Nach und nach scheint die pandemische Situation aufgrund des COVID-19 Virus in Deutschland kontrollierbarer zu werden und einige Unternehmen beginnen zögerlich, unter bestimmten Restriktionen, den Büroalltag wiederaufzunehmen. In den letzten Wochen waren allerdings viele Unternehmen gezwungen, ihre Mitarbeiter vom „Homeoffice“ aus arbeiten zu lassen. In manchen Branchen und Unternehmen war dies längst Usus und eine willkommene Möglichkeit für die ArbeitnehmerInnen Haushalt, Handwerkertermine, Kinderbetreuung und den Job unter einen Hut zu bekommen. Andere Unternehmen hingegen standen dem Konzept Homeoffice bisher eher skeptisch entgegen und mussten nun gezwungenermaßen für mehrere Wochen Homeoffice genehmigen, um ihre Mitarbeiter weiter beschäftigen zu können. Nach dieser „Testphase“ sind nun viele Unternehmen gewillt, auch langfristig ihren Beschäftigten die Arbeit aus dem Homeoffice zu ermöglichen.

In diesem Beitrag soll daher thematisiert werden, was grundsätzlich die wichtigsten datenschutzrechtlichen Voraussetzungen für eine langfristige Implementierung des Modells „Homeoffice“ bzw. „mobiles Arbeiten“ sind und welche Maßnahmen hierbei regelmäßig erforderlich werden. Denn das Unternehmen bzw. der Arbeitgeber bleibt auch für die Erbringung der Arbeitsleistung seiner Mitarbeiter und damit die Verarbeitung personenbezogener Daten außerhalb der Arbeitsstätte datenschutzrechtlich verantwortlich und hat dafür zu sorgen, dass die Vertraulichkeit, Verfügbarkeit und Integrität der personenbezogenen Daten gewahrt bleiben. Aufgrund der Tatsache, dass der Einsatz privater Endgeräte der Beschäftigten (Bring Your Own Device – BYOD) in diesem Kontext zu erheblichen datenschutzrechtlichen Hürden führt, beschränken sich die folgenden Ausführungen auf den Einsatz dienstlicher.

Geeignetheitsprüfung

Bevor ein Unternehmen seinen Mitarbeitern die Arbeit aus dem „Homeoffice“ bzw. „mobiles Arbeiten“ gestattet, sollte zunächst geprüft werden, ob bzw. welche Aufgaben, Tätigkeiten und Arbeitsschritte sich hierfür eignen. Ein wichtiger Faktor ist dabei stets, ob eine Verarbeitung personenbezogener Daten für die Aufgabe/ Tätigkeit überhaupt erforderlich ist bzw. in welchem Umfang und welche Kategorien personenbezogenen Daten im Rahmen der Erfüllung der Aufgabe/Tätigkeit verarbeitet werden müssen. Dementsprechend eignet sich prinzipiell die Arbeit eines Ingenieurs, Einkäufers oder Sachbearbeiters eher für die Arbeit aus dem „Homeoffice“ als z.B. eines Mitarbeiters aus der Personalabteilung, welcher regelmäßig auch besondere Kategorien personenbezogener Daten (Gesundheitsdaten etc.) verarbeitet. Grundsätzlich ist aber eine solche Verarbeitung im HomeOffice nicht ausgeschlossen.

Eine Besonderheit gilt für die Tätigkeiten, die Unternehmen im Auftrag eines anderen Verantwortlichen im Rahmen einer Auftragsverarbeitung erbringen. Hier ist stets zu prüfen, ob durch die datenschutzrechtlichen Vereinbarungen mit dem Verantwortlichen die Verarbeitung personenbezogener Daten aus dem Homeoffice ausgeschlossen bzw. untersagt ist (wir berichteten).

Ergibt die Prüfung, dass die Tätigkeit für das Modell „Homeoffice“ grundsätzlich qualifiziert ist, sind durch das Unternehmen die technischen und organisatorischen Maßnahmen zu treffen und zu vereinbaren, die geeignet sind auch bei der Erbringung der Tätigkeiten aus dem Homeoffice ein angemessenes Datenschutzniveau im Sinne des Art. 32 DSGVO zu gewährleisten.

Organisatorische Maßnahmen

Der Verantwortliche bzw. Auftragsverarbeiter sollte die zu ergreifenden organisatorischen Maßnahmen in einer entsprechenden Vereinbarung (Richtlinie, Betriebsvereinbarung, Einzelanweisung) festhalten und dementsprechend klar gegenüber dem Mitarbeiter kommunizieren und dokumentieren. Neben den datenschutzrechtlich relevanten Themen sollten in der Vereinbarung dabei auch arbeitsrechtliche Bestimmungen (z.B. zu Arbeitszeit, Weisungsrecht, Kostentragung) mit aufgenommen werden, die hier jedoch nicht weiter thematisiert werden sollen.

