Auch während Corona im Home-Office den Datenschutz beachten

Wegen Corona ins Home Office – und der Datenschutz?

Gerade jetzt, wo immer mehr Schulen und Kindergärten aufgrund des Corona-Virus geschlossen sind, wächst der Bedarf nach Heimarbeitsplätzen. Doch bei aller Flexibilität und allen Herausforderungen an die Teamarbeit – auch bei der Arbeit von zu Haus muss der Datenschutz gewährleistet sein.

Ich gehe bei meinen Ausführungen davon aus, dass Ihr Unternehmen auch vom Home Office handlungsfähig bleibt. Sollte dies nicht der Falls ein, benötigen Sie Notfallpläne. Dies soll aber nicht Teil meiner Betrachtungen sein.

Als Verantwortlicher müssen Sie für den Schutz personenbezogenen Daten sorgen – auch, wenn Ihre Mitarbeiter von zu Hause arbeiten. Die DSGVO baut auf einige Grundsätze, dazu gehören unter anderem Integrität und Vertraulichkeit (Verhindern von Zugriff durch Unbefugte) sowie die Verfügbarkeit. Das bedeutet, die personenbezogenen Daten müssen auch vor Verlust geschützt werden.

Im Normalfall haben Sie Ihre Mitarbeiter bereits auf Verschwiegenheit und die Einhaltung des Datenschutzes verpflichtet. Anders als im Unternehmen, können Sie jedoch die Rahmenbedingungen (Technisch-Organisatorischen Maßnahmen, TOMs) im Privatumfeld Ihrer Mitarbeiter jedoch nur begrenzt beeinflussen. Sie sollten sie daher zusätzlich auf die Einhaltung der datenschutzrechtlichen Grundsätze auch im Home Office verpflichten.

Vorüberlegungen

Zunächst einmal stellt sich die Frage, ob bei der Arbeit am PC personenbezogenen Daten verarbeitet werden. Wenn nicht, können die Daten für das Unternehmen immer noch schützenswert sein, z.B. nach dem Geschäftsgeheimnisgesetz. Da ich jedoch Datenschutzbeauftragte bin (und nicht Juristin), betrachte ich diesen Punkt nicht.

Als nächstes stellen Sie sich die Fragen:

  • um welche Art von personenbezogenen Daten es geht? (Bei Art. 9-Daten ist ein erhöhter Schutzbedarf zu berücksichtigen)
  • ob Ihre Mitarbeiter ein Firmengerät (z.B. Laptop) nutzen oder ihr privates Gerät?
  • wie Mitarbeiter auf die Unternehmensdaten zugreifen sollen (Remote-Zugriff via VPN-Tunnel oder Mitnahme der Daten auf Datenträgern)?
  • wie Ihre Mitarbeiter untereinander, mit Kunden oder Dienstleistern kommunizieren? (E-Mail, neue Dienstleister?)

Idealerweise führen Sie eine Risikobetrachtung durch. Das ist speziell bei der Verarbeitung besonderer Kategorien personebezognener Daten nötig. Dabei identifizieren Sie den Schutzbedarf der personenbezogenen Daten, die Maßnahmen zum Schutz und das Restrisiko für die Betroffenen. (Denken Sie daran, dass auch Mitarbeiter “Betroffene” sind.) Daraus leiten Sie Maßnahmen ab und verpflichten Ihre Mitarbeiter auf deren Einhaltung.

In manchen Fällen muss es schnell gehen. Daher habe ich ein paar…

generelle Gedanken zum Datenschutz im Home-Office

Bei dieser Liste handelt es sich um Gedankenanstöße. Sie ist nicht vollständig. Passen Sie sie einfach für die individuellen Rahmenbedingungen Ihres Unternehmens/Vereins an.

1.) Datenübertragung/ Transport

  • Der Transport von Unterlagen sollte in verschlossenen Behältern (z.B. Aktentasche) erfolgen. Diese dürfen nicht unbeaufsichtigt, z.B. im PKW, verbleiben.
  • Laptops/ Festplatten sollten passwortgeschützt sein. (Empfehlungen für sichere Passwörter vom BSI)
  • Bedenken Sie, dass USB-Sticks leicht verloren gehen können.
  • Wenn personenbezogenen Daten per Mail übertragen werden, verschlüsseln Sie ggf. die Mail oder den Anhang.

2.) Verarbeiten der Daten

  • Verhindern Sie den Zugriff oder Einsichtnahme von personenbezogenen Daten durch Dritte.
    Das bedeutet auch, dass Partner oder Kinder bei der Arbeit nicht über die Schulter schauen dürfen!
    Besonders, wenn Sie im Erdgeschoss arbeiten, denken Sie daran, dass niemand aus dem Fenster hineinsehen kann.
    Tipp: Es gibt spezielle Blickschutzfolien, die einfaches Mitlesen von der Seite erschweren/ verhindern.
  • E-Mail-Kommunikation sollte grundsätzlich nicht über den privaten Account erfolgen.
    Meist besteht die Möglichkeit, über Web-Zugänge Firmen-E-Mails zu versenden. Bei privaten Accounts kann nicht ausgeschlossen werden, dass diese gehackt werden oder Familienmitglieder darauf zugreifen können.
  • Wenn Ihre Mitarbeiter mit einem privaten Gerät arbeiten, verpflichten Sie sie, ihr Betriebssystem up to date zu halten (aktuelle Software-Updates), sowie aktualisierte Viren-/Schadsoftware-Scanner zu nutzen.
  • Der Zugang zum WLAN muss unbedingt verschlüsselt erfolgen. (Dieser Hinweis gilt nicht nur für die Heimarbeit.)
  • Personenbezogenen Daten sollten nicht auf privaten Geräten gespeichert werden. Wenn dies jedoch nötig ist, dann sollten die Daten unbedingt getrennt von privaten Daten passwortgeschützt gespeichert werden. Auch Papierakten dürfen Sie nicht mit privaten Unterlagen mischen.

