06.04.2020

Home Office in Zeiten von Corona – Datenschutzrechtliche Vorgaben

Autorinnen: Dr. Stefanie Hellmich, LL.M. und Eva Maria Amoah

Hintergrund

Aufgrund der aktuellen Ausbreitung der Corona-Pandemie müssen viele Beschäftigte spontan ins Home Office wechseln. Diese Verlegung der Arbeit außerhalb der Betriebsstätte birgt datenschutzrechtliche Risiken, welche Unternehmen mit entsprechenden Sicherheitsvorkehrungen minimieren können. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie verschiedene Aufsichtsbehörden haben bereits entsprechende Vorkehrungen für das sichere Arbeiten von zuhause aus empfohlen. Diese und weitere Tipps sollen im Folgenden als eine erste Handreichung für Unternehmen dienen.

Sicherheitsmaßnahmen im Home Office

Bei der Arbeit im Home Office sollten grundsätzlich die gleichen Sicherheitsanforderungen wie am Arbeitsplatz im Büro erfüllt werden. Soweit vom heimischen Schreibtisch aus personenbezogene Daten verarbeitet werden, gelten daher die datenschutzrechtlichen Vorgaben der Datenschutzgrundverordnung (DSGVO) wie auch am Arbeitsplatz im Büro. Dies gilt insbesondere für die Pflicht, angemessene technische und organisatorische Maßnahmen (Art. 32 DSGVO) zu treffen, um so Datenschutzverstöße zu verhindern. Diese Pflicht trifft zunächst das Unternehmen, das die technischen Voraussetzungen - etwa in Form der Einrichtung eines Virtual Private Network (VPN) - zu schaffen hat und Mitarbeitern entsprechende Verhaltensregelungen an die Hand geben muss. Neben klaren Regelungen diesbezüglich ist es wichtig, dass diese auch an alle betroffenen Mitarbeiter kommuniziert werden.

IT-Sicherheit
  • Es sollte sichergestellt werden, dass für die Arbeit im Home Office ausschließlich die vom Arbeitgeber bereitgestellte Hard- sowie Software genutzt wird, soweit nicht spezielle Bring-Your-Own-Device Regelungen gelten. Dies gilt nicht nur für den genutzten PC/ Laptop, sondern auch für die Speicherung von Arbeitsergebnissen auf Festplatten, USB-Speichern oder anderen Datenspeichern.
  • Daten sollten grundsätzlich in den Verzeichnissen/Ordnern von Servern bzw. zentralen IT-Systemen des Unternehmens gespeichert werden, um weiterhin Archivierungs- und Dokumentationsanforderungen (z. B. aus der DSGVO, den GoBD oder dem GeschGehG) nachzukommen. Soweit Ausnahmen hiervon zugelassen werden, etwa wenn eine Internet-Anbindung an die zentralen IT-Systeme und damit eine Speicherung auf den IT-Systemen nicht möglich ist, ist jedenfalls sicherzustellen, dass die Daten auf den verwendeten Datenträgern verschlüsselt (inkl. Ablageverschlüsselung) gespeichert werden
  • Mobile Geräte (Laptops, Smartphones sowie Tablets) sollten auf aktuellem Stand sein (auf Updates achten!); dies gilt insbesondere auch für Virenschutzsoftware und Firewalls. Diesbezüglich sollten die Mitarbeiter aufgefordert werden, ihre Geräte regelmäßig an das Firmennetzwerk anzuschließen und Aktualisierungshinweise der IT-Abteilung zu berücksichtigen.
  • Der PC sollte so eingerichtet werden, dass dieser durch ein Kabel oder ein verschlüsseltes WLAN mit dem Internet verbunden ist.
  • Sonstige drahtlose Schnittstellen (wie z.B. Bluetooth) sollten deaktiviert werden.
  • Sollten (Video-) Konferenzsysteme oder -plattformen genutzt werden, ist sicherzustellen, dass es sich um einen von der IT-Abteilung freigegebenen Dienst handelt. Zahlreiche auf dem Markt befindliche Konferenzsysteme erheben in unzulässiger Weise Nutzerdaten, wie z.B. Standortdaten, und/ oder zeichnen die Kommunikation ohne entsprechende Einwilligung der Teilnehmer auf.
Clean Desk Policy

Neben der IT-Sicherheit sollte ferner gewährleistet sein, dass auch auf dem privaten Schreibtisch der Schutz von geschäftlichen Daten höchste Priorität hat.  Auch hier sollte das Sicherheitsniveau aus dem Büro aufrecht erhalten werden. Der Arbeitsplatz sollte daher insbesondere so organisiert werden, dass sich private und betriebliche Daten nicht vermischen.

