Datenschutz im Homeoffice: Die wichtigsten Regeln
Was in vielen Unternehmen ohnehin schon zum beruflichen Alltag gehörte, hat durch Corona einen Schub bekommen: Das Homeoffice. Viele, die bisher keine Homeoffice-Möglichkeit oder -Regelung hatten, mussten von heute auf morgen umdenken und handeln. Doch egal, an welchem Ort man arbeitet, eines darf nicht auf der Strecke bleiben: Die DSGVO und damit der Datenschutz. Wir haben die wichtigsten Datenschutz-Regeln fürs Homeoffice zusammengefasst.
Datenschutz im Homeoffice: Technische Ausstattung
Die größte Rolle beim Homeoffice spielt die Technik. Dabei kommt es sowohl auf die Sicherheit der verwendeten Geräte an als auch auf deren Nutzung und den Datenaustausch. Darauf sollten Sie in technischer Hinsicht achten:
- Halten Sie Antivirensoftware und Firewall immer aktuell
- Speichern Sie betriebliche Daten ausschließlich verschlüsselt (Ende-zu-Ende-Verschlüsselung)
- Sorgen Sie dafür, dass personenbezogene Daten nur auf den Servern des Unternehmens gespeichert werden und nicht auf den Geräten im Homeoffice
- Im Optimalfall sollte der Zugang zu sensiblen personenbezogenen Daten nur mit PIN und Zwei-Faktor-Authentifizierung möglich sein
- Binden Sie – wenn möglich – keine Drucker an die Geräte an
- Achten Sie auf eine sicherere VPN-Verbindung zwischen den Homeoffice-Geräten und dem Firmen-Netzwerk (Passwörter für den VPN-Zugang dürfen nicht abgespeichert werden können)
- Wenn nicht dringend benötigt, sollten Technologien wie Bluetooth im Homeoffice ausgeschaltet bleiben
- Setzen Sie für den Datenaustausch auf sichere Cloudspeicher
- Verzichten Sie möglichst ganz auf USB-Sticks oder andere externe Speichermedien, sperren Sie im Idealfall die USB-Zugänge und ähnliche Anschlüsse. Sollte deren Einsatz notwendig sein, geben Sie betriebliche Speichermedien heraus und dokumentieren Sie diese
- Schutz vor Hackerangriffen aus dem Netz bietet ein virtueller Browser (Browser in the Box, kurz: BitBox)
Die Tipps und Empfehlungen in diesem Artikel erheben keinen Anspruch auf Vollständigkeit und ersetzen keine ausführliche Beratung durch einen Datenschutz-Anwalt.
Regeln für die Arbeit im Homeoffice
Die sicherste Technik bringt nichts, wenn sie nicht datenschutzkonform genutzt wird. Daher ist es wichtig, dass Sie bzw. Ihre Mitarbeiter:innen den Datenschutz im Homeoffice immer im Hinterkopf behalten. Diese Punkte sind dabei wichtig:
- Passwortsicherheit: Nutzen Sie einen Passwortmanager, verwenden Sie lieber lange sichere Passwörter anstatt Passwörter immer wieder zu ändern. Die wichtigsten Passwort-Regeln gibt’s hier.
- Beschränken Sie Zugangsrechte auf das Nötigste und dokumentieren Sie, wer welche Rechte hat
- Auch für das Homeoffice gilt: Wird der Platz verlassen, sollte der PC immer gesperrt werden
- Achten Sie bei Telefonaten darauf, dass niemand mithören kann
- Vermeiden Sie den Einsatz von Smart-Home-Geräten wie beispielsweise digitalen Assistenten (Alexa, Siri) in dem Raum, in dem Sie arbeiten
Hinweise zu „Use/Bring your own device“
Dass Mitarbeiter:innen private Geräte im Homeoffice nutzen, ist in vielen Unternehmen verbreitet. Es ist jedoch schwierig, den Überblick über den Datenschutz zu behalten, wenn jede:r Mitarbeiter:in eigene Geräte nutzt und sich eventuell private und dienstliche Daten vermischen. Sollte dies betrieblich notwendig sein, müssen auch hier Vereinbarungen zum Datenschutz getroffen werden. Diese sollte folgende Punkte beinhalten:
- Regelung darüber, welche Geräte für das Homeoffice zugelassen sind
- Trennungspflichten von beruflichen und privaten Daten
- Vorgaben für Aufbewahrung der Geräte und Zugang zu den Geräten
- Nutzungsregeln für den:die Arbeitnehmer:in
- Regelungen zum Zugriff des Arbeitgebers auf das Endgerät des Arbeitnehmers mit entsprechenden Administrations- und Fernzugriffsrechten
Wie der Mensch zum Risiko für den Datenschutz werden kann, können Sie in unserem Artikel nachlesen: Social Engineering: Wie der Mensch zum Risiko wird und wie sich Unternehmen schützen können.
