der Datensicherheit geht es um IT-Sicherheit bzw. Cybersecurity, also um den Schutz der Daten vor unbefugten Zugriffen (Hacker, NSA, James Bond). Beim Datenschutz wiederum geht es um den Schutz personenbezogener Daten, der seit Inkrafttreten der DSGVO (Datenschutzgrundverordnung) im Jahr 2018 besondere Aufmerksamkeit genießt. Datenschutz ist somit nicht nur der Schutz durch Bedrohungen von außen, sondern beinhaltet auch die Verpflichtung, dass mit den Daten der Mitarbeiter, (potenziellen) Kunden und Nutzer nicht gegen geltendes Recht verstoßen und die Privatsphäre untergraben wird. Weder vom Unternehmen selbst, noch durch dessen Partner.

⚪ Unterschied zwischen Homeoffice, Telearbeit und Remote-Work

Der Begriff Remote Work ist rechtlich nicht definiert und kann zur Beschreibung verschiedenster Arbeitsverhältnisse verwendet werden, z.B. Arbeiten von unterwegs, von zu Hause aus oder in der immer beliebteren Konstellation einer "Workation". Homeoffice bzw. zu Deutsch Heimarbeit ist da schon etwas enger definiert und meint die Arbeit in den Privaträumen des Arbeitnehmers. Der Begriff ist aber eher umgangssprachlich. Telearbeit ist hingegen in der Arbeitsstättenverordnung (ArbStättV) genau festgehalten und somit ein rechtlich genau definierter Begriff, bei dem strenge Voraussetzungen erfüllt werden müssen. Der Einfachheit halber nehmen wir hier Homeoffice als Synonym für Telearbeit und meinen damit nicht Remote Work. Genauere Infos zu den Begrifflichkeiten finden Sie hier.

Datenschutz im Homeoffice

Datenschutz im Homeoffice 
// Das wichtigste in Kürze

In den Privaträumen der Mitarbeiter müssen personenbezogene Daten von Kunden und Mitarbeitern genauso geschützt werden, wie im Büro. Ein in der Praxis nicht so einfaches Unterfangen - da bleibt der Laptop bei der Toilettenpause kurz ungeschützt am Esstisch stehen, das eigene Kind verwendet den Arbeitsrechner zum Computerspielen oder die Nachbarn hören sensible Kundengespräche durch die dünnen Wände.

⚪ Warum ist Datenschutz für die Heimarbeit relevant?

In Europa und somit auch in Deutschland gelten im Homeoffice durch die DSGVO dieselben Anforderungen an den Datenschutz, wie auch im Büro. Da die Arbeitsumgebung in den eigenen vier Wänden häufig nicht mit einem Datenschutz-Hintergedanken geplant und/oder umgesetzt wird, besteht hier ein größeres Risiko eines Datenschutzverstoßes, als das in den Geschäftsräumen des Arbeitsgebers der Fall ist.

⚪ Gibt es allgemeingültige Vorgaben oder Richtlinien zum Umgang mit dem Datenschutz im Homeoffice?

Einen allgemeingültigen Leitfaden für den Datenschutz bei der Heimarbeit gibt es nicht. Die Datenschutz-Maßnahmen hängen immer von der Sensibilität der von den Mitarbeitern verarbeiteten Daten ab, denn nicht alle Arten von personenbezogenen Daten bergen die gleichen Risiken. Jeder Fall ist demnach speziell und muss gesondert betrachtet werden. Grundsätzlich geht es beim Datenschutz darum, welcher Schaden einer Person beim Missbrauch dieser Daten entstehen könnte. Die DSGVO, unterscheidet hier zwischen "kein Risiko", "Risiko" und "hohes Risiko". Was besonders schutzbedürftig ist, regelt Artikel 9 DSGVO.

⚪ Welche Daten zählen zu den personenbezogenen Daten?

Zu den personenbezogenen Daten gehören alle Daten, die auf bestimmte Personen zurückzuführen sind. Neben Namen, Adressen und Telefonnummern betrifft das z.B. sogar handschriftliche Gesprächsnotizen, solange diese eindeutig auf eine bestimmte Person zurückzuführen sind.

⚪ Wer ist für den Datenschutz im Homeoffice verantwortlich?

Der Arbeitgeber ist in jedem Fall für die Wahrung des Datenschutzes verantwortlich - ob die Datenverarbeitung nun im Büro oder in den Privaträumen des Mitarbeiters geschieht spielt keine Rolle. Allerdings: Verursacht ein Arbeitnehmer durch eigenes Verschulden eine Datenpanne, kann er datenschutz- und arbeitsrechtlich dafür haftbar gemacht werden. Das ist jedoch immer abhängig von den konkreten Umständen und inwiefern der Arbeitnehmer gegen seine Sorgfaltspflicht verstoßen hat.

