Blog07.10.2022

Datenschutz im Homeoffice

von casc

Homeoffice Illustration

Bild: CASC – full service agentur GmbH

Die Arbeit von zu Hause erlebte im letzten Jahr einen regelrechten Aufschwung. ­Heimarbeit scheint unkompliziert. Jedoch stellt sie ­spezielle Herausforderungen für das ­Befolgen der Vorgaben für Integrität und Vertraulichkeit. Der Datenschutz endet nicht bei den Unternehmens­räumlichkeiten. Für eine adäquates Schutz- und ­Sicherheitsniveau sind sowohl Dienst­geber, als auch Dienstnehmer gefordert.

Im Großen und Ganzen besteht die Gefahr darin, dass die Sicherheitsansprüche im Bezug auf Daten nicht gewährleistet werden können und Dritte somit  Zugriff auf Unternehmensinterna erlangen. Was sind denkbare Szenarien beim Homeoffice und mögliche Konsequenzen? 

Kleine Lücken, große Folgen

Im Homeoffice existieren viele Möglichkeiten, unbeabsichtigt gegen datenschutzrechtliche Vorgaben zu verstoßen. Die Konsequenzen sind weitreichend. Schadensersatzansprüche oder verwaltungsbehördliche Strafen können die Folge sein.  Es gilt daher, die Telearbeit sorgfältig zu planen und aufzusetzen. Das Sicherheitsniveau, das in den Unternehmensräumlichkeiten notwendig ist, darf durch das Homeoffice nicht herabgesetzt werden. Alle Schutzmaßnahmen gestalten sich unter diesem Blickwinkel. Letztlich darf kein maßgeblicher Unterschied im Sicherheitsniveau bestehen, ob die jeweilige Person nun den Aufgaben im Büro oder von zu Hause aus nachkommt.

„Homeoffice und Datenschutz müssen sich nicht ausschließen.“

Planung bringt Sicherheit

Wir empfehlen klare Vorgaben für das Homeoffice. Ein eigener Arbeitsplatz soll eingerichtet und die Nutzung von privaten Geräten abgeklärt werden.
So wird für einen sicheren Zugriff auf Systeme, Datenbanken und Anwendungen gesorgt. Oberstes Gebot ist es, diejenigen Mitarbeiter, die ihre Tätigkeit ganz oder teilweise im Homeoffice ausüben, entsprechend zu informieren und zu sensibilisieren. 

Dies gilt umso mehr, wenn die Telearbeit auch -längerfristig im Unternehmen, im Sinne einer -Flexibilisierung der Arbeit, fortgeführt wird. Homeoffice und Datenschutz schließen sich nicht aus. Bei einer entsprechend sorgfältigen Gestaltung der Prozesse, und ausreichender Unterstützung der Mitarbeiter inklusive der -Ausstattung mit den notwendigen Ressourcen, lassen sich Risiken der Realisierung von Datenschutzver-letzungen und -IT–Sicherheitspannen deutlich eingrenzen.

1. Persönliche Geräte

Private Geräte sind oftmals nicht entsprechend ­konfiguriert. Sie haben keine Verschlüsselung der Datenträger, erlauben Gerätezugriff auch ohne ­Passwörter oder besitzen ­keine Fernlösch­möglichkeiten. Im Haushalt lebende Personen haben zumeist ­Zugriff darauf. Ein Verlust von Geräten mit ­unverschlüsselten Datenträgern bedeutet ­unbefugte Offenlegung von Daten. Riskant ist auch, dass diese nicht vollständig in die Unternehmenssphäre ­gelangen und so unter anderem bei Backup-­Prozessen nicht ­berücksichtigt werden.

2. Firmenkommunikation

Im Falle beruflicher Kollaboration über einen ­unsicheren, Kommunikations­kanal, können Unbefugte die Kommunikation mitverfolgen. Oftmals werden bei der Auswahl des entsprechenden Dienstleisters ­Aspekte der Datenweitergabe in Drittstaaten (z. B. Server außerhalb EU/EWR) nicht ausreichend berücksichtigt. Das Unternehmen verstößt somit gegen die allgemeinen Grundsätze der Datenübermittlung. Strafen bis zu Strafrahmen € 20 Mio oder 4 % des gesamten weltweit erzielten Jahresumsatzes können die Folge sein.

3. Nutzung privater Accounts

Mitarbeiter nutzen möglicherweise ­private E-Mail-Accounts für berufliche Zwecke, die im beruflichen E-Mail-­Account eingerichteten Sicherheitslayer ­greifen dann nicht, Schadsoftware ­gelangt auf das genutzte Endgerät und Daten werden ausgelesen.

4. Sichere Aufbewahrung von Daten

Wenn Mitarbeiter zu Hause ausdrucken, besteht die Gefahr, dass die Dateien nicht versperrt aufbewahrt werden bzw. nicht sicher durch Shreddern der Papierseiten vernichtet werden, sondern dass eine Entsorgung ungeschützt im Haus-Altpapier erfolgt.