Angesichts der derzeitigen Lage: durch die Ausbreitung von Corona bekommt die Arbeit im
Home-Office eine immer größere Relevanz: Viele Arbeitnehmer arbeiten aus den eigenen vier Wänden: doch wie kann der Datenschutz trotzdem eingehalten werden?

Pflichten des Arbeitnehmers

Grundsatz: im Home-Office gelten keine anderen datenschutzrechtlichen Regeln als im Büro. So muss der Beschäftigte im Home-Office auf folgende Dinge achten:

  • Verarbeitung personenbezogener Daten: Wenn aus den eigenen vier Wänden personenbezogene Daten verarbeitet werden, muss der Beschäftigte sicherstellen, dass die Daten nicht von Dritten eingesehen werden können. Lassen Sie Ihre Unterlagen beispielsweise nicht an Orten liegen, an denen mehrere Menschen diese einsehen können und führen Sie Telefonate in einem separaten Raum.
  • Sicherung personenbezogener Daten: Wenn Sie personenbezogene Daten im Home-Office verarbeiten, sollte dies bestenfalls in einem separaten Raum erfolgen. Wenn dies nicht möglich ist, sollten Sie zumindest die sichere Verwahrung garantieren können: schließen Sie die Unterlagen weg.
  • Bereitgestellte IT-Ausstattung: Falls Ihr Arbeitgeber Ihnen z.B. einen Laptop mit ins Home-Office gegeben hat, darf dieser nicht privat genutzt werden. Um dies sicherzustellen, muss der Computer gesperrt werden. Dies gilt auch, wenn nur kurzzeitig nicht an diesem gearbeitet wird.
  • Umgang mit E-Mails: Arbeiten Sie ausschließlich über ihr berufliches E-Mail-Konto. Leiten Sie keine E-Mails zur Bearbeitung in private Postfächer der Beteiligten weiter. Ein weiteres No-Go: berufliche E-Mails dürfen nicht zu privaten Zwecken auf einem USB-Stick gespeichert werden.
  • Datenvernichtung: Die Datenvernichtung muss datenschutzgerecht erfolgen. Ein einfacher Riss durch Ausdrucke, die personenbezogene Daten enthalten, ist dabei nicht ausreichend. Dokumente mit sensiblen Inhalten müssen mindestens in kleine Stücke zerrissen werden, damit Sie unleserlich werden.

Pflichten des Arbeitgebers

Nicht nur der Arbeitnehmer hat Dinge zu beachten, um die Zeit im Home-Office datenschutzkonform zu gestalten. Denn Arbeitnehmer und Arbeitgeber müssen an einem Strang ziehen. Die Pflichten des Arbeitgebers umfassen dabei:

  • Bereitstellung von IT-Ausstattung: Damit datenschutzgerechte Arbeit aus dem Home-Office möglich ist, muss eine gewisse IT-Ausstattung bereitgestellt werden. Hierbei gibt es jedoch zu beachten, dass die Festplatte von Notebooks oder herausgegebene USB-Sticks verschlüsselt werden müssen.
  • Kennwörter: Der Zugriff auf das Betriebssystem oder andere bereitgestellte Systeme muss durch ein Passwort geschützt werden.
  • Elektronische Datenübermittlung: E-Mails oder sonstige Nachrichtendienste sollten verschlüsselt werden. Darüber hinaus sollte ein VPN (mit vorheriger Durchführung von Belastungstests) für den Zugriff auf die Systeme des Arbeitgebers eingestellt werden.
  • Konzept zum Umgang und der Vernichtung sensibler Daten: Falls Beschäftigte mit personenbezogenen Daten arbeiten, sollte im Vorhinein ein Konzept erstellt werden, wie mit Unterlagen und Ausdrucken umzugehen ist.

Allgemeine Empfehlungen

Für Arbeitgeber und Arbeitnehmer gilt: Kommunikation bei der Arbeit aus dem Home-Office ist das A und O. Denn nur so können Aufgaben sinnvoll verteilt werden, Fristen normiert werden und die Zusammenarbeit sichergestellt werden. Um dies gewährleisten zu können, gibt es einige Tools, die die Arbeit erleichtern können. Bei Bleib im Haus! finden Sie die Tools auf einen Blick.

Videokonferenzen – Wie im Büro?

Wichtig erschienen uns hierbei vor allem Videokonferenzen-Tools. Denn mithilfe solcher Tools können Mitarbeiter hinzugeschaltet werden, Updates über den bisherigen Arbeitsstand gegeben werden und Projekte vorgestellt werden. Doch worauf kommt es bei einem solchen Tool an? Und wie kann es DSGVO-konform eingesetzt werden?

