Das Homeoffice- eine rechtsfreie Zone?

Früher, als es kein „Homeoffice“ gab, hat man sich ganz einfach Arbeit mit nach Hause genommen- und die Akte am nächsten Tag pflichtbewusst wieder ins Büro gebracht. Heutzutage ist „Homeoffice“ je nach Kontext entweder ein Argument pro zukünftigem Arbeitgeber oder eine Strafe incl. Isolationshaft für unschuldige Mitarbeiter. Mit den vielen digitalen Kommunikationswegen steigt das Risiko, dass sensible Daten in unbefugte Hände geraten.

Spätestens seit dem Inkrafttreten der DSGVO werden für Datenpannen hohe Strafen verhängt, was letztendlich für den Arbeitgeber eine gesteigerte Verantwortung bedeutet.

Grundsätze von Datenschutz

Einer der elementaren Grundsätze von Datenschutz besteht darin, dass jeder Mitarbeitende nur die Daten sehen darf, die für die Arbeit benötigt werden. Beispielsweise benötigt ein Sachbearbeiter in der Schadensabwicklung einer Autoversicherung nicht die Verkaufszahlen des Außendienstes. Genauso selbstverständlich dürfen keine Interna an Außenstehende gelangen – dies sind bereits die eigenen Kinder oder Ehepartner.

Homeoffice oder zu Hause arbeiten?

Hier gibt es einige (steuer- und arbeitsrechtliche) Feinheiten, die jedoch keinen Einfluss auf den  Datenschutz haben. Dies beginnt damit, sich über den Lauf der Daten (Lebenszyklus) Gedanken zu machen. Lassen sich alle Daten digital verarbeiten? Muss ein Mitarbeiter Papier (Formulare etc.) außerhalb der Firma bearbeiten oder lagern?

Datentransfer via USB-Sticks (bsp. in der Firma gescannte Dokumente oder vergangene Angebote an Kunden) oder Datensicherung auf USB-Festplatten ist ebenfalls sensibel. In derartigen Fällen ist dafür zu sorgen, dass die Dokumente sicher verschlossen werden können und bei Entsorgung mit einem geeigneten Shredder vernichtet werden. Externe Datenträger müssen mit Verschlüsselung geschützt werden. Hier ist das in Windows integrierte Tool „Bitlocker“ eine kostenlose Möglichkeit, welche auch bei Verlust des Datenträgers schützt.

Mein Rechner, Dein Rechner?

Eine oft gestellt Frage lautet, ob der private PC Datenschutz-konform für Homeofficearbeit genutzt werden kann. Die Gegenfrage lautet, wer sonst zu dem PC Zugang hat (bsp. Familienmitglieder), die potentiell die bearbeiteten Dateien oder deren gecachte Kopien einsehen können. Ist der PC zuverlässig gegen Viren oder sonstige Dinge wie Keylogger geschützt, die Daten abfliessen lassen können? Da die Antwort meist Nein lautet, sollte ein durch die Firmen-IT verwalteter Rechner gestellt werden.

In beengten Verhältnissen oder mobilem Arbeiten im Zug ist die Verwendung einer zusätzlichen Bildschirmfolie sinnvoll, die den Blickwinkel einschränkt. Eine solches umschaltbares Display ist in manchen Business Notebooks eingebaut.

Datenübertragung als Sicherheitsrisiko

Ein weiteres Risiko besteht in der Datenübertragung. Selbst wenn die Daten prinzipiell in der Firma liegen, kann während der Datenübertragung ins Homeoffice Unheil passieren. Spätestens bei Umgang mit personenbezogenen Daten schreibt die DSGVO eine sichere (=verschlüsselte) Übertragung vor. Das bedeutet, dass alle Kommunikation beispielsweise per VPN oder zumindest https-Protokoll des Webbrowsers zu erfolgen hat. Gleiches gilt für Email oder Online-Meetings. Hier ist das beliebte Produkt Zoom kürzlich in Verruf geraten, da Konferenzen nicht ausreichend gegen unbefugten Zugriff gesichert waren.

Auch Chats via Whatsapp, Snapchat etc. sind aufgrund der Zwischenspeicherung beim (ausländischen!) Anbieter nicht als sicher anzusehen. Ähnlich ist die Nutzung des privaten Smartphones zu bewerten, wenn damit dienstliche Emails abgerufen (und gespeichert) werden. Hier kann ein Mobile Device Management mit BYOD (Bring your own Device) die Lösung darstellen, indem kritische Daten separat gehalten werden.