Kostenloser Download:Checkliste für den Datenschutz im Home-Office

Datei-Typ Microsoft Word
Version 2.1 (Changelog)
Aktualisiert 2. November 2017
Sprachen Deutsch
Bewertungen
[53 Bewertung(en)/ratings]

Alle Datenschutz-Themen

  • Der betriebliche Datenschutzbeauftragte

  • Grundsätze der DSGVO

  • Verzeichnis von Verarbeitungstätigkeiten

  • Datenschutzfolgenabschätzung (DSFA)

  • Auftragsverarbeitung

  • Betroffenenrechte

  • Datenschutzaudit

  • Aufsichtsbehörden

  • Datenpanne / Datenschutznotfall

  • Beschäftigtendatenschutz

  • Datenschutz im Marketing

  • Technischer Datenschutz

  • Datentranfer

Das Home-Office wird zur Normalität: Immer mehr Unternehmen erlauben ihren Mitarbeitern, Teile ihrer beruflichen Tätigkeit von zu Hause oder von einem anderen Ort außerhalb des Büros aus zu erledigen – die sogenannte Telearbeit.

Für die Arbeit im Home-Office und von unterwegs sollte die Geschäftsführung jedoch eindeutige und transparente Regeln aufstellen, um die Rechte und Pflichten beider Seiten klarzustellen. Dies betrifft insbesondere den einzuhaltenden Datenschutz – egal wo und auf welchem Endgerät die Mitarbeiter tätig werden.

Es ist sehr zu empfehlen, die Einhaltung dieser Regelungen durch beide Parteien schriftlich zu vereinbaren, vor allem um unnötige Missverständnisse und Haftungsfälle zu vermeiden. Unsere kostenlose Checkliste zum Datenschutz beim Arbeiten im Home-Office und von unterwegs gibt Ihnen eine empfehlenswerte Struktur vor. So übersehen Sie bei der Umsetzung der notwendigen Datenschutzmaßnahmen hinsichtlich der Telearbeit Ihrer Mitarbeiter keine wichtigen Punkte.

Datenschutz bei der Arbeit im Home-Office und von unterwegs

Heutzutage gehören Home-Office-Tage immer öfter zum Unternehmensalltag. Gründe für ein solch flexibles Arbeitsmodell finden sich viele, etwa die Steigerung der Mitarbeitermotivation und Effizienz, die Verbesserung der Work-Life-Balance, die Entlastung der Arbeitnehmer oder die Familienfreundlichkeit.

Auch die Nutzung mobiler Endgeräte des Unternehmens wie Laptops oder Smartphones von unterwegs aus (beispielsweise in der Bahn oder beim Kunden) wird durch die zunehmende Verbreitung solcher Geräte in immer mehr Unternehmen zur Selbstverständlichkeit.

Doch die datenschutzrechtliche Verantwortlichkeit endet nicht an der Unternehmenstür! Auch im Home-Office bzw. bei der Telearbeit müssen die Voraussetzungen zur Einhaltung der bestehenden datenschutzrechtlichen Bestimmungen gegeben sein. Die Verantwortlichkeit des Unternehmens und damit ggf. auch die persönliche Haftung der Geschäftsführung bleiben bestehen.

Das alte Bundesdatenschutzgesetz (BDSG) gab mit den acht Datenschutzgeboten in der Anlage zu § 9 konkrete Vorgaben für die zu treffenden technischen und organisatorischen Maßnahmen zum Schutz von Daten. Die EU-Datenschutz-Grundverordnung (DSGVO) nennt zwar einige konkrete Maßnahmen, wie z. B. Pseudonymisierung oder Verschlüsselung. Gleichzeitig stellt die DSGVO aber klar, dass diese Aufzählung nicht abschließend ist und es im Ergebnis darauf ankommt, dass die jeweils tatsächlich getroffenen Maßnahmen „ein dem Risiko entsprechendes Schutzniveau“ gewährleisten müssen.

Wir empfehlen deshalb, sich bei der Auswahl der geeigneten technischen und organisatorischen Maßnahmen generell und auch bei der Telearbeit an den Maßnahmekatalogen der ISO 27001 (nativ) oder an ISO 27001 auf Basis IT-Grundschutz (BSI-Grundschutz) zu orientieren. Hierbei gilt: Die darin enthaltenen Anforderungen sollten – sofern relevant – stets umgesetzt werden, d. h. zu jedem Themenbereich sollten Maßnahmen getroffen werden, egal wo die Daten verarbeitet werden.