Empfehlenswert sind in Abhängigkeit der konkreten Tätigkeit und der damit verbundenen Verarbeitung personenbezogener Daten die folgenden organisatorischen Maßnahmen und Vereinbarungen:

  • Regelung bzw. Definition der Orte von denen aus die Arbeit erbracht werden kann/darf. Regelmäßig sind hier drei Konstellationen denkbar:
    1. Homeoffice: Die Erbringung der Arbeitsleistung ist ausschließlich von der privaten Wohnung/ dem privaten Wohnsitz aus gestattet.
    2. Homeoffice + eingeschränktes mobiles Arbeiten: Zusätzlich zum reinen Homeoffice ist mobiles Arbeiten nur in eingeschränkter Form und an definierten Orten gestattet (keine öffentlichen Orte, nur in geschützten Räumlichkeiten etc.).
    3. Homeoffice + mobiles Arbeiten: Zusätzlich zum reinen Homeoffice ist generell auch mobiles Arbeiten (Bahn, Restaurant, Café, etc.) gestattet.
  • Für den Transport der erforderlichen mobilen Endgeräte (Laptop, Handy, etc.) sowie gegebenenfalls Papierunterlagen zwischen Arbeitsstätte und privater Wohnung/ privatem Wohnsitz empfiehlt es sich geeignete Regelungen zu treffen, die einem Verlust der Verfügbarkeit und Vertraulichkeit vorbeugen. Laptops sollten beispielsweise nur in heruntergefahrenem Zustand und mit aktiver Festplattenverschlüsselung transportiert werden dürfen.
  • Der Aufgabe/Tätigkeit im Homeoffice sollte nach Möglichkeit von einem abgetrennten Raum aus nachgegangen werden. Andernfalls ist durch entsprechende Einrichtung des Arbeitsplatzes sicherzustellen, dass keine Dritten (auch Familienangehörige, Bekannte, etc.) Kenntnis der verarbeiteten personenbezogenen Daten erlangen können.
  • Der Arbeitsplatz ist so zu organisieren, dass private und dienstliche Daten und Unterlagen getrennt voneinander und vor dem Zugriff Dritter geschützt aufbewahrt werden.
  • Das private (WLAN-)Netzwerk ist mit einem sicheren Passwort zu schützen und so einzurichten, dass eine verschlüsselte Verbindung (z.B. WPA2) gegeben ist.
  • Öffentliche (WLAN-) Netzwerke sollten nicht bzw. ausschließlich (auch beim bloßen Surfen im Internet) unter Verwendung des vom Arbeitgeber eingerichteten VPN-Tunnels verwendet werden dürfen.
  • Der Laptop sollte beim Verlassen des Arbeitsplatzes stets manuell durch die Tastenkombination Windows +  L (Windows) oder STRG + CMD + Q (IOS) gesperrt werden. Wird der Laptop für einen längeren Zeitraum nicht genutzt sollte dieser heruntergefahren werden (z.B. in Pausenzeiten).
  • Die Nutzung privater Hard- und Software für Homeoffice und mobiles Arbeiten sollte untersagt werden. Für Bildschirme und Eingabegeräte wie Maus und Tastatur können Ausnahmen zugelassen werden.
  • Die Weiterleitung beruflicher E-Mails an private E-Mail-Postfächer muss streng verboten sein.
  • Die Mitarbeiter sollten angehalten werden, Dokumente und Arbeitsmaterialien mit personenbezogenen Inhalten nicht lokal auf den Endgeräten, sondern auf der dafür vorgesehenen Infrastruktur des Unternehmens abzulegen.
  • Papierunterlagen sollten nur ausnahmsweise mitgeführt werden, wenn Medienbrüche unvermeidbar und die Papierunterlagen für zu erbringende Tätigkeit zwingend erforderlich sind.
  • Papierunterlagen sollten im Homeoffice nur in gesondert verschließbaren Behältern (z.B. Schränke oder Bürocontainern) aufbewahrt werden. Die Verwendung von Papierunterlagen für das uneingeschränkte mobile Arbeiten sollte nicht gestattet werden.
  • Die Nutzung privater Drucker sollte nach Möglichkeit unterbunden werden. Ist die Nutzung privater Drucker für die Erfüllung der Tätigkeit erforderlich sollten die Dokumente unverzüglich aus dem Drucker entnommen werden. Außerdem, ist darauf zu achten, dass keine Druckaufträge (versehentlich) auf Drucker geschickt werden, die sich an der Arbeitsstätte befinden. Das Nutzen von Druckern in anderen Einrichtungen sollte untersagt werden.
  • Die Verwendung mobiler Datenträger (z.B. USB-Sticks) sollte nach Möglichkeit unterbunden werden oder es sollten nur firmeneigene Datenträger verwendet werden, die ausschließlich und durchgängig verschlüsselt genutzt und transportiert werden dürfen (wir berichteten).
  • Ist das mobile Arbeiten in öffentlichen Verkehrsmitteln, Restaurants etc. gestattet, sollte die Einsichtnahme Dritter z.B. durch die Verwendung von Sichtschutzfolien verhindert werden. Zudem empfiehlt es sich, die Mitarbeiter anzuweisen, vertrauliche Telefonate mit personenbezogenem Inhalt nicht an Orten zu führen an denen das Gespräch mitgehört werden kann.
  • Papierakten und mobile Datenträger sollten für die Vernichtung zur Arbeitsstätte zurückgebracht und dort datenschutzkonform vernichtet werden oder dem Mitarbeiter sollten entsprechende Schredder (DIN 66399) zur Verfügung gestellt werden.
  • Passwörter sind streng vertraulich zu behandeln und unter keinen Umständen preiszugeben oder zu notieren. Die Verwendung geeigneter Passwortmanager ist zu erwägen.
  • Ein Prozess zur sofortigen internen Meldung der Verletzung des Schutzes personenbezogener Daten bzw. des Verlustes des Endgeräts sollte etabliert werden.
  • Beschäftigte sollten regelmäßig zum datenschutzkonformen Umgang mit mobilen Geräten im Homeoffice und bei mobilen Arbeiten geschult werden. Insbesondere im Hinblick auf Phishingangriffe und weiterer Cyberkriminalität (Keylogger, BadUSB etc.) sollten Mitarbeiter fortlaufend sensibilisiert werden (hier).