3.) Aufbewahrung von Dokumenten

Unterlagen müssen auch zu Hause verschlossen werden. Ideal sind abschließbare Schränke. Aber auch ein verschließbarer Aktenkoffer ist eine Verbesserung zum “Herumliegen-Lassen”.

4.) Datenvernichtung

Personenbezogenen Daten müssen fachgerecht entsorgt werden. Haushaltsübliche Shredder aus dem Supermarkt reichen hierfür in der Regel nicht aus, da deren Sicherheitsklasse meist zu niedrig ist. Sollten Ihre Mitarbeiter im Home Office keine Möglichkeit zur fachgerechten Entsorgung haben, sollten Sie zu entsorgende Unterlagen zunächst zu Hause verschlossen aufbewahren und anschließend zur Entsorgung sicher zurück ins Unternehmen transportieren (vgl. Punkt 1)

5.) Kommunikation mit Kollegen und Kunden

In der aktuellen Krise fragen Verantwortliche gern nach der privaten Telefonnummer. Selbstverständlich brauchen sie auch in der Ausnahmesituation die Einwilligung der Mitarbeiter. Es spricht nichts dagegen, die Daten zu erheben. Wichtig ist die Zweckbindung. Erheben Sie die Daten zum Schutz der Mitarbeiter (im Fall einer Warnung)? Oder möchten Sie die Telefonnummer an die Kollegen zu Kontaktaufnahme verteilen? Verwenden Sie die Daten dann auch nur für diesen Zweck! Natürlich müssen Unternehmen diese Daten nach der Krise wieder löschen.

Kollegen, die “mal eben schnell” eine kurze Antwort brauchen, greifen gern zu Whatsapp. Das hat fast jeder und es ist einfach. Hier sollten Mitarbeiter zunächst die firmeninternen Regelungen beachten. Verantwortliche müssen abwägen, ob es Alternativen zu Whatsapp gibt. Je nach dem, wie wichtig die Sicherheit der Daten ist (und hier darf man auch über den Punkt “personenbezogenen Daten” hinaus an Geschäftsgeheimnisse denken), bleibt unter Umständen nur die Nutzung von Geschäftsmails.

Für Meetings greift man gern zu Skype. Eine kostenfreie Open-Source Alternative, die auch von Digitalcourage empfohlen wird, ist Jitsi Meet.

Bei allen “Collaboration-Tools”, lesen Sie (bei allem Aufwand) genau die AGB und Datenschutzbedingungen. Wollen Sie wirklich, dass Ihre Daten auf Servern in den USA gespeichert werden? (Drittlandübermittung). Achten Sie darauf, dass virtuelle Mitingräume passwortgeschützt sind und “abschließbar” sind, um sich vor “Zoom-Trollen” zu schützen.

Beim Anruf von Kunden über Ihr privates Telefon sollten Sie im Hinterkopf behalten, dass Kunden diese Nummer sichern und für künftige Anfragen nutzen könnten.

Wenn Sie im Auftrag eines Kunden personenbezogenen Daten in Heimarbeit verarbeiten wollen, müssen Sie vorher geprüft haben, dass die Auftragsverarbeitungsvereinbarung dies nicht ausschließt.

6.) Umgang mit Datenpannen

Auch im Home-Office müssen Datenschutzverletzungen gemeldet werden. Stellen Sie entsprechende Kommunikationswege sicher.

Das “Corona Home Office” Datenschutz Fazit

Sammeln Sie diejenigen Punkte, die für Ihr Unternehmen wichtig sind und verpflichten Sie Ihre Mitarbeiter im Home Office zur Einhaltung. Diese Verpflichtung bewahren Sie im Rahmen Ihrer Rechenschaftspflicht auf.

Überlegen Sie, ob Sie die Heimarbeit in Ihr Verzeichnis für Verarbeitungstätigkeiten (VVT) aufnehmen sollten. (Wenn es sich um eine corona-bedingte, kurzfristige, vorübergehende Situation handelt, ist dies vielleicht nicht unbedingt nötig.) Wenn Sie jedoch neue Dienstleister nutzen (z.B. Plattformen zur Datenübertragung/ Kommunikation/ Zeiterfassung), ist ein Eintrag ins VVT sinnvoll. Eventuell müssen Sie AV-Vereinbarungen schließen. Generelle Notfall-Prozesse, bei denen z.B. vorübergehend private Telefonnummern erfasst und gespeichert werden, gehören auf jeden Fall ins VVT.

Vielleicht ist der neue Corona-Virus eine Chance für Ihr Unternehmen, das Home-Office datenschutz-konform zu etablieren.

Übrigens: Weitere Fragen zum Thema “Datenschutz während der Corona-Krise” beantwortet der LfDI BW in seinen FAQ Corona.

Und auch die Datenschutzkonferenz der Länder (DSK) hat auf der Seiten des Bundesdatenschutzbeauftragten Datenschutzrechtliche Informationen zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit der Corona-Pandemie veröffentlicht.

Außerdem hat das Bundesamt für Sicherheit in der Informationstechnik (bsi) Tipps für sicheres mobiles Arbeiten.

 

Bildquellen

  • corona-home-office: Pixabay StartupStockPhotos