Datenschutz im Homeoffice: Eine Checkliste des BayLDA liefert praxisnahe Anhaltspunkte

Das Homeoffice gehört in immer mehr Unternehmen zum Arbeitsalltag. Selbst angesichts sinkender Inzidenzwerte gibt es in vielen Betrieben Tendenzen, auch bei abklingender Pandemie das Konzept Homeoffice beizubehalten.

Arbeitgeber und Home-Arbeiter, die nach Monaten der provisorischen Homeoffice-Regelung nun damit rechnen, auch künftig regelmäßig von zu Hause zu arbeiten, sollten gemeinsam den Heimarbeitsplatz unter Datenschutzgesichtspunkten aufpeppen. Eine Checkliste des Bayerischen Landesamtes für Datenschutz (Link zur PDF-Datei) gibt sinnvolle Hilfestellung.

Covid-19 hat das Homeoffice zur branchenübergreifenden Arbeitslösung gemacht. War es vor der Pandemie eher in Kreativberufen Usus, sind durch hygieneschutzbedingte Verordnungen des Arbeitsministeriums inzwischen beinahe alle Branchen damit konfrontiert, ihren Mitarbeiten das Homeoffice zu ermöglichen. Für viele Beschäftigte überwiegen die Vorteile des Arbeitens von zu Hause: Der tägliche Weg ins Büro entfällt, und auch die Arbeitszeit lässt sich deutlich flexibler einteilen, als es bei der Office-Präsenz der Fall ist.

Allerdings setzt Homeoffice als Dauerlösung voraus, dass auch in den eigenen vier Wänden ein Mindestmaß an Datenschutzvorkehrungen eingehalten wird. Nicht jeder „Heimarbeiter“ verfügt über ein lupenreines, abschließbares Büro in der Wohnstätte. Daher nutzen viele in den eigenen vier Wänden Arbeitstische, die anderen Familienangehörigen oder Besuchern frei zugänglich sind. Schon allein dies ist aus Datenschutzsicht beinahe ein Super-GAU. Das bayrische Landesamt für Datenschutz hat eine Checkliste herausgegeben, die wertvolle Anhaltspunkte dafür bietet, auch das Homeoffice im Sinne des Arbeitgebers effektiv zu schützen. Auszüge aus den acht Kapiteln der Checkliste:

Arbeitsumgebung

Mit ein paar simplen Routinen lässt sich eine physische Sicherheit mit akzeptablem Aufwand herstellen. Dazu gehört eine Platzierung des Arbeitsplatzes, die vor neugierigen Blicken geschützt ist. Die „Clean-Desk-Policy“ besagt, dass nach der Arbeitszeit der Schreibtisch „geräumt ist“: Firmen-PC, Unterlagen und Dokumente sind idealerweise in einem verschließbaren Behältnis untergebracht. Während der Arbeitszeit sollte sichergestellt werden, dass Telefonate oder Konferenzen nicht mitgehört werden können – auch nicht von Familienangehörigen, Gästen oder vertrauten Nachbarn.

Hardware

Hier empfiehlt es sich generell, für den Job ausschließlich Hardware zu nutzen, die vom Arbeitgeber stammt oder nur für den Job angeschafft wird. Von einer Mischnutzung elektronischer Geräte ist abzusehen.

Papierdokumente

Werden Dokumente von der Firma in die Privatwohnung transportiert, sollten diese bereits beim Transport gut geschützt sein. Zu Hause empfiehlt sich die Aufbewahrung in einem verschließbaren Möbel, und die Entsorgung sollte keinesfalls über den Hausmüll erfolgen.

Videokonferenzen

Die sichere Videokonferenz in den eigenen vier Wänden ist das mit Abstand größte Sicherheitsrisiko fürs Unternehmen. Daher sollte dafür der Datenschutzbeauftragte Konzepte erstellen, die sich mit Verschlüsselung, den Themen Speicherung und Löschung sowie den Bestimmungen einer Auftragsverarbeitung nach Artikel 28 DSGVO befassen. Für den Mitarbeiter ist dieses Thema eigenverantwortlich kaum durchführbar.

Cloud-Nutzung

Auch hierfür sollte der Arbeitgeber verantwortlich zeichnen. Werden Cloud-Dienste zur Verfügung gestellt, bedarf dies zahlreicher technischer Rahmenbedingungen, die firmenseitig geschaffen werden müssen. Der Arbeitgeber sollte seinerseits sicherstellen, dass er grundsätzlich ausschließlich die virtuelle Umgebung seines Unternehmens nutzt und nicht etwa Daten in „firmenfremden Clouds“ zwischenlagert.

Messenger-Dienste

Ebenfalls ein Thema für Unternehmensvorgaben: Prinzipiell ist davon abzuraten, für die Firmenkommunikation Social-Media-Plattformen oder Messenger-Dienste zu nutzen. Nach wie vor sind E-Mails im Firmennetzwerk die sicherste Basis für eine geschützte Kommunikation zwischen Mitarbeitern.

Organisatorische To-dos

Für das Unternehmen sollte ein klares Regelwerk erstellt werden, zu dessen Einhaltung die Mitarbeiter verpflichtet werden. Darüber hinaus empfiehlt sich eine obligatorische Schulung aller Mitarbeiter, bei der alle wesentlichen Sicherheitsaspekte fürs „Homeoffice“ behandelt werden. Diese Schulung sollte in regelmäßigen Abständen als Pflichtveranstaltung durchgeführt werden.

Fazit

Seit Beginn der Pandemie haben Cyberangriffe auf Unternehmen stark zugenommen. Am verwundbarsten sind Firmennetzwerke zweifelsohne in schlecht abgesicherten Arbeitsplätzen zu Hause. Daher sollten Unternehmen sich mit dem Thema Sicherheit im Homeoffice intensiv beschäftigen und die Mitarbeiter sowohl schulen wie auch in die Pflicht nehmen.