⚪ Datensicherheit im Homeoffice: Die Voraussetzung für den Datenschutz

Um Datenschutz im Homeoffice gewährleisten zu können, müssen die Grundsätze der Datensicherheit befolgt werden. Zur Erinnerung: Beim Datenschutz geht es "nur" um den Schutz personenbezogener Daten. Hingegen geht es bei der Datensicherheit um die Sicherheit aller Betriebsdaten - also um die Sicherheit der IT-Infrastruktur im Allgemeinen. Das schließt natürlich auch personenbezogene Daten mit ein.

⚪ Risiken für Datenschutz und Datensicherheit im Homeoffice

Im Wesentlichen sind die Risiken für den Datenschutz im Homeoffice dieselben, wie die der allgemeinen Datensicherheit. Ob es dabei um den Schutz aller Daten (Datensicherheit) oder nur um spezielle Daten (Datenschutz) geht, ist erst einmal zweitrangig, da alle Betriebsdaten prinzipiell schützenswert sind. Primär geht es bei der Datensicherheit um das Ziel, die Vertraulichkeit, Integrität sowie Verfügbarkeit der Daten zu sichern.

In diesem Zusammenhang existieren folgende Risiken für die Datensicherheit und den Datenschutz:

  • Datenverlust
  • Ausspähen von Informationen (Spionage)
  • Mangelhafte Anpassung oder Fehlplanung
  • Offenlegen schützenswerter Informationen
  • Manipulation von Hard- oder Software
  • Manipulation von Informationen
  • Unbefugtes Eindringen in IT-Systeme oder Infrastruktur
  • (Unbeabsichtigtes) Zerstören von Geräten oder Datenträgern
  • Ausfall von Geräten oder Systemen
  • Unerlaubtes Nutzen oder manipulieren von Geräten und Systemen
  • Fehlerhaftes Nutzen oder Bedienen von Geräten und Systemen
  • Missbrauch von Berechtigungen
  • Personalausfall
  • Verhinderung von Diensten (Denial of Service)
  • Integritätsverlust schützenswerter Informationen
  • Unbefugter Zugriff auf personenbezogene Daten (Personal, Kunden, Nutzer, Geschäftspartner)
  • Unbefugter Zugriff auf Geschäftsgeheimnisse
  • Rechtliche Risiken und Strafen

Grundsätze um den Datensicherheitsrisiken ordnungsgemäß zu begegnen:

  • Vertraulichkeit: Datenzugriff nur durch autorisierte Benutzer
  • Integrität: Nachvollziehbarkeit des Zugriffs und der Veränderung von Daten
  • Verfügbarkeit: Gewährleistung des Datenzugriffs und Schutz gegen Systemausfälle
  • Authentizität: Sicherstellung der Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit der Daten
  • Verbindlichkeit/Nichtabstreitbarkeit: Eindeutige Rückführbarkeit der Handlungen eindeutig auf bestimmte Personen
  • Zurechenbarkeit: Durchgeführte Handlungen können Kommunikationspartnern eindeutig zugeordnet werden
  • Anonymität: Daten sind am sichersten, wenn sie gar nicht erst erfasst und gespeichert werden

Homeoffice - Datenschutz

Datenverarbeitung und Datenschutz im Homeoffice
// So geht's!

⚪ 8 wichtige Aspekte zum Datenschutz im Homeoffice

  1. Im Homeoffice gelten dieselben Anforderungen an die Datensicherheit und den Datenschutz, wie im Büro.
  2. Es ist wichtig im Vorfeld zu klären, welche Pflichten beim Arbeitgeber und welche beim Arbeitnehmer liegen, wenn im Homeoffice gearbeitet wird.
  3. Es gibt keine Maßnahmen, mit denen Datenlecks und sonstige Datenschutzverstöße im Homeoffice mit absoluter Sicherheit ausgeschlossen werden können. Wichtig ist nur, dass sowohl Arbeitgeber als auch Arbeitnehmer ihren Pflichten nachkommen, diese soweit es geht zu minimieren.
  4. Da am Heimarbeitsplatz viele Dinge außerhalb der unmittelbaren Kontrolle des Arbeitgebers liegen, ist es üblich und sinnvoll, eine schriftliche Vereinbarung zwischen Arbeitgeber und Arbeitnehmer für die Arbeit im Homeoffice zu treffen, in der alles Wichtige festgehalten und geregelt wird.
  5. Eine Unterschrift auf einer Homeoffice-Zusatzvereinbarung ist nur der erste Schritt. Es liegt in der Pflicht des Arbeitgebers, die Mitarbeiter für Themen wie Datensicherheit und Datenschutz am Heimarbeitsplatz zu sensibilisieren und sie in dieser Hinsicht ausreichend zu schulen. Nach einem Vorfall mit dem Finger zu zeigen, hilft niemandem.
  6. Es ist wichtig mit welcher Art von Daten gearbeitet wird und ob diese besonders schützenswerte personenbezogene Daten beinhalten.
  7. Es muss sichergestellt sein, dass eine rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten existiert und die Daten ausschließlich zum dafür vorgesehenen Zweck verwendet werden. Dabei sollte zu jeder Zeit transparent mit den Datenverarbeitungsaktivitäten umgegangen werden.
  8. Die DSGVO räumt Einzelpersonen bestimmte Rechte in Bezug auf ihre personenbezogenen Daten ein, darunter das Recht auf Zugang zu den Daten, das Recht auf Löschung der Daten und das Recht, der Verwendung der Daten zu widersprechen.

