Datenschutz im Home Office: Was muss man beachten ?

Für viele Mitarbeiter hieß es von heute auf morgen, der Gesundheit zu liebe, von zu Hause aus zu arbeiten. Aufgrund von COVID-Beschränkungen mussten Unternehmen kreativ werden und nach alternativen Arbeitslösungen suchen. Das sich die Arbeit im Home Office durchaus als effektiv erweist, hat eine Studie der Universität Stanford belegt. Zu Hause lässt es sich oftmals produktiver arbeiten, da es ruhig ist und Ablenkung und Geräuschkulisse eines Großraumbüros wegfallen. Was ist aber mit dem Datenschutz am Heimarbeitsplatz? Denn auch wenn Mitarbeiter von zu Hause aus arbeiten, müssen datenschutzrechtliche Vorgaben laut Datenschutzgrundverordnung (DSGVO) eingehalten werden. Datensicherheit betrifft diejenigen, die mit personenbezogenen Daten und Sozialdaten arbeiten. Die Vertraulichkeit und Integrität sensibler Daten muss auch im Home Office gewährleistet werden und vor Dritten geschützt werden.

Vorgaben für das Arbeiten aus dem Home Office

Um ein rechtssicheres Arbeiten von zu Hause aus zu ermöglichen, sollten vom Arbeitgeber Richtlinien oder Vereinbarungen formuliert werden. Angemessene Schulungen der Mitarbeiter sind notwendig, da im Zweifelsfall der Arbeitgeber zur Rechenschaft gezogen werden kann. Bei Verstoß gegen die Datenschutzrichtlinien können hohe Geldstrafen drohen. Natürlich variieren die Vorgaben von Unternehmen zu Unternehmen, abhängig von der Sensibilität der personenbezogenen Daten. Für die Umsetzung der erforderlichen Sicherheitsstandards kann der Arbeitgeber sich an folgenden Kriterien orientieren:

  • Sicherer Internetzugang im Home Office
  • Sichere Verbindung zum Firmennetzwerk (VPN)
  • Sichere Verwendung cloudbasierter Tools
  • Installation der richtigen Hardware
  • Gesicherter Ausdruck und Entsorgung von Dokumenten
  • Passwortrichtlinien
  • Kontrolle von IT-Abteilungen (z. B. Softwareupdates)
  • Abraten zur Nutzung externer Speichermedien wie USB-Sticks
  • Bekanntmachung der Home Office Vereinbarung unter den Mitarbeitern

Sollte die IT-Ausstattung vom Arbeitgeber gestellt werden, darf diese nicht private genutzt werden. Arbeitgeber und dessen Datenschutzbeauftragte dürfen sich zudem Zutritt zum Home Office beschaffen. Das Zutrittsrecht ist meist vertraglich geregelt. Grund ist, dass der Arbeitgeber in der Pflicht steht, die Einhaltung der vereinbarten Vorgaben bei seinen Mitarbeitern zu kontrollieren.

Sicheres Arbeiten mit VPNs

Von wesentlicher Bedeutung für den Datenschutz sind sogenannte VPNs (virtual private networks). Seit dem Ausbruch der Corona-Pandemie und damit dem Anstieg der Mitarbeiter im Home Office, ist auch ein sprunghaftes Wachstum bei der VPN-Nutzung zu verzeichnen. Normalerweise wird der Datenverkehr durch das Internet unverschlüsselt übertragen, was viele Risiken mit sich bringt. Ein VPN kann als Software beschrieben werden, welche den gesamten Datenverkehr vom eigenen PC durch einen verschlüsselten Tunnel leitet und so eine sichere und stabile Verbindung zum Firmennetzwerk oder zum Internet gewährleistet.

Wird über ungesicherte oder öffentliche WLANs auf das Internet zugegriffen, können Internet- oder Hotspot-Betreiber auf alle Daten zugreifen und Informationen gezielt herausfiltern und abspeichern. Der Vorteil eines virtuellen privaten Netzwerks ist, dass alle persönlichen Daten zwischen einem PC, Tablet oder Smartphone und einem Server verschlüsselt werden. Das Zwischenschalten eines VPNs macht ein Ausspionieren der Mitarbeiter also unmöglich. Für ein datenschutzkonformes Arbeiten sind VPN-Anbieter wie privateinternetaccess.com essenziell. Die Software basiert auf kryptografisch sicheren Algorithmen und ist somit abhörsicher.

Was ist eine Datenschutzverletzung?

Als Datenschutzverletzung wird definiert, wenn eine „Verletzung des Schutzes personenbezogener Daten“ vorliegt. Laut Art. 33 DSGVO und Art 4 Nr. 12 DSGVO liegt eine Verstoß dann vor, wenn:

  • „eine Verletzung der Sicherheit handelt,
  • die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt,
  • die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“

Alltägliche Beispiele für eine Datenschutzverletzung gibt es viele. Umgangssprachlich wird auch von der sogenannten Datenpanne gesprochen. Verletzungen können wie folgt aussehen:

  • Ein Gerät oder ein mobiler Datenträger wie Handy oder USB-Stick wurden verloren oder gestohlen.
  • Sensible Unterlagen oder Dokumente wurden an einem öffentlichen Platz verloren oder gestohlen.
  • Personenbezogene Daten wurden unverschlüsselt, z. B. ohne Zwischenschaltung eines VPNs oder anderen angemessenen Sicherheitsmaßnahmen, per E-Mail versandt.
  • Personenbezogene Daten wurden an den falschen Empfänger versandt.
  • Briefe wurden verloren oder versehentlich geöffnet.
  • Hackerangriffe oder Phishing.
  • Unterlagen oder Arbeitsmaterialien wurden nicht datenschutzkonform entsorgt oder von Geräten gelöscht.

Was tun bei einer Datenschutzverletzung?

Datenschutzverletzungen können absichtlich oder unabsichtlich stattfinden. Ein Hackerangriff beispielsweise, ist eine geplante, vorsätzliche Verletzung der Datenschutzgrundverordnung. Es kann aber auch passieren, dass irrtümlicherweise ein USB-Stick in der Bahn verloren wurde. Sollte so etwas passieren, muss diese Datenschutzverletzung innerhalb von 72 Stunden den zuständigen Aufsichtsbehörden gemeldet werden. Prinzipiell gilt, den Verstoß lieber früher als später zu melden, um etwaige Schäden zu begrenzen. Sollte dem Unternehmen ein interner oder externer Datenschutzbeauftragter beistehen, ist es sinnvoll ihn mit einzubeziehen, da er als Experte den Umfang des Vorfalls besser einschätzen kann. Zudem hilft er bei allen weiteren Schritten, die notwendig sind.

Sollte ein Verstoß gegen die Datenschutzgrundverordnung nicht gemeldet werden, so drohen Bußgelder in Millionenhöhe. Das Ausmaß kann bis 20 Millionen Euro gehen oder bis zu 4 % des Jahresumsatzes des Unternehmens. Nicht zu vernachlässigen ist zudem der Imageschaden und Rufschädigung, welche dem Unternehmen durch eine Vertuschung drohen.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert