Daten & Lizenzen
Covid19 - Was gebietet der Datenschutz für das HomeOffice?
Sie haben Ihre Mitarbeiterinnen und Mitarbeiter ins HomeOffice geschickt? Damit tragen Sie aktiv dazu bei, der weiteren Verbreitung des Covid-19-Virus Einhalt zu gebieten. #flattenthecurve
Doch so löblich diese Maßnahme auch ist, sind dabei auch die Regelungen des Datenschutzes zu beachten. Die wichtigsten Eckpunkte für ein datenschutzkonformes HomeOffice haben wir Ihnen zusammengestellt. Bitte sprechen Sie uns an, damit wir Ihnen bei der Umsetzung auch in Ihrem Unternehmen behilflich sein können. Die nachstehenden Anhaltspunkte gelten übrigens auch, wenn gerade keine Heimarbeitszeit durch eine Pandemie erzwungen wird.
- Betriebsvereinbarung
Sofern Sie noch keine Richtlinie oder Betriebsvereinbarung zu digitaler Heimarbeit haben, empfehlen wir Ihnen, ein solche zu erarbeiten, um künftig gewappnet zu sein.
- Pflichten des Arbeitsgebers
Für die Arbeit zu Hause soll der Arbeitgeber IT-Ausstattung zu Verfügung stellen. Die Nutzung privater Geräte ist datenschutzrechtlich nicht darstellbar und den Mitarbeiterinnen und Mitarbeitern nicht zuzumuten. Dies gilt insbesondere für private Mobiltelefone.
Stellt der Arbeitgeber Laptops oder andere Speichermedien wie externe Festplatten oder USB-Sticks zur Verfügung, sollte deren Festplatte zum Schutz gegen Datenverluste verschlüsselt werden.
Es soll über die zur Verfügung gestellten Gerät auch ein Zugriff auf die dienstlichen eMails der Mitarbeiter und weitere interne Kommunikationssysteme möglich sein
Die Zugriffskontrolle muss auch von Extern mindestens durch Kennwortschutz gewährleistet sein. Idealerweise werden verschlüsselte Verbindungen, beispielsweise via VPN, verwendet.
Datenschutzrelevante Unterlagen sollten nur in der zur Erfüllung der Arbeit notwendigen Menge mit nach Hause genommen werden. Zusätzlich sollten verbindliche Regeln für den Umgang mit solchen Dokumenten auch im häuslich-familiären Kontext festgelegt werden.
Sofern Videoplattformen für Treffen, Schulungen, Meetings verwendet werden, ist mit diesen ein Auftragsverarbeitungsvertrag abzuschließen. Einige Plattformen haben das bereits in den Anmeldevorgang integriert.
- Pflichten der Arbeitnehmerinnen und Arbeitnehmer
Sind die Rahmenbedingungen durch den Arbeitgeber geschaffen, obliegt die weitere Umsetzung von Datenschutzmaßnahmen jedem Einzelnen.
Es ist bei der Arbeit von zu Hause aus darauf zu achten, dass Daten nicht von Dritten eingesehen werden können. Datenschutzrelevante Dokumente und Dateien müssen auch im häuslich-familiären Umfeld dem Zugriff unbefugter Personen entzogen werden. Ideal ist ein separater, abschließbarer Raum oder zumindest ein abschließbarer Schrank zur Verwahrung von sensiblen Dokumenten und Geräten. Computer sollten gesperrt werden, wenn nicht an ihm gearbeitet wird; auch wenn man nur kurz den Arbeitsplatz verlässt.
Sind Telefonat oder Videokonferenzen zu führen, sollte dies nach Möglichkeit unter Ausschluss Dritter Personen erfolgen.
Die zu Dienstzwecken zur Verfügung gestellte IT, darf nicht (und auch nicht ausnahmsweise) für private Zwecke genutzt werden. Das bedeutet auch, dass berufliche eMails nicht zur Bearbeitung an private eMail-Postfächer der Mitarbeiterinnen und Mitarbeiter weitergeleitet werden dürfen. Private Speichermedien dürfen nicht benutzt werden.