⚪ Das müssen Arbeitnehmer zum Datenschutz im Homeoffice beachten

  • Im Fall eines Datenschutzvorfalls oder Datenlecks im Homeoffice sind Arbeitnehmer verpflichtet, diese dem Arbeitgeber zu melden.
  • Personenbezogene Daten sollten verschlüsselt werden, insbesondere wenn diese lokal gespeichert werden.
  • Lokal gespeicherte Daten müssen schnellstmöglich auf die Systeme des Arbeitgebers übertragen werden.
  • Arbeitnehmer müssen darauf achten, dass der Arbeitsraum oder -bereich sicher ist und keine Gefahr besteht, dass Unbefugte Einsicht oder Zugriff auf Informationen erhalten können.
  • Papierdokumente mit personenbezogenen Daten im Haushaltsmüll zu entsorgen, ist untersagt. Diese sind entweder ordnungsgemäß zu schreddern oder im Büro zu vernichten.
  • Arbeitnehmer sind in der Pflicht, gängige Standards zur Datensicherheit einzuhalten.
  • Es sollten keine privaten Geräte oder Accounts geschäftlich verwendet werden oder umgekehrt.

⚪ Das müssen Arbeitgeber zum Datenschutz im Homeoffice beachten

  • Arbeitgeber sollten ihren Mitarbeitern eine Richtlinie zum Umgang mit personenbezogenen Daten im Homeoffice bereitstellen.
  • Der externe Zugang der Mitarbeiter zur Unternehmens-Infrastruktur sollte durch einen VPN-Zugang gesichert werden.
  • Es ist die Pflicht des Arbeitgebers zu entscheiden, wie mit Datenschutzvorfällen umgegangen wird und diese ggf. Datenschutzbehörden zu melden (Meldepflicht Art. 33 DSGVO).
  • Für Mitarbeiter sollten feste Ansprechpartner für Datenschutz und IT-Sicherheit definiert werden, welche kurzfristig erreichbar sind.
  • Im Büro sowie im Homeoffice müssen sollten alle Mitarbeiter wissen, wie sie im Falle einer erfolgreichen Cyberattacke oder einer Datenschutzpanne reagieren müssen.
  • Schulen Sie Mitarbeiter zum Datenschutz im Homeoffice und vereinbaren Sie Richtlinien: Unternehmen bzw. Datenschutzbeauftragte sind nach Art. 39 DSGVO und § 7 BDSG verpflichtet, ihre Mitarbeiter zu schulen und zu den Themen Datenschutz und IT-Sicherheit zu sensibilisieren.
  • Auch wenn sich Mitarbeiter in ihren eigenen vier Wänden aufhalten, ist der Arbeitgeber weiterhin dafür verantwortlich, dass dort der Datenschutz durch entsprechende Maßnahmen sichergestellt wird.
  • Wenn ein Mitarbeiter eine Datenschutzpanne selbst verschuldet, ist er dafür haftbar.
  • Zusatzvereinbarung können Arbeitgeber ihre Mitarbeiter über ihre Rechte und Pflichten im Homeoffice aufklären, um Datenschutz und bzw. oder Betriebsgeheimnisse vor unbefugtem Zugriff zu schützen.
  • Mit Schulungen über Datensicherheit- & Datenschutz können Arbeitgeber ihre Mitarbeiter auf besondere Herausforderungen und Verhaltensweisen im Homeoffice aufmerksam machen.
  • Es sollte mithilfe eines Rollen- und Berechtigungsmanagements genau darauf geachtet werden, dass Mitarbeiter nur so viele Autorisierungen/Berechtigungen erhalten, wie sie für ihre Arbeit benötigen.
  • Eine Eindeutige Identifizierung der Benutzer und eine entsprechende Zugriffskontrolle muss gewährleistet sein.
  • Software-Installationen sollten nur durch entsprechende Autorisierung der IT-Abteilung erfolgen können.
  • Es sollte darauf geachtet werden, dass Mitarbeiter private und geschäftliche Daten strikt trennen und Zweitere nicht lokal oder auf privaten Geräten speichern.
  • Arbeitgeber müssen dafür sorgen, dass alle Systeme durch feste Aktualisierungsintervalle immer Up-to-Date gehalten werden.

