Ob Hacker, die sich auf den Arbeitsrechner Zugriff verschaffen, mitgehörte Telefongespräche oder von Dritten abgefangene E-Mails, diese Szenarien zeigen, dass im Homeoffice Schutzmaßnahmen im Bereich des Datenschutzes erforderlich sind. Das Unternehmen muss durch entsprechende technische und organisatorische Vorkehrungen sicherstellen, dass die Grundsätze des Datenschutzes auch am heimischen Arbeitsplatz des Mitarbeiters erfüllt werden. Es geht darum, die Daten vor dem Zugriff unbefugter Personen und einer Verfälschung zu schützen. Im Homeoffice besteht insbesondere die Gefahr, dass Mitbewohner personenbezogene Daten einsehen oder dass unbefugte Dritte bei der Datenübertragung aus dem Heimnetzwerk in das Unternehmensnetzwerk auf Daten zugreifen. Unabhängig davon muss der Arbeitgeber sicherstellen, dass die Daten jederzeit abrufbar sind.

Technische und organisatorische Schutzmaßnahmen im Homeoffice

Das Unternehmen sollte im Homeoffice zumindest diese Maßnahmen durchsetzen, um Datenschutzrisiken zu reduzieren:

  • Verwendung eines Virtual Private Network (VPN), um Hackerangriffe zu vermeiden
  • Datenverschlüsselung (Ende-zu-Ende-Verschlüsselung) und Ablageverschlüsselung auf den mobilen Geräten
  • Datenzugriff ausschließlich mit PIN, um sensible personenbezogene Daten zu schützen
  • USB-Anschlüsse sperren
  • Mitarbeiter zum Thema Datensicherheit schulen
  • Festplatten und externe Speichermedien verschlüsseln

Wichtige Richtlinien zur Umsetzung der Datenschutz-Regelungen im Homeoffice finden sich im Datenschutz-Wegweiser des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit.

Privates und Berufliches strikt trennen

Ein wesentlicher Schutzaspekt besteht darin, Privates und Berufliches zu trennen. Demnach sollte

  • das Unternehmen für die Tätigkeit im Homeoffice einen Arbeitsrechner mit aktueller Software bereitstellen, damit der Beschäftigte nicht einen privaten Laptop oder PC verwenden muss.
  • ein Mitarbeiter keine externen privaten Datenträger und Endgeräte an den Arbeitsrechner anschließen.
  • der Beschäftigte die IT-Ausstattung ausschließlich für berufliche Zwecke verwenden.
  • der Mitarbeiter keine private Software bei der Homeoffice-Tätigkeit nutzen.
  • lediglich der Mitarbeiter, nicht aber dessen Mitbewohner oder Familienangehörige auf den Arbeitsrechner zugreifen können.

Der Beschäftigte ist dazu zu verpflichten, mit sicheren Passwörtern zu arbeiten. Die Speicherung von Arbeitsdokumenten erfolgt im Idealfall im Netzwerk des Unternehmens. Bei Videokonferenzen und Telefongesprächen ist darauf zu achten, dass diese ungestört und ohne Beteiligung von Zuhörern stattfinden.

Sicheren Datentransport gewährleisten

Falls ein Transport von Unterlagen oder Datenträgern erforderlich ist, sind diese Dokumente und Daten vor Verlust und Beschädigung zu schützen. Das geschieht durch die folgenden Maßnahmen:

  • Datenträger wie USB-Sticks oder CDs ausschließlich verschlüsselt transportieren
  • Unterlagen in Papierform in verschließbaren Behältern transportieren

Unterlagen und Datenträger sicher verwahren

Datenträger und Unterlagen müssen auch im Homeoffice jederzeit vor unbefugten Zugriffen geschützt sein. Demnach sind Arbeitsmittel mit sensiblen Daten in abschließbaren Behältnissen, Schreibtischen und Schränken sicher zu verwahren. Fenster und Türen müssen verschlossen sein, wenn der Mitarbeiter seinen Heimarbeitsplatz verlässt. Beim Arbeitsrechner ist ein Bildschirmschoner mit Kennwortschutz zu nutzen. Der Mitarbeiter darf Betriebsunterlagen keinesfalls im Hausmüll entsorgen, sondern nur im Unternehmen.

Datensicherungskonzept entwickeln

Für die Datenverarbeitung im Homeoffice sollte das Unternehmen ein Datensicherungskonzept entwickeln und auch Vorkehrungen für den Umgang mit einem Datenschutzvorfall treffen. Diese Regelungen sind in einer Datenschutzvereinbarung über die Arbeit im Homeoffice festzuschreiben. Sollte es zu einem Datenverlust oder einer Datenschutzverletzung kommen, muss für den Mitarbeiter ersichtlich sein, welchem Ansprechpartner er den Vorfall zu melden hat.

Datenschutzvereinbarung abschließen

Das Unternehmen muss mit dem Mitarbeiter eine entsprechende Datenschutzvereinbarung (Vereinbarung zum Datenschutz im Homeoffice) abschließen, um Verstöße gegen das Datenschutzrecht zu vermeiden und Bußgeldern zu entgehen. Mit dieser Datenschutzvereinbarung verpflichtet sich der Mitarbeiter dazu, die genannten datenschutzrechtlichen Anforderungen und Maßnahmen im Homeoffice umzusetzen. Dieses Schreiben sollte eindeutige Hinweise zu Passwörtern und den Umgang mit der Datensicherheit am Arbeitsplatz enthalten.

Betroffene Unternehmen finden weitere hilfreiche Tipps für sicheres Arbeiten im Homeoffice in einem Empfehlungsschreiben des Bundesamts für Sicherheit in der Informationstechnik.