Datenschutz im Homeoffice: Maßnahmen für Mitarbeiter
Der Datenschutz im Homeoffice stellt weiterhin eine Herausforderung dar © Blue Planet Studio – Adobe Stock

Datenschutz im Homeoffice: Maßnahmen für Mitarbeiter

In den Lockdowns der vergangenen Jahre wurde Homeoffice für viele Mitarbeiter Pflicht. Ein Großteil der Beschäftigten arbeitet gerne weiterhin von zu Hause aus. Es herrscht aber Unsicherheit hinsichtlich des Datenschutzes: Bereits während der ersten Einschränkungen durch die Pandemie hatten knapp 30 % der im Homeoffice Tätigen Bedenken bei der Datensicherheit – das ergab eine ifo-Umfrage im Jahr 2020.

Nach wie vor sind sich viele Mitarbeiter und Unternehmen unklar darüber, wie Datenschutz im Homeoffice umzusetzen ist. Dieser Beitrag klärt Sie darüber auf, was in puncto Datensicherheit am Heimarbeitsplatz beachtet werden muss. Unsere Praxis-Tipps helfen, das Homeoffice entsprechend der Datenschutz-Grundverordnung (DSGVO) zu gestalten.

Grundlegende Informationen: Schon hier beginnt Datenschutz im Homeoffice

Datenschutz ist für viele Unternehmen bereits im Büro vor Ort ein großes Thema. Wenn Mitarbeiter in Heimarbeit tätig sind, bekommt die Thematik noch ganz andere Dimensionen: Hier können die Verantwortlichen nicht mehr direkt auf Geräte zugreifen und die Einhaltung von Regeln überblicken – und die Mitarbeiter selbst stehen durch die neue Arbeitssituation bereits vor anderen Problemen. Doch mithilfe einiger grundlegender Richtlinien lässt sich eine Checkliste erarbeiten, die Arbeitnehmern dabei hilft, sich auch im Homeoffice datenschutzkonform zu verhalten.

Top 7 der häufigsten Fehler: Hier passieren die meisten Patzer beim Datenschutz

Datensicherheit und Datenschutz beginnen auch im Homeoffice schon bei kleinen Vorkommnissen. Die Erfahrung zeigt: Es gibt Vorgänge, die besonders anfällig für Datenpannen sind. Sensibilisieren Sie daher Ihre Mitarbeiter besonders für folgende Bereiche:

  1. PC sperren: Wenn der Arbeitsplatz, egal in welcher Form dieser vorliegt, verlassen wird, muss der PC gesperrt werden, damit niemand unberechtigt Zugriff auf Daten erhalten kann.
  2. Schreddern und vernichten: Arbeiten Mitarbeiter mit Dokumenten, auf denen sensible Daten vermerkt sind, müssen diese nach dem Gebrauch umgehend geschreddert oder in einen dafür vorgesehenen, abgeschlossenen Behälter geworfen werden.
  3. Einsicht vermeiden: Arbeiten Mitarbeiter im Homeoffice oder auch in einem Coworking-Space, müssen Sie dafür sorgen, dass Kundendaten aller Art nicht offen einsehbar sind und niemand Zugriff darauf erhält. Das gilt sowohl für den Computerbildschirm als auch für gedruckte Dokumente.
  4. Datenträger unzugänglich machen: Wenn beispielsweise ein USB-Stick für den Transport von Kundendaten verwendet wird, muss dieser für Unbefugte unzugänglich sein. Mitarbeiter müssen diesen nach der Verwendung wegsperren. Am besten sollte auch der Zugang zu den Daten nach dem Einstecken am PC durch ein Passwort geschützt sein.
  5. Passwörter ändern: Machen Sie Ihre Mitarbeiter darauf aufmerksam, dass diese ihre Passwörter regelmäßig ändern müssen. Das gilt sowohl für technische Geräte als auch für ihre Accounts: Dies sollte spätestens nach jeweils 180 Tagen geschehen.
  6. Telefonate privat halten: Auch aus dem Homeoffice werden Telefonate geführt – unter anderem mit Kunden. Mitarbeiter müssen darauf achten, dass beispielsweise Namen so selten wie möglich genannt werden und vertrauliche Daten für niemanden zu hören sind. Besondere Vorsichtsmaßnahmen sollten dann ergriffen werden, wenn Dritte in Hörweite sind – das gilt auch für Familienangehörige.
  7. Mailadressen trennen: Zudem müssen Arbeitnehmer darauf achten, ihre geschäftliche Mailadresse nur für geschäftliche Zwecke zu nutzen. Die Nutzung für den privaten Gebrauch ist untersagt.