⚪ Treffen Sie eine Homeoffice-Vereinbarung

Es ist sinnvoll eine schriftliche Homeoffice-Regelung für das Arbeiten von zu Hause zwischen Arbeitgeber und Arbeitnehmer zu treffen. Das schafft für beide Seiten sowohl Sicherheit als auch Klarheit über die Rechte und Pflichten in Bezug auf den Datenschutz und die Datensicherheit.

Wichtig: Arbeitgeber müssen darauf achten, dass die getroffenen Vereinbarungen für die Mitarbeiter realistisch und umsetzbar sind. Schriftliche Homeoffice-Regelungen sind nicht dazu da, die Verantwortung auf die Mitarbeiter abzuwälzen, um sie sich dann selbst zu überlassen. Am Ende ist in den meisten Fällen ohnehin der Arbeitgeber verantwortlich, egal was schriftlich vereinbart wurde.

⚪ Homeoffice-Regelungen, die für die Arbeit im Eigenheim zwischen Arbeitgeber und Arbeitnehmer vereinbart werden können

  • Es dürfen nur vom Arbeitgeber bereitgestellte Geräte für die Arbeit im Homeoffice genutzt werden (keine privaten Laptops oder Handys)
  • Die private Nutzung von Dienstgeräten sowie des Anschlusses von privater Hardware wird untersagt
  • Arbeitsgeräte und -Dokumente dürfen nie unbeaufsichtigt bzw. frei einsehbar zu Hause stehen oder liegengelassen werden
  • Es werden klare Regeln zur Passwortsicherheit vereinbart
  • Es werden feste (Kern-)Arbeitszeiten vereinbart, zu denen Arbeitnehmer im Notfall erreichbar sind
  • Es wird festgelegt, wie die sichere Datenverarbeitung im Homeoffice zu gestalten ist im Hinblick auf die Verarbeitung personenbezogener Daten oder Betriebsgeheimnissen
  • Es werden Vorgaben für die regelmäßige Datensicherung, Backups und Updates getroffen
  • Minimalprinzip: Zugriffsrechte sollten beschränkt werden, soweit es möglich ist (Nicht jeder Mitarbeiter benötigt Admin-Berechtigungen)
  • Es wird ein Remote-Zugang eingerichtet, der im Notfall den Fernzugriff auf Arbeitsgeräte ermöglicht
  • Eine Internetverbindung darf nur über ein sicheres Netzwerk hergestellt werden, wie über ein VPN
  • Zur Verfügung gestellte Geräte müssen verschlüsselt bzw. mit einem Passwort geschützt werden
  • Bei Online-Konferenzen oder geschäftlichen Telefonaten muss sichergestellt werden, dass keine Unbefugten dem Gespräch folgen können

Zudem sollte eine Datenschutz-Vereinbarung für die Heimarbeit folgende Fragen behandeln:

  • Welche Daten werden verarbeitet?
  • Auf welche Informationen muss der jeweilige Mitarbeiter zugreifen können?
  • Welche Voraussetzungen muss der Heimarbeitsplatz notwendigerweise erfüllen?
  • Welche technischen Anforderungen sind gegeben und wie werden sie umgesetzt?
  • Auf welche Besonderheiten die Mitarbeiter hingewiesen werden?
  • Welche Arbeitsmittel werden Mitarbeitern standardmäßig zur Verfügung gestellt und welche zusätzlichen Anschaffungen sind erlaubt?
  • Welche Vereinbarung gibt es für die Arbeitszeit, Pausen sowie Erreichbarkeit und was/wie muss es dokumentiert werden?
  • Welche Arbeitsmittel dürfen ggf. auch privat mit genutzt werden?
  • In der Vereinbarung sollte eine entsprechende Datenschutzklausel zum Umgang mit personenbezogenen Daten enthalten sein 

Ein Muster einer Homeoffice-Regelung finden Sie hier.

Datenschutz Homeoffice

Geeignete Maßnahmen, um den Datenschutz im Homeoffice zu gewährleisten

Um den Datenschutz im Homeoffice zu gewährleisten, gibt es sowohl technische als auch organisatorische Maßnahmen, die Arbeitgeber und Arbeitnehmer treffen können. Natürlich bieten auch diese keine absolute Sicherheit. Bei Datenschutzverstößen wird allerdings immer geprüft, ob Arbeitnehmer oder Arbeitgeber gegen ihre Sorgfaltspflichten verstoßen haben und der Vorfall somit vermeidbar gewesen wäre. Wer unverantwortlich handelt und gegen seine Pflichten hinsichtlich des Datenschutzes verstößt, ist potenziell in der Haftung! Genau um dem entgegenzuhalten, existieren verschiedene technische und organisatorische Maßnahmen (TOM), um Datenschutzrisiken weitestgehend zu minimieren.

⚪ Was sind technische und organisatorische Maßnahmen zur Risikominimierung (TOM)?

