Aufsichtsbehörden sehen wieder genau hin.
Als zu Beginn des Corona-bedingten Lockdowns die halbe Republik ins Homeoffice abwanderte, haben die Datenschutz-Aufsichtsbehörden den Unternehmen eine (inoffizielle) Schonzeit eingeräumt, um die Arbeitsplätze zu Hause datenschutzgerecht auszustatten. In meiner „Handreichung Homeoffice in Corona-Zeiten“ habe ich beschrieben, wie während dieser „Schonzeit“ durch organisatorischen Maßnahmen manch technische Lösung ersetzt werden kann. Diese Schonfrist ist nun allerdings definitiv vorbei. Die „Handreichung“ gilt nicht mehr. Bitte richten Sie sich jetzt nach dieser Ausarbeitung!
Was bedeutet das „Ende der Schonzeit“ für Arbeitgeber- und Arbeitnehmer*innen? Der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht Michael Will hat auf dem in diesem Jahr online stattgefundenen „Dozententag“ der Initiative „Datenschutz geht zur Schule“ des Bundesverbandes der Datenschutzbeauftragten in acht Punkten klargestellt, was er von einem datenschutzgerechten Home-Arbeitsplatz erwartet.
1. Die Arbeitsumgebung
Home-Arbeitsplätze sollen die Vertraulichkeit und Verfügbarkeit der Daten* auf dem gleichen Niveau wahren, das auch am Arbeitsplatz im Unternehmen gewährleistet werden muss. Dazu gehören:
- Familienmitglieder oder Besucher haben keine Möglichkeit am Notebook oder auf Papierunterlagen „mitzulesen“
- Am Ende des Tages verbleiben keine Daten offen sichtbar am Home-Arbeitsplatz (Clean-Desk-Policy)
- Wenn erforderlich, werden den Homeoffice-Mitarbeiter*innen Blickschutzfilter angeboten
- Für Papierunterlagen stehen ein abschließbarer Schrank oder eine entsprechende Dokumentenmappe zur Verfügung
2. Die genutzte Hardware
„Bring Your Own Device“ wird nicht gern gesehen.
- Notebooks werden vom Arbeitgeber gestellt
- Dienstlich verwendete Smartphones werden ebenso vom Arbeitgeber gestellt
- Alternativ können Mitarbeiter*innen mit „Softphones“ ausgestattet werden (bspw. Headsets zur Telefonie über das Internet)
- Müssen private Computer verwendet werden sind Remoteverbindungen zu nutzen
- Für dienstlich zur Verfügung gestellte Kommunikationsmittel ist die private Nutzung untersagt
3. Der Umgang mit Papierdokumenten
Papierdokumente können in Privaträumen ein höheres Risiko darstellen als im Unternehmen.
- Papierunterlagen werden in mit dem Namen des Unternehmens beschrifteten Dokumentenmappen transportiert
- In einer Richtlinie ist festgelegt, dass Papierunterlagen keinen höheren Risiken ausgesetzt sind (auf dem Autorücksitz/im Rucksack usw.)
4. Die Nutzung von Videokonferenzsystemen
Videokonferenzsysteme müssen einige Anforderungen erfüllen.
- Ein Auftragsverarbeitungsvertrag mit dem Anbieter ist abzuschließen
- Hat der Anbieter seinen Sitz in einem Drittstaat, sind die Anforderungen an Verarbeitungen personenbezogener Daten in Drittstaaten zu beachten
- Bei der Verwendung ist eine sichere TLS-Verschlüsselung zu nutzen
- Bei Besprechungen, deren Ausforschen zu einem hohen Risiko für die Grundfreiheiten- und Rechte der betroffenen Personen führen könnten ist eine Ende-zu-Ende-Verschlüsselung zu verwenden
- Virtuelle Konferenzräume sind über individuelle Einladungslinks und/oder durch Passwörter zu schützen
- Aufzeichnungen des Inhalts durch den Anbieter sind zu unterbinden
- Konfigurationsmöglichkeiten bei der Erhebung von Telemetriedaten durch den Anbieter sind zu deaktivieren
- Aufzeichnungen durch den Arbeitgeber finden nicht statt
- Biometrische Features wie Aufmerksamkeitserkennung sind zu deaktivieren
5. Die Sicherheit
Bei der Anbindung des Homeoffice an das Internet sind technische Lösungen zu implementieren
- Anbindung an das Firmennetz nur per verschlüsselter VPN-Verbindungen nach dem Stand der Technik
- Zwei-Faktor-Authentifizierung bei VPN-Verbindungen
- Bei Einsatz des heimischen WLAN ist ein starkes Passwort zu wählen
6. Die Nutzung von Cloud-Diensten
Zur Zusammenarbeit von Teams im Unternehmen werden oft Cloud-Dienste genutzt, beispielsweise Kollaboration-Tools wie Microsoft Teams®, Asana®, Slack®, Google Hangouts® usw., aber auch Cloud-Speicher. Voraussetzungen für eine datenschutzgerechte Nutzung sind
- Ein Auftragsverarbeitungsvertrag mit dem Anbieter ist abzuschließen
- HTTPS wird eingesetzt (Transportverschlüsselung)
- Der Anbieter darf die verschlüsselten Daten* selbst nicht entschlüsseln können
- Eine wirksame Löschung der Daten* nach Beendigung des Vertrages muss gewährleistet sein
7. Die Nutzung von Messenger-Diensten
Messenger-Dienste müssen datenschutzgerecht sein.
- Kommunikation ausschließlich über eine echte Ende-zu-Ende-Verschlüsselung, auch für Anhänge wie Bilder und für Sprachnachrichten
- Metadaten (wer wann mit wem kommuniziert) dürfen vom Anbieter nicht zu Werbezwecken oder zum Profiling genutzt werden
8. Allgemeine organisatorische Regelungen
Eine Richtlinie für Homeoffice-Arbeitsplätze hilft, neben den technischen auch die organisatorischen Maßnahmen planvoll umzusetzen. So können Einfallstore für tief greifende Cyberangriffe verhindert werden.
- Liste der Mitarbeiter*innen im Homeoffice
- Liste der eingesetzten technischen Hilfsmittel bei jedem/r Mitarbeiter*in im Homeoffice
- Homeoffice ist in einer schriftlichen Richtlinie geregelt
- Über die Inhalte Richtlinie finden Schulungen mit allen Homeoffice-Mitarbeiter*innen statt
- Die Homeoffice-Mitarbeiter*innen werden schriftlich auf die Richtlinie verpflichtet – nach Auffassung des Bayerischen Landesamtes für Datenschutzaufsicht kann damit in der Regel eine Vor-Ort-Kontrolle des heimischen Arbeitsplatzes entfallen
* Personenbezogene Daten
Werden die oben genannten Punkte weitgehend erfüllt, steht auch aus Sicht der Aufsichtsbehörden dem Homeoffice nichts mehr im Wege. Dem anfänglichen Laizzes faire bei der Beurteilung von Homeoffice-Arbeitsplätzen folgt nun eine strengere Sicht darauf.
Ich unterstütze Sie gern bei der Umsetzung der erforderlichen Prozesse für datenschutzgerechte Homeoffice-Arbeitsplätze. Sie erreichen mich unter dirk.wolf@skriptura.de oder telefonisch unter 0511/54294-44.