Tipp: Um es Ihren Arbeitnehmern zu erleichtern, an alle wichtigsten Punkte der Datensicherheit zu denken, hilft ein Dokument mit einer Checkliste. Diese enthält idealerweise Maßnahmen, an die Mitarbeiter in puncto Datensicherheit denken müssen. Die Checkliste kann sich jedes Firmenmitglied ausdrucken oder regelmäßig online durchlesen, um sie dann richtig umsetzen zu können.


Worauf müssen Sie beim Datenschutz im Homeoffice achten?

Seit Mai 2018 bestimmt die europäische Datenschutz-Grundverordnung (DSGVO), worauf es beim Datenschutz ankommt. Die DSGVO stellt eine europaweite Reform dar, die den Umgang mit personenbezogenen Daten veränderte. Unter anderem sind deren Erhebung und Weiterverarbeitung von der neuen Gesetzgebung betroffen. Unternehmen in Deutschland und Europa sind seit 2018 dazu verpflichtet, personenbezogene Daten ausschließlich dann zu speichern, wenn die betroffene Person gemäß Artikel 6 DSGVO ihre Einwilligung gegeben hat.

Als personenbezogene Daten gelten laut Datenschutzbehörde Informationen, anhand derer eine natürliche Person identifiziert werden kann. Das sind zum Beispiel:

  • Name
  • Anschrift
  • Kontaktdaten wie E-Mail-Adresse oder Telefonnummer bzw. Handynummer

Durch die DSGVO ist zudem vorgegeben, dass Unternehmen dokumentieren müssen, wie und wo sie personenbezogene Daten speichern. Wird eine Anfrage gestellt, muss jeder Arbeitgeber darstellen können, welche personenbezogenen Daten über eine natürliche Person in firmeneigenen Dateisystemen gespeichert sind.

Tipp: Bei Fragen rund um den Datenschutz hilft es, im Unternehmen einen Datenschutzbeauftragten auszubilden. Durch Fort- bzw. Weiterbildung zum Thema Datensicherheit kann diese Person ihren Wissensstand erweitern und in der Firma zur Ansprechperson werden, wenn es Fragen zum Thema Datenschutz gibt. Seminare für Datenschutzbeauftragte bieten etwa der TÜV, die IHK oder auch die DEKRA an.


Mit Praxisbeispiel: Dokumentationspflicht verbleibt beim Arbeitgeber

Um trotz Homeoffice sinnvoll agieren zu können, sind die meisten Mitarbeiter an ihrem Heimarbeitsplatz per Intranet oder über das Internet mit dem Firmennetzwerk verbunden. Während der Arbeitgeber am Arbeitsplatz im Betrieb hier eindeutige Maßnahmen ergreifen kann, um die DSGVO-Grundsätze umzusetzen, gestaltet sich dies im Homeoffice schwieriger. Dies liegt vor allem an der räumlichen Trennung – die so schnell zum Risiko für personenbezogene Daten wird.

Beispiel: Die Sekretärin eines international agierenden Konzerns arbeitet im Homeoffice mit sensiblen Kundendaten. Über das Internet ist sie mit dem Firmennetzwerk verbunden. Bei der Bearbeitung von Angeboten ist es vorstellbar, dass Teile ihrer Familie Einblick in die personenbezogenen Daten erhalten. Ebenso möglich wäre ein gezielter Hackerangriff auf einen unprofessionell geschützten Router am hauseigenen Telearbeitsplatz.

Im Praxisbeispiel wird deutlich: Unternehmen stehen beim Datenschutz im Homeoffice vor hohen Herausforderungen. Denn nach Artikel 4 und 5 der DSGVO sind Betriebe als Verantwortliche verpflichtet, eine angemessene Sicherheit der personenbezogenen Daten sicherzustellen. Dies schließt auch ein, Daten vor unbefugter oder unrechtmäßiger Verarbeitung oder Verlust, unbeabsichtigter Zerstörung oder Schädigung zu schützen. Für das Homeoffice bedeutet das, dass Unternehmen auch dort geeignete technische und organisatorische Maßnahmen ergreifen müssen, um die Datensicherheit zu garantieren.