Technische Maßnahmen zur Risikominimierung werden in Art. 32 DSGVO definiert. Sie beinhalten allgemeine Maßnahmen zur Gewährleistung der IT-Sicherheit, wie Passwortschutz, Verschlüsselung von Daten oder die aktive Zugriffskontrolle.

 Allgemeine technische Maßnahmen zur Risikominimierung umfassen:

  • Daten-Zugriffskontrolle
  • Physische Zutrittskontrolle
  • Sichere Authentifizierung
  • Virenschutz
  • Datenverschlüsselung
  • Regelmäßige Datensicherung
  • Unterbrechungsfreie Stromversorgung (USV)
  • Logging

Organisatorische Maßnahmen zur Risikominimierung werden in Art. 24 DSGVO definiert. Sie beinhalten Maßnahmen, wie schriftliche Zusatzvereinbarungen, Protokollführung und die sichere Gestaltung des Arbeitsplatzes im Homeoffice.

Allgemeine organisatorische Maßnahmen zur Risikominimierung umfassen:

  • Mitarbeitersensibilisierung
  • Festlegen von Verhaltensrichtlinien und Verantwortlichkeiten
  • Datenklassifizierung
  • Besucherzutrittsregelungen
  • Vier-Augen-Prinzip
  • Datensicherheitskonzept

Datenschutz im Homeoffice
// Technische und organisatorischer Maßnahmen (TOM) zur Risikominimierung

1. Arbeitsplatz: Arbeitsumgebung im Homeoffice
  • Genehmigung der Arbeit im Homeoffice durch den Arbeitgeber
  • Erstellung einer klaren Richtlinie bzw. Zusatzvereinbarung für die Heimarbeit
  • Verschlüsselung der WLAN-Verbindung
  • Schutz des WLAN-Zugangs mit einem starken Passwort
  • Einrichtung eines geschäftlichen Gast-Zugangs für das WLAN
  • Schutz des Zugriffs bzw. der Einsicht in Papierdokumente durch Unbefugte (auch beim Transport ins Büro)
  • Strikte Trennung privater und dienstlicher Daten
  • Verhinderung der Einsicht des Computer-Bildschirms durch Dritte (auch durch Fenster), z.B. durch Sichtschutzfolien
  • Clean-Desk-Policy: Aufräumen des Arbeitsplatzes am Ende des Arbeitstages
  • Abschließen von Papierdokumenten in Dokumentenmappen oder Schränken

2. Hardware: Arbeitsgeräte, Datenträger und Netzwerkzugang im Homeoffice

  • Starker Passwortschutz für den Arbeitsrechner
  • Verschlüsselung externer Speichermedien (USB-Stick, Festplatte, SSD)
  • Ausschließliche Nutzung dienstlicher Geräte, wie Laptops oder Smartphones (keine Privatgeräte, auch keine privaten Speichermedien)
  • Umsetzung gängiger IT-Sicherheitsmaßnahmen (Firewall, Virenschutz, Passwort, Zwei- bzw. Multi-Faktor-Authentifizierung (2FA/MFA))
  • Strikte Trennung geschäftlicher und privater Accounts
  • Einrichtung regelmäßiger Daten-Backups
  • Keine Speicherung geschäftlicher Daten in einer privaten Cloud bzw. in einem privaten NAS
  • Verwendung eines geschäftlichen VPN (Virtual Private Network)
  • Sperrung des Computers beim Verlassen des Arbeitsplatzes, falls weitere Personen im Haushalt sind
  • Verhinderung der Einsicht ausgedruckter Dokumente durch Unbefugte
  • Entsorgung dienstlicher Papierdokumente im Schredder oder im Büro, nicht im Haushaltsmüll
  • BYOD (Verwenden von Privatgeräten) nur in Ausnahmefällen, falls nicht vermeidbar und unter Verwendung von Remoteverbindungen auf Terminalservern

 3. Telefonie im Homeoffice

  • Schließung der Fenster oder wechseln des Raumes bei Telefonaten mit sensiblen Informationen
  • Sicherstellung, dass keine geschäftlichen Kontakte oder andere personenbezogene Daten im privaten Telefon verbleiben (geschäftliche Nutzung privater Geräte sollte ohnehin vermieden werden)
  • Unterdrückung der Rufnummer, falls eine private Nummer für geschäftliche Telefonate verwendet werden muss

