Aus gegebenen Anlass möchten wir über ein paar Aspekte informieren, die bei Telearbeit und HomeOffice zu berücksichtigen sind. Der Datenschutz schließt HomeOffice und mobiles Arbeiten nicht grundsätzlich aus. Eine klare gesetzliche Regelung für die datenschutzrechtliche Zulässigkeit von Telearbeit und Mobilem Arbeiten gibt es nicht. Es obliegt dem Verantwortlichen unter Berücksichtigung des Zwecks und der Risiken, die Zulässigkeit von HomeOffice und des mobilen Arbeitens zu prüfen und entsprechende Maßnahmen zur Sicherstellung des Datenschutzes und der Informationssicherheit zu implementieren. Eine Zulässigkeitsvoraussetzung kann dabei natürlich die öffentliche Sicherheit und Gesundheitsvorsorge für die Mitarbeiter sein.
Die folgenden Punkte sollen als Anregung dienen HomeOffice als Maßnahme in Betracht zu ziehen und dabei Sicherheits- und Datenschutzaspekte mit Bedacht und Augenmaß zu berücksichtigen.
Technische Maßnahmen zur Risikominimierung (Art. 32 DSGVO)
Medienbruchfreie Gestaltung
Durch die medienbruchfreie Gestaltung der Tele- bzw. mobilen Arbeit und der voll elektronischen Datenverarbeitung fällt die Notwendigkeit zum Transport von Unterlagen weg. Dadurch wird das Risiko von Verlust, Beschädigung und unbefugter Einsichtnahme reduziert.
Bei medienbruchfreier Gestaltung birgt HomeOffice ein geringeres Missbrauchsrisiko als das Mobile Arbeiten, da der HomeOffice Arbeitsplatz vom Arbeitgeber / von der Dienststelle in gewissem Umfang kontrolliert werden kann.
Verschlüsselung
Mobile Datenträger können leicht verlorengehen. Dieses Risiko kann allerdings reduziert werden, wenn die Daten auf dem mobilen Gerät verschlüsselt werden und der Transport des mobilen Gerätes nur im gesperrten Zustand erfolgt. Dabei gilt zu berücksichtigen, dass der Verlust eines mobilen Datenträgers mit personenbezogenen Daten auch wenn er verschlüsselt ist, ein meldepflichtiger Vorfall sein kann.
Sichere Verbindungen
Öffentliche Netzwerkzugänge (WLAN im Hotel, Flughafen, Bahnhof usw.) dürfen über mobile Geräte nur genutzt werden, wenn ein Zugriff auf die Unternehmensinfrastruktur durch ein VPN mit entsprechend starker Verschlüsselung erfolgt. Das VPN sollte so konfiguriert sein, dass während der Sitzung keine lokalen Netzwerkverbindung aktiv sein können. Der Zugriff auf lokale Ressourcen (z.B. Drucker, USB-Sticks) sollte vom VPN nicht möglich sein.
Shoulder Surfing
Beim mobilen Arbeiten im öffentlichen Bereich (z.B. Zug, Flughafen etc.) sollte außerdem darauf geachtet werden, dass der Bildschirm und die Tastatur der genutzten mobilen Geräte durch Passanten und Videokameras nicht einzusehen sind.
Dienstliche Telefonate mit Personenbezug sollten, wie vertrauliche dienstliche Gespräche, im öffentlichen Raum nur geführt werden, wenn ein Mithören ausgeschlossen werden kann.
Gerätesicherheit
Die Nutzung mobiler Geräte und HomeOffice sollte nur mit einer Zwei-Faktor Authentifizierung möglich sein. Sicherheitskarten, RFID-Chips und andere hardwarebasierte Authentifizierungsmittel sollten getrennt von dem mobilen Gerät aufbewahrt werden. Nicht benutzte Neztwerkverbindungen (IR, Bluetooth usw.) sowie physikalische Anschlüsse (z.B.) sollten deaktiviert sein. Die Nutzung mobiler Geräte sollte durch den Einsatz eines MDM protokolliert und überwacht werden.