  • Es sollte sichergestellt werden, dass der Bildschirm nicht durch andere eingesehen werden kann. Darüber hinaus sollten automatische Bildschirmsperren mit Passwortschutz sowie Sichtschutzfolien verwendet werden.
  • Es sollten keine Papierdokumente, USB-Sticks, Datenträger, etc. bei Verlassen des Schreibtischs offen liegen gelassen, sondern in verschließbaren Behältnissen aufbewahrt werden.
  • Beim Verlassen des Arbeitsplatzes sollte darauf geachtet werden, dass Türen geschlossen sind, sodass eine unbefugte Kenntnisnahme, ein Verlust oder eine Veränderung von Daten verhindert wird.
Drucken & Entsorgen
  • Ausdrucke betrieblicher Dokumente sollten grundsätzlich nicht im Home Office erfolgen. Sollte dies für die Erledigung von betriebsbedingten Aufgaben zwingend erforderlich sein, sollte darauf geachtet werden, dass die Dokumente unverzüglich aus dem Drucker entnommen werden, damit andere Personen im Haushalt keine Kenntnis dieser Daten nehmen können. Sofern über VPN im Firmennetz gearbeitet wird, ist sicherzustellen, dass keine Druckaufträge auf Drucker in den Firmengebäuden abgeschickt werden. Im Fall eines zwingenden Ausdrucks sollte dafür Sorge  getragen werden, dass die ausgedruckten Informationen auch vor Ort geeignet vernichtet werden können (Aktenvernichter/ Datentonnen).
  • Betriebliche Papierdokumente sollten nicht mit dem privaten Papiermüll entsorgt werden. Sofern er nicht vorschriftsmäßig vernichtet werden kann, sollte Papiermüll gesammelt und verschlossen gelagert werden. Sobald dies möglich ist, sollte der Papiermüll sodann im Büro nach den geltenden Regeln entsorgt werden.
Kommunikation
  • Es sollten eindeutige Kommunikationswege und Kontaktstellen für Mitarbeiter sichergestellt werden. So können diese sicher sein, dass die Daten und Informationen in den richtigen Händen landen.
  • Auch ein Datenverlust im Home Offfice kann eine meldepflichtige Datenschutzverletzung beinhalten. Mitarbeiter sollten daher mit ihren Pflichten zur Benachrichtigung der zuständigen Stellen im Unternehmen für den Fall einer Datenschutzverletzung vertraut sein, damit das Unternehmen seinen gesetzlichen Meldepflichten nachkommen kann. Anderenfalls drohen erhebliche Geldbußen durch die Datenschutz-Aufsichtsbehörden.
  • Da der betriebliche Einsatz von Messenger-Diensten besonderen datenschutzrechtlichen Vorgaben unterliegt, denen „gängige” Messenger-Dienste aus dem privaten Bereich nicht oder nur bedingt entsprechen, sollten Messenger-Dienste zur Kommunikation grundsätzlich vermieden werden. Wird ein solcher Dienst dennoch eingesetzt, sollte zumindest darauf geachtet werden, dass keine vertraulichen Unternehmensinformationen ausgetauscht werden. Auch sollten einige Sicherheitsstandards, wie eine Ende-zu-Ende-Verschlüsselung, gewährleistet sein.
  • Von der Nutzung privater Mobiltelefone oder privater E-Mail Accounts für die betriebliche Kommunikation oder sonstige betriebliche Zwecke sollte abgesehen werden.
  • Sofern im Home Office zu betrieblichen Zwecken telefoniert werden muss, sollten andere Personen im Haushalt keine Kenntnis von den Inhalten der Telefonate nehmen können.
Achtung: Besondere Gefahren durch Phishing-Mails

Das BSI rechnet vermehrt mit kriminellen Versuchen durch speziell präparierte E-Mails (sog. Phishing Mails) oder Telefonanrufe, um so an vertrauliche Informationen und Daten von Unternehmen zu gelangen. Kriminelle Angreifer würden sich dabei auf das Thema Corona Virus sowie die damit im Zusammenhang stehenden notwendigen Maßnahmen beziehen. Hierbei suggerieren sie aufgrund der Notsituation einen hohen Handlungsdruck, weshalb hier ein umsichtiges Handeln zwingend geboten ist. Vor diesem Hintergrund ist sicherzustellen, dass einfache Maßnahmen zur Abwehr solcher Angriffe befolgt werden.

  • Es sollten insbesondere Namen und E-Mail-Adressen geprüft werden und E-Mail Anhänge von unbekannten Absendern nicht geöffnet werden. Des Weiteren sollten keine Informationen über Kunden, Mitarbeiter oder wirtschaftliche Zusammenhänge des Unternehmens an Unbekannte herausgegeben werden. Im Zweifel sollte die IT-Abteilung des Unternehmens um Rat gefragt werden, da dieser in der Regel effektivere Mittel zur Feststellung der Echtheit und des Risikos zur Verfügung stehen.
Achtung Sonderfälle: Besondere Kategorien personenbezogener Daten/Auftragsverarbeitungsvereinbarungen/Drittstaatentransfer/Besondere Bereiche
  • Zugang zu besonderen Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) sollte nur mit PIN und hardwarebasiertem Vertrauensanker (Zwei-Faktor-Authentifizierung) erfolgen.
  • Unternehmen, die Leistungen als Auftragsverarbeiter für andere ausführen, sollten sicherstellen, dass die Auftragsverarbeitungsvereinbarungen keine Restriktionen in Bezug auf die Arbeit im Home Office beinhalten.
  • Für Home Office Aktivitäten in Ländern außerhalb des Europäischen Wirtschaftsraums (EWR), die sich auf Daten von Unternehmen innerhalb des EWR beziehen, sind ggf. die weitergehenden Vorgaben der Art. 44 ff. DSGVO zu erfüllen.
  • Die BaFin hat sich bereits öffentlich zu Corona-bedingtem Home Office im Zusammenhang mit sog. Handelsgeschäften (Wertpapierhandel) sowie zur Video-Identifizierung auf Grundlage des Rundschreibens 03/2017 (GW) vom 10.04.2017 geäußert.
Weiterführende Informationen

In unserem FAQ geben wir Antworten zu den gängigsten datenschutzrechtlichen Fragen im Unternehmen im Umgang mit dem Coronavirus (z. B. zu Fragerechten und Meldepflichten). Weiterführende Informationen sowie Ansprechpartner zu den rechtlichen Auswirkungen des Coronavirus, der Eindämmungsmaßnahmen sowie der wirtschaftlichen Hilfsmaßnahmen der Regierung finden Sie auf unserer Übersichtsseite.

Autor/in