4. E-Mails im Homeoffice

  • Ausschließliche Nutzung von geschäftlichen E-Mail-Adressen für die Kommunikation
  • Überführung von E-Mails auf eine geschäftliche E-Mail-Adresse, falls der Einsatz einer privaten E-Mail-Adresse im Ausnahmefall nicht vermieden werden kann
  • Achtung auf eine ausreichende Verschlüsselung der E-Mails
  • Ausschließliche Nutzung DSGVO-konformer E-Mail-Anbieter
5. Telefon-/Videokonferenzsysteme im Homeoffice
  • Ausschließliche Nutzung von Diensten, die durch eine Ende-zu-Ende-Verschlüsselung gesichert sind und deren Anbieter vertrauenswürdig sind
  • Sicherstellung, dass die Bestands-, Verbindungs- und Nutzungsdaten der Teilnehmer im Nachhinein nicht für andere Zwecke genutzt werden
  • Sicherstellung, dass Art- und Umfang der vom Dienst verarbeiteten Daten und deren Verwendung ersichtlich sind (Datenschutzerklärung, etc.)
  • Ausschließliche Nutzung von geschäftlichen Accounts für verwendete Telefonie- oder Videokonferenz-Dienste
  • Sicherstellung, dass bei jeglicher Datenverarbeitung ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO abgeschlossen wurde
  • Sicherstellung, dass bei Anbietern aus Drittländern geeignete Garantien vorhanden sind (insb. Standarddatenschutzklauseln zusätzlicher Schutzmaßnahmen im Sinne des Schrems II Urteils, falls erforderlich)
  • Verschlüsselung jeglichen Datentransfers nach Stand der Technik
  • Verwendung einer Ende-zu-Ende-Verschlüsselung beim Besprechen von sensiblen oder mit hohem Risiko behafteten Informationen
  • Zugangsschutz für Konferenzräume mithilfe von Passwörtern oder individuellen Einladungslinks
  • Vermeidung des Aufzeichnens von (Video-)Gesprächen (insbesondere, wenn es nur der Auswertung z.B. zur Qualitätsverbesserung dient)
  • Nach Möglichkeit keine Erhebung von Telemetriedaten durch den Anbieter
  • Deaktivierung von biometrischen Funktionen, wie Aufmerksamkeits- oder Standorterkennung
  • Aktive Regelung, wann und durch wen Screen Sharing verwendet werden kann
  • Regelung des Zwecks zum Speichern von Chatverläufen und der Speicherdauer
  • Sicherstellung, dass verwendete Software keine unzulässigen Tracking-Informationen an deren Anbieter sendet
  • Beteiligung bzw. Einbindung des Personal-/Betriebsrats
  • Beteiligung bzw. Einbindung des Sicherheits-/Datenschutzbeauftragten
  • Hintergrund eines Videogesprächsteilnehmers sollte softwareseitig nach bedarf unscharf gestellt werden können
  • Bereitstellung eines virtuellen Warteraumes, in dem Teilnehmer bis zu Beginn der Konferenz ohne Audio-/Videoübertragung warten und ggf. Einstellungen vornehmen können
  • Nutzung einer Moderator-Funktion zur Steuerung von Videokonferenzen mit mehreren Teilnehmern

6. Messenger-Dienste im Homeoffice

  • Sicherstellung, dass für die Kommunikation immer eine Ende-zu-Ende-Verschlüsselung verwendet wird (auch für Anhänge)
  • Verkehrsdaten (wer wann mit wem kommuniziert) dürfen vom Anbieter nicht für Zwecke wie Werbung oder Profiling verwendet oder weitergegeben werden
  • Mobile-Device-Management-Lösung: Zentrale Verwaltung von Notebooks, Smartphones, Tablets, etc. durch Administratoren (verhindert unerlaubte Kontakt-Uploads an Messenger-Anbieter)

7. Cloud-Dienste im Homeoffice

  • Sicherstellung, dass ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO vorhanden ist
  • Transportverschlüsselung für die Datenübertragung
  • Sicherstellung, dass die Daten bei Cloud-Anbietern ausreichend verschlüsselt sind
  • Daten müssen nach nutzerseitigem Löschen oder nach Beendigung des Vertrags zuverlässig aus dem Speicher etwaiger Cloud-Anbieter gelöscht werden
  • Geeignete Prüffähigkeit der technischen und organisatorischen Maßnahmen des Cloud-Anbieters
  • Sicherstellung vorhandener Garantien bei Anbietern aus Drittländern (insb. Standarddatenschutzklauseln zusätzlicher Schutzmaßnahmen im Sinne des Schrems II Urteils, falls erforderlich)
  • Mitarbeiter können und sollen starke Passwörter sowie MFA/2FA verwenden
  • Anbieten sicherer Lösungen zur Authentifizierung, insbesondere für Administrator-Konten
  • Sensibilisierung der Mitarbeiter für IT-Sicherheit und Datenschutz

8. Papierdokumente im Homeoffice

  • Vermeidung von Ausdrucken im Homeoffice
  • Sichere Aufbewahrung von Papierdokumenten (abschließbare Mappen/Schränke)
  • Sichere Aufbewahrung von Papierdokumenten beim Transport nach Hause oder ins Büro
  • Papierdokumente werden fachgerecht geschreddert oder im Büro entsorgt (nicht im Haushaltsmüll)