Wir zeigen Ihnen, worauf Sie bei der Auswahl und der Benutzung eines solchen Tools achten sollten.

Der erste Schritt

Das Unternehmen steht vor der Frage: soll eine On-Prem-Variante (also eine Software, die auf eigenen Servern gehostet wird) oder eine Software-as-a-Service Lösung genutzt werden?

Die Antwort auf diese Frage lässt sich beim jeweiligen Unternehmen finden: es ist unter anderem abhängig vom technischen Know-how, den IT-Kapazitäten oder der Präferenz. Für alle gilt jedoch: sollten Sie sich für einen Software-as-a-Service Dienstleister entscheiden, der als Auftragsverarbeiter eingesetzt werden soll, müssen Sie im Vorhinein prüfen, ob alle geeigneten technischen und organisatorischen Maßnahmen für die Verarbeitung geboten werden. Denn nur so kann eine datenschutzkonforme Verarbeitung erfolgen. (Rechtsgrundlage: Art. 28 I DSGVO)

Tipp: Anbieter aus Deutschland oder dem europäischen Wirtschaftsraum müssen sich an die Vorschriften der DSGVO halten. Bei der Verwendung eines Anbieters aus solchen Gebieten ist also ein ausreichendes Schutzniveau garantiert.

Videokonferenz-Tools und ihre technischen Möglichkeiten

Sie sollten sich zunächst fragen, welche Verarbeitungen geplant sind. Wie sensibel sind die Daten, die über das Videokonferenz-Tool geteilt werden sollen? Darüber sollten Sie sich im Vorhinein klar sein und auch für Ausnahmen gewappnet sein. Denn der Verantwortliche muss letztendlich für die Auswahl des Tools und den damit bereitgestellten Schutz haften.
Auch die Grundsätze wie Privacy by Design und Privacy by Default nehmen den Verantwortlichen nicht aus der Pflicht.

Technische Maßnahmen

Um die Datensicherheit jedoch garantieren zu können, sollten technische Maßnahmen und Einstellungen ergriffen werden. Die hier genannten Maßnahmen sind jedoch nicht abschließender Natur: es kommt auch hier auf den Einzelfall an: somit entsprechen die Voreinstellungen eines Videokonferenz-Tools nur selten dem Grundsatz Privacy by Default.

Haben Sie Fragen diesbezüglich? Kontaktieren Sie uns gerne!

  • Datenverschlüsselung
    Die Art der Verschlüsselung hängt von der Art der Daten ab, die verarbeitet werden sollen: je sensibler die Daten, desto höher der Schutz
  • Business-Version
    Sie sollten sich an Tools orientieren, die für den gewerblichen Gebrauch gedacht sind. Tools, die für den privaten Einsatz gedacht sind, sollten gemieden werden (so auch WhatsApp Videocalls oder Anrufe per FaceTime).
  • Beschränkung von Logfiles
    Logfiles sollten nur genutzt werden, wenn diese unbedingt erforderlich sind. Falls Daten auf diese Weise erhoben wurden, dürfen diese auch nur zum jeweiligen Zweck der Erhebung verwendet werden und müssen nach Wegfall des Zwecks vernichtet werden.
  • Löschung von Chatverläufen und Dateiaustausch
    Geschriebene Nachrichten sollten nicht unbegrenzt zur Verfügung stehen und nach gewisser Zeit automatisch gelöscht werden. Haben Sie beispielsweise einen Chat parallel zu Ihrer Videokonferenz geführt, sollte dieser nach Beendung der Konferenz gelöscht werden. Falls Sie Dateien verschickt haben, müssen diese nicht sofort gelöscht werden. Hier ist eine Frist von wenigen Stunden oder einem Tag akzeptabel. Hier sollte jedoch als organisatorische Maßnahme festgelegt werden, welche Art von Dokumenten überhaupt versendet werden dürfen (Verfassung von Black- oder Whitelist).
  • Den Hintergrund ausgrauen
    Viele Tools sind in der Lage, den Hintergrund vollständig auszugrauen. So können Daten oder Informationen, die von Ihrem Hintergrund entnommen werden könnten, technisch geschützt werden.
  • Zugangsbeschränkungen
    Klingt banal: wird jedoch oft nicht eingehalten. Sie sollten durch einen Login sicherstellen, dass sich kein ungebetener Gast in Ihre Konferenz „verirrt“. Nutzen Sie einen Zugangscode oder ermöglichen Sie die Teilnahme erst, wenn der Organisator diese manuell freigeschaltet hat.