3 Maßnahmen: So gewährleisten Sie Datenschutz im Homeoffice

Auch bei Telearbeit im Homeoffice können an einem Arbeitstag Hunderte von personenbezogenen Daten verarbeitet werden. Mit jedem Datensatz steigt dabei das Risiko, die Vorgaben der DSGVO zu verletzen. Aus diesem Grund gehören vor allem die folgenden drei Maßnahmen zu den wichtigsten Vorkehrungen, um eine DSGVO-konforme Datenverarbeitung im Homeoffice zu gewährleisten:

  1. Treffen Sie schriftliche Vereinbarungen mit Ihren Mitarbeitern darüber, wie personenbezogene Daten im Homeoffice verarbeitet werden dürfen
  2. Garantieren Sie sichere Übertragungswege im Netzwerk oder Internet
  3. Sorgen Sie für eine softwaretechnische Verschlüsselung von personenbezogenen Daten

Tipp: Mit der Verlagerung der Arbeit in eine vertraute Umgebung kann sich leicht eine gewisse Sorglosigkeit einschleichen. Deshalb sollten Arbeitgeber ihre Mitarbeitenden dafür sensibilisieren, auch in einer vermeintlich sicheren Umgebung achtsam mit Unternehmensdaten umzugehen.

Regelmäßige Schulungen sensibilisieren Arbeitnehmende, sind aber keine Pflicht, die durch das vermehrte Arbeiten im Homeoffice entsteht. Den Beteiligten sollte dennoch stets bewusst sein, dass die Angriffsfläche für Phishing-Attacken wächst, sobald vermehrt von externen Arbeitsplätzen aus gearbeitet wird. Um den verantwortungsvollen Umgang mit sensiblen Daten zu fördern sind daher zielgerichtete Schulungen für sämtliche Mitarbeitende zu empfehlen.


Schriftliche Zusatzvereinbarung: Datensicherheit im Homeoffice

Während der Corona-Pandemie kam es immer wieder zu Arbeitsschutzverordnungen, die Mitarbeitern die Arbeit im Homeoffice ermöglicht haben. Dies ist mittlerweile nicht mehr der Fall, sodass Arbeitnehmer aktuell kein Anrecht mehr darauf haben, von zu Hause aus zu arbeiten. Zahlreiche Unternehmer wollen dies jedoch weiterhin ermöglichen und setzen auf eine entzerrte Personalsituation durch das Homeoffice.

Dafür ist zusätzlich zur mündlichen Vereinbarung, dass Mitarbeiter im Homeoffice arbeiten dürfen, ein schriftlicher Zusatz zum Arbeitsvertrag (Zusatzvereinbarung) angebracht. In dieser arbeitsvertraglichen Zusatzregelung ist Platz für die Rahmenbedingungen für Telearbeit am heimischen Arbeitsplatz. Vor allem die folgenden Punkte sollten dabei Eingang finden:

  • Ausgestaltung des Homeoffice, z. B. Abschließbarkeit des Büroraumes
  • Arbeitsmittel und Geräte, die der Mitarbeiter für das Homeoffice erhält oder anschaffen darf
  • Arbeitszeit- und Pausenregelung sowie Dokumentationspflichten
  • PC-Equipment-Regelung: Dürfen Laptop, Tablet & Co. privat genutzt werden?
  • Datenschutzklausel zum Umgang mit personenbezogenen Daten

Tipp: Unternehmen sollten mit ihren Arbeitnehmern zudem Regeln für die Nutzung von Videokonferenzsystemen vereinbaren. Im Homeoffice muss ebenso gewährleistet sein, dass vertrauliche Inhalte nicht durch Dritte mitgehört werden können.


Sichere Übertragung im Homeoffice: So gelingt es im Netzwerk und über das Internet

Der Arbeitgeber ist für Datenschutz im Office, aber auch im Homeoffice verantwortlich. Also liegt es auch in seiner Verantwortung, die Übertragungswege im Netzwerk oder Internet zu sichern. Für den Datenschutz im Homeoffice ist es unter anderem essenziell, das WLAN zu Hause professionell zu sichern. Dies bedeutet für die Praxis:

  • ein starkes Passwort für den WLAN-Router vorzusehen, dass idealerweise aus Buchstaben, Zahlen und Sonderzeichen besteht,
  • den Router-Namen zu individualisieren,
  • eine Netzwerkverschlüsselung nach WPA2 zu verwenden, dies es Hackern erschwert, ins heimische Netzwerk einzudringen,
  • ausschließlich über ein VPN in Verbindung mit dem Unternehmen zu gehen.