9. Allgemeine technische Sicherheitsmaßnahmen

  • Zugriff auf das Firmen-Netzwerk erfolgt ausschließlich verschlüsselt über eine VPN-Verbindung
  • Nutzung öffentliche WLAN-Hotspots erfolgt nur über eine sichere VPN-Anbindung
  • Nutzung geeigneter Verfahren zur Multi-Faktor-Authentifizierung werden genutzt
  • Zugänge zu WLAN/Netzwerk werden verschlüsselt und mit einem sicheren Passwort geschützt
  • Verschlüsselung der Netzwerk-Zugänge und des heimische WLANs
  • Daten werden möglichst nicht lokal gespeichert, sondern direkt in der Cloud des Unternehmens
  • Falls Daten lokal gespeichert werden müssen, werden diese verschlüsselt, durch Backups gesichert und zeitnah in das Netzwerk des Unternehmens überführt
  • Regelmäßige automatische Sicherheitsupdates der Arbeitsgeräte und Software der Mitarbeiter, vor allem für Antivirensoftware und Firewalls
  • Feste Regelungen zum Umgang mit privaten Geräten und Accounts
  • Computer, Smartphones, usw. werden ausreichend verschlüsselt und mit starken Passwörtern geschützt
  • Feste Regelungen und Protokolle im Falle des Verlusts mobiler Endgeräte
  • Feste Ansprechpartner für technische Fragen und Probleme im Homeoffice
  • Keine Verwendung privater E-Mail-Postfächer oder Messenger-Konten für die geschäftliche Kommunikation (Falls unvermeidbar, auf Geschäftskonten überführen und von Privatkonten löschen)
  • Schutz von dienstlichen Computern und Smartphones mit einem starken Passwort bzw. einer PIN
  • Aufbewahrung von Passwörtern und Login-Informationen an einem sicheren Ort, am besten verschlüsselt (Nutzung einer Passwortmanagement-Software ist zu empfehlen)
  • Regelmäßige Änderung der Passwörter in festen Intervallen sowie bei akutem Verdacht des Integritätsverlusts
  • Grundsätzliche Verwendung von MFA/2FA für Logins (Authenticator-App oder Sicherheits-USB-Stick wird empfohlen)
  • Einrichtung eines vom privaten Heimnetzwerk getrennten Netzwerks für den geschäftlichen Internetzugang (Gast-Netzwerk)
  • Verwendung aktueller Antivirensoftware und Firewall (auf Windows-Geräten bietet der Windows Defender bereits einen starken Schutz)
  • Grundsätzliche Verschlüsselung des Datentransfers mit HTTPS/SSL durch die Verwendung eines VPNs und eines passenden File Service

10. Allgemeine organisatorische Sicherheitsmaßnahmen

  • Aktueller Überblick, welche Mitarbeiter sich aktiv im Homeoffice befinden
  • Überblick aller Arbeitsgeräte der Mitarbeiter im Homeoffice
  • Schulungen für Mitarbeiter über die Homeoffice-Regelungen
  • Schulungen für Mitarbeiter zur Sensibilisierung für IT-Sicherheit sowie über die Sicherheitsprotokolle im Ernstfall
  • Schriftliche Vereinbarung zur Homeoffice-Regelung zwischen Arbeitgeber und Arbeitnehmer
  • Strikte Trennung privater und dienstlicher Geräte
  • Strikte Trennung privater und dienstlicher Software sowie der Accounts für Software-Dienste
  • Verschlüsselung von (externen) Datenträgern und eine für Unbefugte unzugängliche Aufbewahrung
  • Verhinderung des Zugangs für Unbefugte zu Dokument-Ausdrucken im Eigenheim
  • Verhinderung des Zugangs zu bzw. Einsicht in personenbezogenen Daten und Betriebsinformationen für Unbefugte
  • Abschließen der Türen und Fenster beim Verlassen des Arbeitszimmers
  • Sichere und für Unbefugte unzugängliche Aufbewahrung von Geräten und Dokumenten (Geräte ggf. bei Abwesenheit sperren)
  • Papierdokumente werden stets in Schränken oder Dokumentenmappen abgesperrt
  • Papierdokumente werden geschreddert oder im Büro vernichtet und nicht im Haushaltsmüll entsorgt
  • Papierdokumente werden beim Transport vom oder ins Büro für Unbefugte unzugänglich aufbewahrt
  • Telefonate und Videokonferenzen mit sensiblem Gesprächsinhalt werden so geführt, dass Unbefugte nicht mithören können
  • Administration sowie Software-Installationen inkl. regelmäßiger Software-Updates der Arbeitsgeräte erfolgt zentral und unter einer einheitlichen Policy durch den Arbeitgeber
  • Berechtigungsmanagement für Zugänge und Accounts erfolgt nach dem Minimalprinzip
  • Beim Verlust mobiler Endgeräte existieren klar geregelte Vorgehensweisen zum Sperren oder Löschen der Informationen auf dem Gerät

