SMART OFFICE Datensicherheit zuhause
Datenschutz ist auch im Homeoffice wichtig © Catherina Schürmann — Unsplash

SMART OFFICE Datensicherheit zuhause

Arbeitnehmer müssen auch zuhause im Homeoffice dafür sorgen, dass vertrauliche Daten vertraulich behandelt werden. Das gilt im Übrigen nicht nur für digitale Dokumente. Wie man die Datenschutzgrundverordnung (DSGVO) in den eigenen vier Wänden korrekt umsetzt.

Das Homeoffice kam mit der Corona-Pandemie quasi über Nacht. Es gilt inzwischen als etabliert, und auch nach der Pandemie will die Mehrheit der Berufstätigen das Homeoffice-Potenzial gerne weiter nutzen. Viele Beschäftigte wünschen sich, mindestens ab und zu von zu Hause aus arbeiten zu können; ein geeignetes Homeoffice-Angebot ist zudem bei der künftigen Wahl einer neuen Arbeitsstelle ein wichtiges Argument. Unternehmen müssen dabei aber nicht nur die Homeoffice-Möglichkeiten an sich, sondern auch die geeignete Ausstattung des Arbeitsplatzes und den oftmals wenig im Fokus stehenden Datenschutz im Auge haben.

Unternehmen und Mitarbeitende müssen ihre Arbeitsprozesse so gestalten, dass sie beim mobilen Arbeiten die seit Mai 2018 geltenden Anforderungen der DSGVO bei der Verarbeitung personenbezogener Daten einhalten; Ausnahmen gibt es nicht. Die Verlagerung der Arbeit in das Homeoffice entbindet demnach nicht von der Pflicht zur Einhaltung der DSGVO.

Verantwortlich für den Datenschutz eines Unternehmens ist immer der Arbeitgeber. Die meisten Unternehmen führen regelmäßige Datenschutzunterweisungen durch, um das notwendige Wissen rund um den Datenschutz im Büroalltag zu etablieren. Wiederholte Schulungen dienen der Vertiefung und gehen auf konkrete Herausforderungen ein, denen die Mitarbeitenden im Alltag gegenüberstehen.

Der Arbeitgeber darf das Homeoffice checken

„Bisher gab es nur wenige Bußgelder. Aber die Corona-Krise darf mittlerweile kein Grund mehr sein, die Anforderungen der EU-DSGVO zur Datenverarbeitung nicht einzuhalten, wenn von zuhause gearbeitet wird“, erklärt Mareike Vogt, Fachexpertin für Datenschutz TÜV SÜD. „Unternehmen sollten ihre technischen und organisatorischen Maßnahmen (TOM) entsprechend einer rechtskonformen Verarbeitung von personenbezogenen Daten auch an Heimarbeitsplätzen anpassen. Kleinere Unternehmen mit wenig Ressourcen sollten dabei im Zweifel auch die Hilfe unabhängiger externer Experten nutzen, bevor sie das Risiko von Bußgeldern oder eines Imageschadens eingehen.“

Der oftmals schnelle Weg ins Homeoffice hat neue Fragen und Sicherheitslücken aufgezeigt. Mit Mitarbeitenden, die zeitweise von zuhause arbeiten, sollte unbedingt eine Vereinbarung zur künftigen Arbeit im Homeoffice getroffen werden. Darin müssen im Einzelfall zutreffende Pflichten und vereinbarte Schutzvorkehrungen dokumentiert werden. Um dies datenschutzrechtlich von Anfang an sicher zu gestalten, sollte eine solche Regelung am besten von Beginn an getroffen und unterschrieben werden oder dies schnellstmöglich nachgeholt werden, wenn mit Beginn der Corona-Pandemie improvisiert werden musste. Neben allgemeinen Maßnahmen zum Schutz darf in einer solchen Vereinbarung sogar ein Kontrollrecht des Arbeitgebers über den bestehenden Heimarbeitsplatz vereinbart werden.

Vielerorts noch problematisch: Trennung von „privat“ und „geschäftlich“

Grundsätzlich müssen private und geschäftliche Daten voneinander getrennt sein. Dazu sollten am besten alle Maßnahmen individuell innerhalb der getroffenen Vereinbarung dokumentiert werden. Der Arbeitgeber stellt seinen Mitarbeitenden im Idealfall einen Rechner zur Verfügung, mit denen sie sich ins Unternehmensnetz einwählen können. Dabei handelt es sich in der Regel um ein in sich geschlossenes Virtual Private Network (VPN). Falls im Einzelfall eigene Hardware für die Arbeit genutzt wird, müssen auch dafür geeignete technische Maßnahmen getroffen werden. Wer mit Datenträgern oder einem Notebook zwischen Büroarbeitsplatz und Homeoffice pendelt, muss darauf achten, dass vertrauliche Daten aus Sicherheitsgründen nur verschlüsselt transportiert werden. Dazu kommt bei der Nutzung eines Notebooks etwa regelmäßig eine Festplattenverschlüsselung zum Einsatz. Die Art der Absicherung ist ebenfalls in der Richtlinie festzuhalten.

Beim Datenschutz stehen durchaus digitale Datenträger im Fokus – Festplatten, USB-Sticks, Smartphones, Tablets oder Server. Schnell vergessen werden dabei Papierdokumente, die häufig schützenswerte Daten enthalten. Und in den meisten Unternehmen befindet sich noch immer ein Großteil der vertraulichen Daten auf Papier.