Technische Maßnahmen und Regelungen

Neben den bzw. zur Unterstützung der organisatorischen Maßnahmen ist der Verantwortliche bzw. Auftragsverarbeiter angehalten auch durch technische Lösungen und Maßnahmen dafür zu sorgen, dass bei der Verarbeitung personenbezogener Daten aus dem Homeoffice ein angemessenes Schutzniveau gewahrt bleibt.

Empfehlenswert sind in Abhängigkeit der konkreten Tätigkeit und der damit verbundenen Verarbeitung personenbezogener Daten die folgenden technischen Maßnahmen.

  • Der Zugang zur firmeninternen Infrastruktur sollte nur vollverschlüsselt über einen gesicherten Remote-Zugang z.B. durch VPN-Verbindung erfolgen. Der Zugang sollte dabei auf die bekannten und erforderlichen Endgeräte und Benutzer sowie auf die benötigten Benutzungszeiten beschränkt werden.
  • Die VPN-Verbindung sollte automatisch nach einer gewissen Zeitspanne getrennt werden.
  • Werden besondere Kategorien personenbezogener Daten verarbeitet oder handelt es sich um sensible und risikobehaftete Tätigkeiten (z.B. Systemadministrator) muss ein Fernzugriff unterbunden oder ausschließlich mittels zwei-Faktor-Authentifizierung möglich sein.
  • Empfehlenswert ist es USB-Zugänge und andere Anschlüsse nach Möglichkeit technisch zu sperren oder lediglich für unternehmensintern administrierte Speichermedien freizugeben (Whitelist). Entsprechendes gilt für den Verbindungsaufbau zu bzw. die Nutzung von privaten Druckern.
  • Die Arbeit im Homeoffice/mobiles Arbeiten sollte nach Möglichkeit als voll elektronische Datenverarbeitung ohne Medienbruch ausgestaltet sein. Hierdurch entfällt die Notwendigkeit (Papier-)Unterlagen zu transportieren. Denn tatsächlich birgt insbesondere die Nutzung von Papierunterlagen in der Praxis häufig das größte Risiko.
  • Es sollte sichergestellt sein, dass Sicherheitsrelevante Updates auch bei der Arbeit aus dem Homeoffice bzw. im Rahmen des mobilen Arbeitens zeitnah eingespielt werden können. Der Einsatz eines Mobile-Device-Managements ist zu erwägen. Zudem sind geeignete Backupzyklen zu implementieren.

 Fazit

Definiert der Arbeitgeber in Abhängigkeit der Sensibilität und Risikoträchtigkeit der jeweiligen Tätigkeiten angemessen technische und organisatorische Maßnahmen und setzt diese entsprechend um, steht dem langfristigen Einsatz des Modells „Homeoffice“ bzw. „mobiles Arbeiten“ aus datenschutzrechtlicher Sicht nichts im Wege. Zu beachten ist auch, dass die Gewährleistung eines angemessenen Schutzniveaus oftmals einen nicht unerheblichen Ressourceneinsatz erfordert und die ergriffenen Maßnahmen unter der Berücksichtigung des Standes der Technik regelmäßig Kontrolliert und evaluiert werden sollten. Zu erheblichen datenschutzrechtlichen Hürden führt dabei der Einsatz privater Endgeräte der Beschäftigten (BYOD) weshalb sich dieser Beitrag auf den Einsatz der durch den Arbeitgeber administrierten Endgeräte beschränkt.