Achtung: Verträge überprüfen
Wenn Sie im Auftrag von Dritten (also zum Beispiel für Kunden und Kundinnen) Daten verarbeiten, müssen Sie den Vertrag zur Auftragsverarbeitung gemäß DSGVO überprüfen. Denn in manchen Verträgen ist das Homeoffice für Mitarbeiter:innen, die an einem bestimmten Auftrag arbeiten, ausgeschlossen oder nur unter bestimmten Auflagen erlaubt.
Datenschutz in der Homeoffice-Vereinbarung
Das Thema Datenschutz sollte in jedem Fall in die Homeoffice-Vereinbarung, die Sie mit Mitarbeitenden treffen, einbezogen werden. Für die Formulierung einer Homeoffice-Vereinbarung können Ihnen die Liste (PDF) mit Best-Practice-Prüfkriterien für das Homeoffice des Bayerischen Landesamtes für Datenschutzaufsicht sowie nachfolgende Fragestellungen weiterhelfen.
Checkliste: Wichtige Fragen zum Datenschutz im Homeoffice
Die entsprechenden Regeln, die für Ihr Unternehmen zum Thema Datenschutz im Homeoffice gelten, müssen allen Mitarbeitenden bekannt sein, damit sie diese auch einhalten können. Um solche Regeln zu formulieren, können diese Fragestellungen weiterhelfen:
- Werden die Arbeitsmittel vom Unternehmen bereitgestellt oder nutzen die Mitarbeiter:innen eigene Geräte? Wenn ja, wie wird gewährleistet, dass die betrieblichen Sicherheitsvorkehrungen eingehalten werden?
- Dürfen Mitarbeiter:innen bereitgestelltes Equipment auch privat nutzen?
- Dürfen Dokumente ausgedruckt werden und wenn ja, wie werden diese datenschutzkonform entsorgt?
- Wohin wenden sich Mitarbeiter:innen, wenn sie einen Datenverlust oder einen anderen datenschutzrechtlich bedenklichen Vorfall melden wollen? Ist eine umgehende Reaktion gewährleistet?
- Gibt es eine Passwortrichtlinie und ist diese allen Mitarbeitenden bekannt?
- Wurden Nutzungsrechte eingeschränkt und dokumentiert?
- Sind die verwendeten Geräte technisch auf dem aktuellen Stand und sind Schutzeinrichtungen aktiv (zum Beispiel Firewall)
- Verwenden die Mitarbeiter:innen im Homeoffice einen sicheren Internetzugang/WLAN-Verbindung?
- Ist die sichere Verbindung der Homeoffice-Geräte mit dem Firmennetzwerk gewährleistet (VPN-Zugang)?
- Dürfen externe Speichermedien wie USB-Sticks verwendet werden und ist die Vergabe geregelt und dokumentiert?
- Ist die Kommunikation untereinander geregelt? Welche Messenger/Tools/Apps dürfen zum Beispiel für Videokonferenzen oder Team-Calls verwendet werden?
- Wurde eine Homeoffice-Vereinbarung mit den Mitarbeitenden getroffen? Sind die Datenschutzregeln allen Mitarbeitenden bekannt und wurden von diesen unterzeichnet?
- Gibt es regelmäßige Schulungen der Mitarbeiter:innen zum Thema Datenschutz und datenschutzkonformen Umfang mit mobilen Geräten?
DSGVO Verstoß im Homeoffice: Risiko absichern
Bezüglich Datenschutz und DSGVO gelten im Homeoffice die gleichen Regeln wie im Büro. Gibt es einen DSGVO-Verstoß durch Mitarbeiter:innen haftet in der Regel immer das Unternehmen. Auch wenn sich alle so strikt wie möglich an die Vorgaben halten, ein Restrisiko bleibt leider immer. Dieses können Sie jedoch mit einer Berufshaftpflicht über exali.de absichern. Etwaige Abmahnungen oder Schadenersatzansprüche wegen eines Verstoßes gegen die DSGVO prüft der Versicherer erst einmal auf eigene Kosten und bezahlt berechtigte Forderungen.
Wenn eine Datenschutzbehörde wegen einer Datenrechtsverletzung Straf- oder Bußgelder gegen Sie verhängt, ist dieses ebenfalls durch Ihre Berufshaftpflicht versichert (solange dies nach geltendem Recht möglich ist).
Absicherung interne:r Datenschutzbeauftragte:r
Interne Datenschutzbeauftragte können persönlich für Pflichtverletzungen haftbar gemacht werden. Diese können Sie mit dem Zusatzbaustein „D&O-Außenhaftungsversicherung“, den Sie optional zu Ihrer Berufshaftpflicht hinzuwählen können, absichern.
Ihre Versicherung können Sie in wenigen Minuten online abschließen. Bei Fragen helfen unsere Versicherungsexperten und -expertinnen aus der Kundenbetreuung Ihnen gerne weiter.
Hier können Sie Ihre individuelle Berufshaftpflicht abschließen:
