Datensicherheit, Tipps

Homeoffice: Der DSGVO-konforme Umgang mit Daten

Veröffentlicht am von Ingrid Wohlmuth
Homeoffice: Der DSGVO-konforme Umgang mit Daten | praxis- & personalberatung wohlmuth

Die Corona Pandemie hat viele Unternehmen dazu gezwungen, ihre Mitarbeiter vom Homeoffice aus tätig werden zu lassen. Um die Arbeit auch zu Hause gesetzeskonform zu gestalten, braucht es klare Regeln zum Datenschutz. Wie können Beschäftigte unterstützt werden, Firmendaten im Homeoffice DSGVO-konform abzulegen?

Mobiles Arbeiten und Homeoffice stellen Arbeitgeber vor neue Herausforderungen beim Datenschutz. Was nicht unter den Tisch fallen darf: Auch hier trägt das Unternehmen die datenschutzrechtliche Verantwortung.

Nehmen Mitarbeiter sensible Firmen-, Mitarbeiter- oder Patientendaten mit nach Hause, müssen diese dort genauso gut vor fremdem Einblick geschützt sein wie am Arbeitsplatz. Mit den folgenden Tipps kann für eine datenschutzkonforme Arbeit der Mitarbeiter im Homeoffice gesorgt werden:

Tipp 1: Bereitstellen sicherer Geräte für das Homeoffice

Ein guter Anfang ist das Bereitstellen geeigneter Arbeitsgeräte, um Datensicherheit zu gewährleisten. So kann das Unternehmen bestimmen, wer auf welche Bereiche Zugriff hat und welche Funktionen verfügbar sind. Bei der Einrichtung der Geräte sollten folgende Punkte beachtet werden:

  • Laptops, Smartphones und andere Firmengeräte benötigen aktuelle Software, die keine Sicherheitslücken aufweist.
  • Das Gerät muss passwortgeschützt und alle Festplatten müssen verschlüsselt sein. Das gilt ebenso für externe Datenträger wie USB-Sticks. Für eine sichere Aufbewahrung von sensiblen Datenträgern ist ein Datenschutztresor zu empfehlen. Dieser schützt nicht nur vor unerwünschten Zugriffen, sondern bietet auch zuverlässigen Feuerschutz für das jeweilige Speichermedium und für Papierdokumente.
  • Es sollten Mindestanforderungen für Passwörter (z. B. mindestens 8 Zeichen, davon eine Zahl und ein Sonderzeichen) festgelegt und die Passwortverwaltung geregelt werden. Zugangsdaten gehören dabei keinesfalls in ein offenes Dokument. In einer sicheren Passwort-Datenbank sind sie gut aufgehoben.
  • Zugriffsberechtigungen sollten nur soweit notwendig erteilt werden: Das Risiko von fehlerhafter Bedienung und Missbrauch wird damit auf ein Minimum reduziert.
  • Das Unternehmen sollte vorher entscheiden, ob der Firmenlaptop für private Zwecke verwendet werden darf. Am besten den privaten Gebrauch gänzlich untersagen. Andernfalls ist eine strikte Trennung von privater und beruflicher Nutzung notwendig.

Stellt das Unternehmen keine Geräte bereit und arbeitet nach dem BYOD-Prinzip (»Bring Your Own Device«), ist die Trennung von Beruflichem und Privatem noch wichtiger. Die Absicherung des betrieblichen Bereichs sollte das Unternehmen übernehmen.

Tipp 2: Regelmässige Wartung der Geräte

Werden vom Unternehmen Arbeitsgeräte für die Telearbeit zur Verfügung gestellt, ist eine regelmässige Wartung nötig. Es entstehen empfindliche Sicherheitslücken, wenn Programme und Systeme nicht durch Software-Updates aktuell gehalten werden.

Die Aktualisierung sollte am besten von Unternehmensseite aus geregelt werden. Eine vertrauenswürdige Fernwartungssoftware eignet sich dafür gut. Das Unternehmen sollte darauf achten, dass nur autorisierte Personen Fernzugriff auf die Geräte der Mitarbeiter haben.

Tipp 3: Klare Regeln für digitale und gedruckte Daten

Für den richtigen Umgang mit Dokumenten auf dem Bildschirm und abseits davon sollte das Unternehmen ein klares Konzept entwickeln. Darin sollte genau festgelegt sein, wohin digitale Inhalte gehören, was mit den Ausdrucken passiert und wie nicht mehr benötigte Dokumente entsorgt werden. Dieses Konzept sollte vom Unternehmen klar und eindeutig an seine Mitarbeiter kommuniziert werden.

