Die Auslagerung von geschäftlichen Tätigkeiten der Angestellten erfordert eine Reihe technischer und organisatorischer Maßnahmen, die die Kanzlei- oder Unternehmensleitung bereits im Vorfeld in die Wege leiten sollte.
Die Erfahrungen der letzten Monate zeigen weiterhin, dass die Meinungen über mobile Arbeit und Homeoffice stark auseinandergehen. Gesprochen wird von absolutem Tabu, notwendigem Übel und lang ersehnter Lösung. Spätestens jedoch die Corona-Pandemie hat gezeigt, dass wir uns damit beschäftigen müssen. Es sind Lösungen für eine schnelle und zugleich datenschutzkonforme Umsetzung gefragt.
Das Wichtige vorweg
Sowohl beim Mobile (Remote-Arbeit) als auch beim Homeoffice wird die Arbeit außerhalb der geschäftlichen Räumlichkeiten des Arbeitgebers verrichtet. Im Fall von Homeoffice ist die Arbeitsstätte jedoch an die privaten vier Wände der Beschäftigten gebunden. Der mobile Arbeitsplatz ist vollständig unabhängig vom Aufenthaltsort des Personals. Bezogen auf den Datenschutz gelten in den genannten Fällen jedoch dieselben Anforderungen. Besonders zu beachten ist, dass diese nicht auf die Kanzleiräumlichkeiten beschränkt sind. Die verantwortliche Stelle für die Verarbeitung der personenbezogenen Daten bleibt weiterhin die Kanzlei, unabhängig davon, an welchem Ort die Daten verarbeitet werden. Die Geschäftsleitung sollte daher ein hohes Interesse daran haben, dass die Verarbeitung personenbezogener Daten auch am mobilen Arbeitsplatz oder im Homeoffice im Einklang mit den Grundprinzipien des Datenschutzes erfolgt. Die betroffenen Personen und deren Daten sind unter Anwendung von technischen und organisatorischen Maßnahmen zu schützen.
Umsetzung technischer Maßnahmen
Die Erfahrungen haben gezeigt, dass die Nutzung der privaten Endgeräte der Beschäftigten im Homeoffice oder am Remote-Arbeitsplatz zu zahlreichen Sicherheitsmängeln führen kann. Unternehmenseigene Hard- und Software sind aufgrund der möglichen Homogenität der Produkte effizienter zu administrieren. Die gewünschten Sicherheitseinstellungen und die Installation der Virenschutz-Software sowie des aktuellen Betriebssystems können schon vor Auslieferung an die Angestellten getroffen und durchgeführt werden. Daher wird die Bereitstellung von Hard- und Software durch die Kanzlei definitiv empfohlen. Kann die Nutzung privater Geräte jedoch nicht vermieden werden, sind die Mitarbeiterinnen und Mitarbeiter zu verpflichten, das Betriebssystem und die Antiviren-Software des Endgeräts aktuell zu halten. Die Updates enthalten in der Regel Patches, um bekannte Sicherheitslücken zu schließen. Besonders bei der Verwendung von Privatgeräten sind andere Personen von der Nutzung des Systems auszuschließen. Ein weiteres Risiko birgt der externe Zugriff auf das Kanzleinetzwerk.
Daher ist eine verschlüsselte VPN-Verbindung nach aktuellem Stand der Technik zwischen dem Arbeitsgerät und dem Unternehmensnetzwerk herzustellen. Hier ist zudem eine Zweifaktorauthentifizierung einzurichten. Zu beachten ist an dieser Stelle, dass die zweimalige Eingabe eines Passworts nicht als Zweifaktorauthentifizierung gewertet werden kann. Es sollten immer unterschiedliche Faktoren, wie beispielsweise eine Wissenskomponente (PIN/Passwort nach aktuellen Sicherheitsempfehlungen) sowie eine Besitzkomponente (Hardware-Token), eingesetzt werden. Als Alternative zur Besitzkomponente kann ein individuelles Software-Zertifikat auf dem jeweiligen Client installiert werden. Sofern notgedrungen private Endgeräte eingesetzt werden müssen, ist darauf zu achten, dass eine sichere Remote-Verbindung zu einem Terminal-Server aufgebaut wird, da eine strikte logische Trennung von geschäftlichen und privaten Daten erforderlich ist. In vielen Fällen werden Notebooks, Tablets und Smartphones als Arbeitsmittel eingesetzt. Die Mobilität der Systeme stellt ein erhebliches Risiko dar. Die lokale Datenspeicherung auf den Festplatten ist zu untersagen, da eine erhöhte Wahrscheinlichkeit des Verlusts des Geräts aufgrund der Mobilität besteht. Nichtsdestotrotz kann es im Arbeitsalltag vorkommen, dass Daten lokal gesichert werden, weswegen eine Festplattenvollverschlüsselung bei mobilen Endgeräten vorzunehmen ist. Es ist schließlich auch daran zu denken, dass die ergriffenen technischen Schutzmaßnahmen nicht nur umgesetzt, sondern im Sinne der Rechenschaftspflicht gemäß Art. 5 Abs. 2 der Datenschutz-Grundverordnung (DS-GVO) auch schriftlich dokumentiert werden müssen.