Die Auswahl der konkreten Maßnahmen sollte sich nach dem konkreten Risiko der Verarbeitung am jeweiligen Ort richten (die DSGVO stellt bei der Risikobewertung auf Art, Umfang, Umstände und Zwecke der Verarbeitung sowie auf die tatsächliche Eintrittswahrscheinlichkeit eines Risikos ab).

Der ISO 27001 Maßnahmenkatalog enthält Maßnahmen zu folgenden Themen:

  1. Organisation der Informationssicherheit
  2. Personalsicherheit
  3. Asset Management
  4. Zugriffskontrolle
  5. Kryptogrammen
  6. Physische und Umgebungssicherheit
  7. Betriebssicherheit
  8. Kommunikationssicherheit
  9. Compliance

Als Ausgangspunkt zur Umsetzung der notwendigen Maßnahmen dienen zunächst die Erstellung grundlegender Regelungen und die Bereitstellung der technischen Infrastruktur. Bei den Regelungen geht es beispielsweise darum, festzulegen, welche Daten das Unternehmen niemals verlassen und auf welche Art die Daten übermittelt werden dürfen oder um technische Belange, wie z. B. die Einrichtung einer VPN-Verbindung und die Befugnis zur Nutzung derselben.

Arbeit auf dienstlichen Endgeräten im Home-Office und von unterwegs

Aus Datenschutzgründen ist es empfehlenswert, Mitarbeitern für die Arbeit im Home-Office oder von unterwegs dienstliche Endgeräte zur Verfügung zu stellen, den Einsatz privater Geräte zu verbieten und dies, soweit möglich, auch technisch zu unterbinden.

Auf diese Weise können Vorgaben z. B. zu regelmäßigen Updates oder zur Einrichtung eines Virenschutzes und einer Firewall gemacht und durchgesetzt werden. Auch sollte über eine Festplattenverschlüsselung bei mobilen Endgeräten nachgedacht werden, so dass die Daten bei Verlust des Geräts vor dem Zugriff Unbefugter geschützt sind.

Neben den Maßnahmen, die noch im Unternehmen umgesetzt werden können, sind in der häuslichen Arbeitsstätte des Mitarbeiters weitere Vorkehrungen und Anweisungen erforderlich.

Datensicherung bei der Telearbeit

Daten außerhalb der gesicherten Arbeitsstätte zu verarbeiten, birgt das Risiko eines Datenverlustes, insbesondere wenn keine Vorgaben zur regelmäßigen Datensicherung existieren. Werden Arbeitsergebnisse lokal gespeichert, fließen die Daten nicht mehr in die Datensicherung des Unternehmens ein. Es ist deswegen äußerst empfehlenswert, die Systeme des Unternehmens zu nutzen und keine lokale Speicherung zu erlauben.

Grundlegende Datenschutz-Kenntnisse für das Arbeiten im Home-Office bzw. Telearbeit

Da Mitarbeiter in der häuslichen Arbeitsstätte und auch beim Arbeiten unterwegs den Schutz von Daten und Informationen gegenüber Dritten (z. B. Familienangehörigen) zu gewährleisten haben, sollten sie bezüglich datenschutzrechtlicher Belange besonders geschult und sensibilisiert sein, um einen Blick für den Schutz der Daten zu entwickeln. So müssen Mitarbeiter Maßnahmen kennen, um vertrauliche Daten und Informationen vor Einsicht und Zugriff Dritter zu schützen, wie z. B. die Ausrichtung des Monitors, die Verwendung eines Blickschutzfilters oder die Einrichtung eines automatischen, passwortgeschützten Bildschirmschoners.

Nicht vernachlässigen sollten Sie auch Regelungen zum Umgang mit gedruckten Dokumenten, z. B. dass diese nach deren Nutzung zu schreddern sind und keinesfalls als Schmier- noch Malpapier für Kinder zweckentfremdet werden sollten.

Sie wollen den Datenschutz lieber in professionelle Hände legen? Dann bestellen Sie uns jetzt zum Festpreis als externen Datenschutzbeauftragten!

Changelog