 

Checkliste für den Datenschutz im Homeoffice

 

  • Bestehende Homeoffice-Vereinbarung zwischen Arbeitgeber und Arbeitnehmer
  • Starker Passwortschutz
  • Sicheres Passwortmanagement
  • Sicheres Netzwerk/WLAN
  • Sicherer Infrastruktur-Zugang (VPN-Verbindung)
  • Berechtigungsmanagement vorhanden (Zutritts- und Zugriffsrechte)
  • Remote-Zugang vorhanden
  • Arbeitszeitenregelung und Verfügbarkeit/Reaktionszeiten sind geklärt
  • Ansprechpartner sind bekannt (Vertretungsregelung vorhanden)
  • Mitarbeitersensibilisierung und -schulung zu Datenschutz und Datensicherheit
  • Richtlinie zum Umgang mit vertraulichen Informationen bzw. personenbezogenen Daten
  • Keine Überschneidung privater und geschäftlicher Arbeitsmittel und Datenträger
  • Keine Überschneidung privater und geschäftlicher E-Mail-Konten und Diensten
  • Keine Installation und Nutzung privater Software
  • Protokollierung der Herausgabe von betrieblichen Datenträgern
  • Regelmäßige Datensicherung
  • Regelmäßige Synchronisierung von Datenbeständen
  • Regelmäßige Aktualisierung von Software und Systemen
  • Schutz von Betriebsmitteln vor Zugriff durch Unbefugten
  • Schutz der Informationseinsicht von Unbefugten
  • Verschlüsselte Datenübertragung
  • Verschlüsselte Geschäftskommunikation
  • Sicherer Transport von Dokumenten und Datenträgern
  • Klarheit der Meldepflichten
  • Sicherheitskonzept vorhanden
  • Kein permanentes Sichern von Geschäftsinformationen auf Privatgeräten oder -konten
  • Aktive Kontrolle der Sicherheitsvorgaben
  • Konzept zum datenschutzkonformen Vernichten und Löschen von personenbezogenen Daten vorhanden

 

Fazit & Tipps

Zum Schluss möchten wir Unternehmen noch zwei Tipps geben, die in Punkto Datensicherheit immer wieder übersehen werden.

  1. Tipp: Die größte Sicherheitsbedrohung für Unternehmen ist Ransomware in Verbindung mit Social Engineering. Entsprechend wichtig ist es, dass immer Backups vorhanden sind, die vom Hauptsystem abgekoppelt werden sowie dass ein Wiederherstellungskonzept existiert, mit dem alle Daten im Ernstfall in kürzester Zeit wiederherstellt werden können. 

  2. Tipp: Unternehmen stecken teils viel Zeit in die Risiko-Prävention, wissen aber bei einem Sicherheits- bzw. Datenschutz-Vorfall nicht, wie sie damit umgehen sollen. Sorgen Sie dafür, dass für derartige Situationen ein eindeutiges Protokoll existiert, das keine Fragen offenlässt und schulen Sie Ihre Mitarbeiter, dass diese im Ernstfall bereits genau wissen, was zu tun ist.

Jetzt dürfte dem Datenschutz im Homeoffice nichts mehr im Wege stehen und Sie wissen, wie Sie die Arbeit von zu Hause sicher und danteschutzkonform gestalten können. Sie haben noch keine datenschutzkonforme Lösung Ihre Dokumente und Dateien datenschutzkonform aus dem Homeoffice mit ihren Kollegen zu teilen? Lesen Sie hier weiter und erfahren Sie, wie Sie mit dem DRACOON Enterprise File Service einfach und vor allem datenschutzkonform aus dem Homeoffice arbeiten können.

 

Technische & organisatorische Maßnahmen (TOM): Datenschutz nach DSGVO

1 Min. Lesezeit

Technische & organisatorische Maßnahmen (TOM): Datenschutz nach DSGVO

Technische und organisatorische Maßnahmen (TOM) sind gemäß Art. 32 DSGVO verpflichtend, um personenbezogene Daten sicher zu verarbeiten und...

Read More
Homeoffice & Datenschutz stressfrei umsetzen mit DRACOON

1 Min. Lesezeit

Homeoffice & Datenschutz stressfrei umsetzen mit DRACOON

Die Hürden beim Datenschutz im Homeoffice Homeoffice und Datenschutz: Durch den pandemiebedingten Heimarbeits-Trend wird vielen Unternehmen...

Read More
Fazit: 1 Jahr Datenaustausch und DSGVO

Fazit: 1 Jahr Datenaus­tausch und DSGVO

Im vergangenen Jahr im Mai ist die Übergangsfrist für die lange erwartete EU-Datenschutz-Grundverordnung (DSGVO) abgelaufen. Damit ist ein Regelwerk...

Read More