Datenschutz bei digitalen Daten

Digitale Dokumente sollte das Unternehmen auf dem Firmenserver abspeichern. Die Mitarbeiter haben so von überall aus darauf Zugriff und es kann nichts verloren gehen. Zudem hat das Unternehmen die Sicherheit selbst in der Hand. Ist vorübergehend nur eine lokale Speicherung möglich, dann unbedingt verschlüsselt.

Datenschutz bei gedruckten Dokumenten

Bei Unterlagen auf Papier gilt: Es wird nur ausgedruckt, was wirklich notwendig ist. Geht es nicht anders, schützt ein absperrbarer Dokumentenschrank den Inhalt vor fremden Augen. Das Unternehmen sollte eine Clean-Desk-Policy einführen und seine Mitarbeiter dafür sensibilisieren, kritische Unterlagen nicht offen liegenzulassen.

DSGVO-gerechte Datenvernichtung

Nicht mehr benötigte Dokumente dürfen nicht einfach weggeworfen werden. Das Unternehmen sollte definieren, wo das Vernichten der Daten geschieht. Beispielsweise kann dafür ein Schredder bereitgestellt werden. Eine andere Möglichkeit ist, die Ausdrucke wieder mit an den Arbeitsplatz zu bringen, um sie dort fachgerecht zu vernichten.

Tipp 4: Sichere Datenübertragung zwischen Unternehmen und Homeoffice

Das Unternehmen sollte zu verschlüsselten Kommunikationstools neuesten Stand der Technik greifen, um die Vertraulichkeit beim Übermitteln von Daten zu gewährleisten. Dabei geht es in erster Linie um E-Mail-Programme oder firmeninterne Chat-Tools.

Ausserdem sollte das Unternehmen mit seinen Angestellten besprechen, dass berufliche E-Mails nicht an private Adressen weitergeleitet werden dürfen. Für den Zugriff auf Dokumente aus dem Firmennetzwerk sollte das Unternehmen einen geschützten VPN-Zugang einrichten.

Im weitesten Sinne erstreckt sich Datenübertragung auch auf ausgedruckte Dokumente. Tragen Mitarbeiter beim Wechsel vom Arbeitsplatz ins Homeoffice solche Unterlagen bei sich, müssen diese ebenfalls geschützt sein. Dafür bieten sich z. B. abschliessbare Dokumentenmappen an. So kann bei Diebstahl oder Verlust nichts passieren.

Tipp 5: Ansprechpartner für den Datenschutz

Kommunikation ist ein wichtiger Punkt für eine erfolgreiche Datenschutzstrategie. Das Unternehmen sollte dafür sorgen, dass Mitarbeiter immer genau wissen, an wen sie sich bei Fragen wenden können. Das kann der Unternehmensinhaber selbst oder der Datenschutzbeauftragte sein. Wichtig ist nur, dass der Ansprechpartner klar definiert ist.

Tipp 6: Anbieten einer Datenschutz-Schulung

Um vorweg viele Fragen zum Thema Datenschutz zu beantworten, bietet sich eine Schulung vom Datenschutzbeauftragten an. Diese sollte ausführlich behandeln, welche Risiken im Homeoffice bestehen und welche Schutzmassnahmen das Unternehmen dagegen trifft. Wissen die Angestellten Bescheid, warum die Datenschutzvorschriften so wichtig sind, erhöht das Unternehmen damit die Akzeptanz.

Tipp 7: Regelungen in einer Vereinbarung festhalten

Alle Regelungen sollten nicht nur mündlich, sondern auch schriftlich in einer Homeoffice-Datenschutzvereinbarung festgehalten werden. Zusätzlich kann darin festgelegt werden, ob der Datenschutzbeauftragte die Berechtigung hat, die Einhaltung der DSGVO im Homeoffice zu kontrollieren. Eine solche häusliche Kontrolle ist allerdings weniger zu empfehlen, da sie das Vertrauensverhältnis zwischen Unternehmen und Mitarbeiter belastet. Es sollte besser auf Information und Sensibilisierung gesetzt werden.

Fazit

Datenschutz betrifft den Arbeitsplatz und das Homeoffice gleichermassen. Am leichtesten ist eine DSGVO-konforme Telearbeit, wenn sich Unternehmen und Mitarbeiter dabei verständlich, eindeutig und verbindlich abstimmen. Diese sieben Tipps helfen Mitarbeiter dabei, die Datenschutzrichtlinien auch im Homeoffice richtig umzusetzen.

Schreiben Sie einen Kommentar