Während etwa vertrauliche Daten durch eine Verschlüsselung und ihr Zugang durch Passwörter oder andere Sicherheitshürden geschützt werden, liegen Ausdrucke in Papierform oft ungeschützt auf dem Schreibtisch. Werden sie nicht mehr benötigt, landen sie im Papierkorb. Neben Ausdrucken, die keine personenbezogenen Daten enthalten, landen dort auch Angebote, Vertragsunterlagen oder sogar Personal-, Steuer- und Buchhaltungsunterlagen.

Strenge Regeln gelten auch für ausgedruckte Unterlagen. Diese dürfen auf keinen Fall über den Hausmüll entsorgt werden. „Am besten nutzen Arbeitnehmer ein Aktenvernichtungsgerät. Aber sie können Papierdokumente auch an einem sicheren Ort sammeln und dann beim nächsten Besuch im Büro entsorgen“, erklärt Roland Weiß, Sicherheitsexperte bei der R+V Versicherung. „Noch besser ist es natürlich, gar nicht zu drucken – für den Datenschutz und die Umwelt.“

Eigener Arbeitsraum ist keine Pflicht

Ein abschließbares Büro zu Hause, das in den Pausen und nach Feierabend für Dritte nicht zugänglich ist, hat längst nicht jeder. „Ein eigenes Zimmer ist aus Sicht des Datenschutzes natürlich der Idealfall. Vorgeschrieben ist es jedoch nicht“, sagt Roland Weiß. „Wenn kein Platz vorhanden ist, sollten Arbeitsunterlagen in einem abschließbaren Schrank oder Rollcontainer aufbewahrt werden.“

Zudem empfiehlt der Experte, beim Verlassen des Arbeitsplatzes alle Geräte mit einem sicheren Passwort zu sperren. Bildschirme sollten so stehen, dass niemand unbemerkt mitlesen kann. Und vertrauliche Telefonate und Videokonferenzen sollten besser nicht auf dem Balkon oder der Terrasse geführt werden.

Ausdrucke sollten nach dem Druckvorgang nicht im Drucker liegengelassen werden, sodass weder Familienmitglieder, Bekannte oder unbekannte Dritte Zugriff darauf haben.

Verarbeitet ein Unternehmen für ein anderes im Auftrag personenbezogene Daten, muss weiterhin beachtet werden, was innerhalb des Auftragsverarbeitungsvertrags vereinbart wurde. Die technischen und organisatorischen Maßnahmen dürfen auch in solchen Situationen nicht unterschritten werden.

Mit der Verlagerung der Arbeit in eine vertraute Umgebung kann sich leicht eine gewisse Sorglosigkeit einschleichen. Deshalb sollten Arbeitgeber ihre Mitarbeitenden dafür sensibilisieren, auch in einer vermeintlich sicheren Umgebung achtsam mit Unternehmensdaten umzugehen.

Regelmäßige Schulungen sensibilisieren Mitarbeitende, sind aber keine Pflicht, die durch das vermehrte Arbeiten im Homeoffice entsteht. Den Beteiligten sollte dennoch stets bewusst sein, dass die Angriffsfläche für Phishing-Attacken wächst, sobald vermehrt im Homeoffice gearbeitet wird. Für den verantwortungsvollen Umgang mit sensiblen Daten sollten daher sämtliche Mitarbeitenden zielgerichtet gegen solche Bedrohungen geschult werden.

Aktenvernichter als Teil des Datenschutzkonzepts

Die DSGVO verlangt eine lückenlose Dokumentation der Verarbeitung personenbezogener Daten. Dies umfasst neben einer Beschreibung des Zwecks der Speicherung, die Dauer und auch die Dokumentation der Datenlöschung. In dem Zusammenhang muss auch an die ordnungsgemäße Vernichtung der Altablage gedacht werden, das ist häufig eine Menge alter Papierdokumente.

Das Thema Datenschutz ist bei der Vernichtung von Papierdokumenten gar nicht so problematisch, wenn der richtige Aktenvernichter zum Einsatz kommt. Die entsprechende Sicherheitsstufe sorgt für die datenschutzkonforme Vernichtung vertraulicher Daten. Empfohlen wird für die Vernichtung von personenbezogenen Daten auf Papier mindestens ein Aktenvernichter der Sicherheitsstufe P-4. Geräte dieser Stufe sind geeignet für Papierdokumente, die sensible Daten wie Bilanzen, Gehaltsabrechnungen, Personaldaten und Rechnungsunterlagen beinhalten. Zum Nachweis, dass die Datenschutzvorgaben eingehalten werden, zählt insofern auch die Nutzung eines Aktenvernichters mit entsprechender Sicherheitsstufe.

Kleine Arbeitsplatzgeräte haben den Vorteil, dass sie sämtliche Daten direkt und zeitnah dort vernichten, wo sie entstehen. Für das Homeoffice bieten sich vor allem Geräte an, die überall leicht Platz finden. Sogar Einsteigermodelle besitzen leistungsfähige Schneidwerke, die nur noch kleinste Partikel zurücklassen.

Ein Modell aus dem preislichen Mittelfeld ist etwa der Shredcat 8250. Das Gerät bietet einen starken und leisen Motor mit hoher Leistung, eine einfache Bedienung, eine sichere Abschaltautomatik beim Entleeren sowie einen sparsamen Eco-Modus, wenn nicht gerade geschreddert wird. Der Schnittgutbehälter mit einem Auffangvolumen von 20 Litern und Sichtfenster sorgt für rechtzeitiges Entleeren. Dank kompakter Abmessungen passt der Datenschützer mit Sicherheitsstufe P-4 bequem unter jeden Schreibtisch. Mit einer Arbeitsbreite von 220 mm sowie einer Schnittleistung von 8 Blatt (80 g/m2) ist auch dieser Aktenvernichter ein sicherer Papierkorbersatz.