Info: Als VPN wird eine „Virtual Private-Network“-Internetverbindung bezeichnet. Derartige Verbindungen verschlüsseln und verschleiern die IP-Adresse. Dies erhöht die Sicherheit und schützt zudem die Privatsphäre.

Ein ebenfalls gangbarer Weg kann die Nutzung eines Firmen-Internetanschlusses sein, der ausschließlich für berufliche Zwecke zur Verfügung steht. Dieser kann von der IT-Abteilung im Unternehmen datenschutzkonform installiert werden, sodass die Sicherheit der Übertragungswege von Anfang an gewährleistet ist.

Zusätzlich zu den genannten Punkten zur Sicherung des Routers, der bildlich gesprochen das digitale Eingangstor ins Homeoffice darstellt, sollte die Firmware laufend aktualisiert und ein umfassender Virenschutz auf allen Endgeräten installiert werden.


Softwaretechnisch verschlüsselt: Sicherung von personenbezogenen Daten

Um den Datenschutz im Homeoffice sicherzustellen, bedarf es vieler Stellschrauben. Neben hardwaretechnischen Anpassungen können softwarespezifische Maßnahmen für mehr Sicherheit von personenbezogenen Daten am heimischen Arbeitsplatz sorgen. Digital verarbeitete Daten sollten zum Beispiel mit einer Methode zur Verschlüsselung gesichert werden. Sender und Empfänger erhalten den passenden digitalen Schlüssel, um ausgetauschte Datensätze decodieren und weiterverarbeiten zu können.

Mit spezifischer Software, die personenbezogene Daten zuverlässig verschlüsselt, erfüllen Unternehmen ihre Pflicht zur Sicherheit in der Verarbeitung nach Artikel 32 der DSGVO. Abhängig von den Umständen und dem Risiko, das bei der Verarbeitung personenbezogener Daten auftritt, müssen folgende Maßnahmen ergriffen werden:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • Sicherstellen der dauerhaften Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung

Gemäß Artikel 32 Absatz 4 müssen Unternehmen gewährleisten, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten.

Dies bedeutet für die Praxis im Homeoffice, das eindeutige Regeln gesetzt werden müssen, welche Daten wann und mit welchen Endgeräten weiterverarbeitet werden dürfen. Ebenso muss sichergestellt sein, dass Außenstehende zu keinem Zeitpunkt Zugriff auf firmeneigene Endgeräte, Software und die darin enthaltenen personenbezogenen Daten haben.

Wichtig: Sensible oder als geheim eingestufte Daten bedürfen eines besonderen Schutzes. Eine Zertifizierung nach ISO 27001 im Unternehmen kann zu einem verantwortungsvolleren Umgang mit sensiblen personenbezogenen Informationen beitragen. Mit der Zertifizierung wird im Betrieb ein Informationssicherheitsmanagementsystem (ISMS) eingeführt. Dieses hilft, intern Sicherheitsrisiken aufzudecken und abzustellen. In der Außendarstellung vermittelt ISO 27001 Sicherheit und erhöht das Vertrauen ins Unternehmen.


FAQ: Häufige Fragen zum Datenschutz im Homeoffice

Wie verschlüsselt man WLAN-Router datenschutzkonform?

Um einen WLAN-Router im Homeoffice sicher und datenschutzkonform zu betreiben, muss er mit dem WPA- oder WPA2-Verschlüsselungsstandard betrieben werden. Der vor Jahren eingeführte WEP-Standard gilt als anfällig für Hackerangriffe und sollte nicht mehr verwendet werden.

Die Begriffe Homeoffice und Telearbeit werden häufig synonym verwendet. Grundsätzlich versteht man unter Telearbeit Bildschirmarbeitsplätze im häuslichen Bereich, die für einen festen Zeitraum eingerichtet werden. Als Homeoffice wird im Gegensatz das temporäre Arbeiten in privat-häuslichem Umfeld verstanden.

Unternehmen, die oft mit personenbezogenen Daten arbeiten, müssen einen Datenschutzbeauftragten beschäftigen. In anderen Firmen kann ein Mitarbeiter mit diesen Aufgaben betraut und regelmäßig geschult werden. Dieser sollte die Datensicherheit kontinuierlich im Blick haben und bei Fragen zur Verfügung stehen.

Weitere Artikel zu diesem Thema:
Loading...