Umsetzung organisatorischer Maßnahmen
Gemäß der genannten Rechenschaftspflicht ist neben der Dokumentation der technischen Schutzmaßnahmen auch die Erstellung einer schriftlichen Verhaltensrichtlinie für Beschäftigte erforderlich. Zum einen erhalten Mitarbeiterinnen und Mitarbeiter hierdurch ein Nachschlagewerk der organisatorischen Maßnahmen und zum anderen erfüllt die Kanzleileitung die Nachweispflicht gegenüber der zuständigen Aufsichtsbehörde. Ein eigenes Kapitel zum mobilen Arbeiten und zu Homeoffice muss in diesem Dokument aufgeführt werden, da es hier Abweichungen zu den Vorgaben für das Verhalten in der Kanzlei geben kann. Ein besonderes Augenmerk sollte auf Maßnahmen liegen, die vor unberechtigter Einsichtnahme in sensible Inhalte und vor dem unbefugten Mithören von Gesprächsinhalten am Telefon schützen. Im Homeoffice zählen auch Familienmitglieder, Bekannte oder Nachbarn zur Kategorie der unberechtigten Dritten. Nach Arbeitsende sind Arbeitsmittel und Unterlagen daher zugangs- und zugriffsgeschützt aufzubewahren. Fenster und Türen sind bei Telefonaten zu schließen und der PC ist bei kurzfristigem Verlassen des Arbeitsplatzes zu sperren. Systeme mit Sprachassistenten (Smart-TV, Apple HomePod, Amazon Alexa und so weiter) sollten nicht in der unmittelbaren Arbeitsumgebung installiert sein, da auch diese ständig mithören.
Auf den Schutz vor Datenverlust muss ebenso eingegangen werden. Der datenschutzkonforme Transport von IT-Systemen, Datenträgern und Dokumenten zwischen den Geschäftsräumlichkeiten und dem örtlich getrennten Arbeitsplatz ist sicherzustellen. Arbeitsgeräte und Papierunterlagen sollten beim Transport nicht offen zugänglich sein. Eine verschließbare Aktentasche kann bereits eine wirksame Schutzmaßnahme darstellen. Ein weiterer Schutz vor Datenverlust bietet das bereits angesprochene Verbot der lokalen Datenspeicherung auf den Festplatten der genutzten Arbeitsmittel, da beispielsweise der Diebstahl oder Defekt des Endgeräts auch den Verlust der Daten bedeuten würde. Im Idealfall sollte auf die Mitnahme von Papierunterlagen verzichtet werden, da nicht nur der Transport, sondern auch die Entsorgung ein Risiko darstellen kann. Sofern hierauf nicht verzichtet werden kann, ist eine Vorgabe zur Vernichtung vertraulicher Papierunterlagen zu formulieren, da sensible Inhalte nicht im privaten Hausmüll entsorgt werden dürfen.
Weitere organisatorische Maßnahmen
Sobald das Regelwerk schriftlich verfasst wurde, ist es den Beschäftigten bereitzustellen und eine unterschriebene Verpflichtungserklärung zur Einhaltung dieser Verhaltensrichtlinie aller Mitarbeiterinnen und Mitarbeiter einzuholen. Dies trägt zur Rechenschaftspflicht bei und schafft zudem die notwendige Sensibilität. Die Angestellten sollten außerdem eine Checkliste erhalten, die sie zur Überprüfung des eigenen Arbeitsplatzes außerhalb der Kanzlei und dessen Umgebung ausfüllen und anhand offener Punkte Vorkehrungen treffen können. Des Weiteren ist die Durchführung einer wiederkehrenden Mitarbeitersensibilisierung in Datenschutzfragen gesetzlich vorgeschrieben. Eine Teilnahme an einer solchen Unterweisung ist für die Geschäftsleitung sowie die Beschäftigten verpflichtend. Das Fachpersonal (Datenschutzbeauftragte oder Datenschutzkoordinatoren) kann hierin gesondert auf Gefahren im Homeoffice oder am mobilen Arbeitsplatz sowie die bestehenden Pflichten für Beschäftigte eingehen. Eine Mitarbeitersensibilisierung sollte mindestens einmal jährlich durchgeführt werden.
Erschwerte Kontrollmöglichkeit
Die Herausforderung des Arbeitgebers ist die erschwerte Möglichkeit zur Kontrolle der Einhaltung der Maßnahmen. Die Verantwortlichkeit des Arbeitgebers für die datenschutzkonforme Datenverarbeitung birgt jedoch eine gewisse Kontrollpflicht. Inwieweit der Arbeitgeber seine Überprüfung in den privaten Räumlichkeiten der Angestellten umsetzen kann, wird kontrovers diskutiert. Bisher werten Aufsichtsbehörden das Vorhandensein einer schriftlichen Verhaltensrichtlinie und die dazugehörige unterschriebene Verpflichtungserklärung aller Beschäftigten als ausreichend, sodass Vor-Ort-Kontrollen in der Regel entfallen können.
Eine Hilfestellung
Zur Umsetzung der technischen und organisatorischen Maßnahmen lohnt sich ein Blick in die vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) auf dessen Website veröffentlichte Best Practice Datenschutzrechtliche Regelungen bei Homeoffice (Suchbegriff auf der Website des BayLDA: Best Practice Homeoffice). Die Kanzleileitung sollte dieses vor der Einführung von mobilen Arbeitsplätzen oder Homeoffice berücksichtigen.
Das Erfolgsrezept
DATEV unterstützt Sie durch professionelle Berater als externe Datenschutzbeauftragte, aber auch im Rahmen einmaliger Datenschutz-Audits. Außerdem bieten wir Vorlagen für Ihr Datenschutzmanagementsystem sowie für viele gesetzlich geforderte Dokumente, die Ihnen die Umsetzung und Dokumentation erleichtern. Des Weiteren sind Lernvideos zur Mitarbeitersensibilisierung sowie zur Einführung von Homeoffice erhältlich.
Mehr dazu
Weitere Infos zum Datenschutz finden Sie unter www.datev.de/shop
Lernvideo online „Plötzlich Homeoffice – Tipps zum Datenschutz in Krisenzeiten“
DATEV-Consulting „Plötzlich Homeoffice – Führen von verteilten Teams“