Organisatorische Maßnahmen

Über die technischen Maßnahmen hinaus: auch organisatorische Maßnahmen müssen für die datenschutzkonforme Nutzung von Videokonferenz-Tools eingehalten werden.
Hier sollte das Augenmerk jedoch auf die Sensibilisierung und die Belehrung der Mitarbeiter gelegt werden: welche Daten dürfen über ein solches Tool geteilt werden – welche nicht? Auch hier kann eine Black- oder Whitelist herangezogen werden.

  • Desktop-Sharing
    Damit nicht mehr Informationen preisgegeben werden als geplant, sollten die Mitarbeiter auch bezüglich des Desktop-Sharings sensibilisiert werden. Benachrichtigungen über eingegangene Mails oder sonstige vertrauliche Nachrichten sollten keinesfalls eingeblendet werden. Manche Tools bieten die Einstellung ein, dieses generell oder auch nur für einzelne Konferenzen zu unterbinden.
  • Digitale Führungen
    Falls Sie eine Werksführung durchführen müssen oder Aufnahmen in Ihrem Unternehmen tätigen müssen, sollten Sie darauf achten, dass nur notwendige Informationen geteilt werden. Tipp: Planen Sie die Routen im Vorhinein und informieren Sie Ihre Mitarbeiter über die geplanten Aufnahmen.

Selbstdisziplin – so bin ich produktiv

Die Arbeit aus dem Home-Office kann leicht dazu führen, dass neben der eigentlichen beruflichen Tätigkeit andere kleinere Arbeiten aus dem Haushalt eingeschoben werden. Ob die Spülmaschine ausgeräumt werden muss oder die Wäsche mal wieder gemacht werden sollte… irgendetwas lässt sich immer finden. Um einem Verlust an Effizienz entgegenzuwirken, stellen wir Ihnen hier Tipps und Tricks bereit:

  1. Arbeitsplatz
    Logisch: Die Couch sollte nicht Ihren zukünftigen Arbeitsplatz darstellen. Doch welcher Ort eignet sich? Sie sollten sich einen hellen Ort suchen, der ruhig und aufgeräumt ist. Umherliegende Sachen könnten Ihre Produktivität minimieren und für Ablenkung sorgen. Auch sollten Sie den Raum (ab)schließen können. So haben Sie ihre Ruhe und können ungestört arbeiten.
  2. Ordnung
    Sie können Ihren Arbeitsplatz im Home-Office eigenständig gestalten. Wie schon gesagt: Ordnung ist hier das A und O, um effizient arbeiten zu können. Die Ordnung kann auch dazu beitragen, dass das Aufräumen nach getaner Arbeit schneller geht. So können Sie auch im Home-Office in den Feierabend starten und am nächsten Tag mit neuem Elan starten.
  3. Verhalten am Arbeitsplatz
    Haben Sie Ihren Arbeitsplatz nach Ihren Wünschen gestaltet, müssen Sie nun auch mit der Arbeit starten: um produktiv zu sein, sollten alle Ablenkungen aus dem Weg geschafft werden. Auch kann die Erstellung eines Zeitplans hilfreich sein. So können Sie Ihre Arbeit übersichtlich einteilen. Ein weiterer (persönlicher) Tipp: Ihr Schlafanzug mag gemütlich sein, doch meist steigert es die Produktivität, wenn Sie richtige Klamotten anziehen. Dies vermittelt das Gefühl, bei der Arbeit angekommen zu sein.

Fazit

Die Arbeit aus dem Home-Office datenschutzrechtlich konform zu gestalten, ist mit wenigen Verhaltensmustern schnell getan. Dieser Artikel liefert Ihnen einen Überblick über die wichtigsten Punkte. Fragen Sie für individuelle Handlungsempfehlungen und Richtlinien bei Ihrem Arbeitgeber nach oder kontaktieren Sie unsere Datenschutzbeauftragten. Wir stehen Ihnen bei Fragen zum DSGVO-konformen Home-Office gerne zur Verfügung.

Externer Datenschutzbeauftragter - Jörg Ter Beek

Rufen Sie uns gerne an!

Haben Sie Fragen zum Datenschutz oder möchten mehr über die DSGVO-konforme Arbeit im Home-Office erfahren?

Rufen Sie uns gerne an!

+49 251 297 947 40

Jörg ter Beek; (TÜV) zertifizierter Datenschutzbeauftragter und ISMS-Auditor.