Datenträgersicherung
Datenträger sollten nur verschlüsselt und gesperrt transportiert werden. Unterlagen sollten nur in verschlossenen und nicht einsehbaren Behältern transportiert werden. Datenträger und Unterlagen sollte nie unbeaufsichtigt gelassen werden. Bei der Telearbeit müssen geeignete Räumlichkeiten und Arbeitsmittel zur sicheren Aufbewahrung und vertraulichen Behandlung von Unterlagen und Datenträgern mit personenbezogenen Daten vorhanden sein. Auch die mit dem Beschäftigten in häuslicher Gemeinschaft lebenden Personen dürfen keinen Zugriff auf vertrauliche Unterlagen haben.
Organisatorische Maßnahmen zur Risikominimierung (Art. 24 DSGVO)
Kontrolle des HomeOffice Arbeitsplatzes
Im Rahmen von HomeOffice muss der Arbeitgeber die Möglichkeit des Zugangs zur Wohnung des Beschäftigten haben. Das notwendige Zutrittsrecht des Arbeitsgebers muss vertraglich mit dem Beschäftigten vereinbart werden, wobei auch das Einverständnis der in häuslicher Gemeinschaft mit ihm zusammenlebenden Personen umfasst sein muss. Die sonstigen Kontrollberechtigten, wie z. B. der betriebliche Datenschutzbeauftrage und der Beauftragte für Arbeitssicherheit, sollten in das Zutrittsrecht einbezogen werden.
Trennung der privaten und dienstlichen Nutzung
Eine private Nutzung der vom Arbeitgeber zur Verfügung gestellten IT-Ausstattung sollte unzulässig sein. Personenbezogene Daten und andere vertrauliche Informationen sollten nicht auf privater Hardware verarbeitet werden dürfen. Sollten private Geräte für HomeOffice und mobiles Arbeiten zulässig sein, sollten auf dem Gerät getrennte Sicherheitsbereiche eingerichtet werden in denen zwischen privaten und betrieblichen Daten unterschieden werden kann. Der Sicherheitsbereich zur dienstlichen Nutzung sollte außerhalb der Kontrolle des Mitarbeiters liegen. Eine Datenübertragung zwischen den Bereich sollte ausgeschlossen sein. Die Weiterleitung von beruflichen E-Mails an ein privates Postfach sollte ebenso wie der Versand von beruflichen E-Mails von einem privaten Postfach untersagt sein.
Betriebsvereinbarung
Es sollte eine Betriebs-/Dienstvereinbarung mit den Grundsätzen zum Datenschutz und zur Informationssicherheit im HomeOffice und dem mobilen Arbeiten geben. Diese Vereinbarung sollte die Verantwortlichkeiten für Datenschutz und Informationssicherheit klar regeln. Dabei ist darauf zu achten, dass bei der Entscheidung ob eine Tätigkeit im HomeOffice durchgeführt werden kann, frühzeitig der Datenschutzbeauftragte einzubinden ist. (Art. 38 Abs. 1 DSGVO)
Verzeichnis der Verarbeitungstätigkeiten
Die Verlagerung oder Erweiterung einer Verarbeitungstätigkeit in das HomeOffice oder mobilem Arbeiten ist im Verzeichnis der Verarbeitungstätigkeiten zu berücksichtigen.
HomeOffice ist eine wichtige Maßnahme in der aktuellen Situation. Wir als Datenschutzbeauftragte unterstützen diese Maßnahmen und möchten gerne dafür sorgen, dass auch während dieser Zeit das Datenschutz- und Sicherheitsniveau aufrechterhalten bleibt. Fragen dazu beantworten wir natürlich gerne, auch aus dem HomeOffice.
Zutritt zur Wohnung für Kontrollen bezügl. Datenschutz sind laut Datenschutz-Wegweiser der BfDI (Punkt 9 – Seite 20, 21) nur auf Telearbeit zu beziehen.
Bei „mobilem Arbeiten“ sehe ich eine Verletzung der Grundrechte nach Artikel 13 GG.
Wir sehen hier eine Verletzung der Grundrechte nach GG.
Vielen Dank für Deinen Kommentar. Die Kontrolle ist ja in dem Beitrag auch nur auf den HomeOffice Arbeitsplatz angewandt und nicht auf mobiles Arbeiten im erweiterten Sinn. Die Grundrechte nach GG müssen natürlich in jedem Fall gewahrt bleiben.