Wie Unternehmen den Datenschutz bei der Arbeit von zu Hause sicherstellen können
Die Arbeitswelt befindet sich in einem Wandel – was nicht zuletzt auch die Arbeitsplätze betrifft. Durch stetig wachsende Möglichkeiten aber auch Ansprüche der IT, bedeutet dies, dass ein Mitarbeiter nicht notwendigerweise im Büro sein muss, um zu arbeiten. Verschiedene Vorteile begünstigen zudem die Arbeit im Home-Office.
Auch wenn die Arbeit von zu Hause für viele Unternehmen und deren Mitarbeiter praktisch und nicht zuletzt ressourcensparend ist, der Datenschutz darf dabei nicht vernachlässigt werden. Werden personenbezogene Daten bei der Arbeit von zu Hause verarbeitet, dann gelten beim Heimarbeitsplatz die gleichen Vorgaben der Datenschutzgrundverordnung (DSGVO) wie im Büro – um diese einzuhalten, bedarf es unter Umständen besonderer Maßnahmen.
In unserem aktuellen Blog möchten wir von Datenschutzberater.NRW Ihnen kurz erklären, worauf Sie achten sollten, wenn Sie oder ein Mitarbeiter im Homeoffice tätig sind.
Mehr als ökonomische und ökologische Chancen: Homeoffice ein Zukunftsmodell
Warum ein Unternehmen sich entscheidet seinem Mitarbeiter einen Arbeitsplatz im Home Office einzurichten, kann ganz unterschiedliche Gründe haben.
Mögliche Vorteile für Arbeitgeber:
- Weniger Bürofläche wird benötigt (ggf. können sich Mitarbeiter einen Arbeitsplatz vor Ort im Büro teilen)
- Kostenersparnisse (z.B. sinkende Fahrtkosten)
- Flexiblere Arbeitszeiten des Mitarbeiters (Mitarbeiterbindung)
- Fachlich qualifizierte Mitarbeiter können ortsunabhängig gesucht und beschäftigt werden
- Mitarbeitererreichbarkeit vor Ort für Kunden / bei potenziellen Kunden, ohne dass es einer gesonderten Niederlassung bedarf
Diese Liste kann natürlich noch weiter ergänzt werden und ist nicht für jedes Unternehmen, jeden Arbeitsplatz und jeden Mitarbeiter gleichermaßen geeignet. Nicht verschweigen sollte man natürlich auch, dass die Einrichtung eines Homeoffice Mehrkosten verursacht und sicherlich auch viele Nachteile bei der Arbeit von zu Hause entstehen können.
Angesichts der heutigen Entwicklung auf dem Arbeitsmarkt bietet das Homeoffice besonders viele ökonomische und auch nicht zu unterschätzende ökologische Vorteile für die Arbeitswelt – werden doch allein durch die wegfallende Anfahrt zum Arbeitsplatz Ressourcen gespart und ggf. durch wegfallende Ausbauten an einem Unternehmensgebäude weiteren Flächenversiegelungen entgegengewirkt.
Homeoffice und Datenschutz – besondere Situationen erfordern spezielle Maßnahmen
Die aufgeführten Beispiele zeigen, dass das Potential in diesem Bereich sicher noch nicht annähernd ausgeschöpft ist. Was den Datenschutz und die IT-Sicherheit angeht, so muss man sich aber bei allen positiven Auswirkungen des Homeoffice auf die Arbeitswelt darüber im Klaren sein, dass dieses Arbeitsmodell besondere Ansprüche an ein Unternehmen stellt.
Wer von zu Hause arbeitet, trägt auch die Verantwortung für datenschutzrelevante Unterlagen und Dateien, sowie für deren sichere Aufbewahrung. Der Mitarbeiter muss daher dafür Sorge tragen, dass niemand anderer Zugriff auf personenbezogene Daten hat. Die Haftung bleibt aber beim Unternehmen selbst. Auch technische Sicherheitslücken müssen vermieden werden. Durch das Unternehmen muss eine entsprechende Verschlüsselung bei der Übertragung und Nutzung personenbezogener Daten sichergestellt werden. Die Haftung und ggf. eine entsprechende Zusatzvereinbarung muss daher genau durch einen Fachmann geprüft werden.
Umso wichtiger ist, neben den technischen Sicherheitslücken, die es am Arbeitsplatz zu Hause zu schließen gilt, die Schulung und Sensibilisierung der Mitarbeiter. Sie sind das A und O für die Arbeit im Homeoffice. Mehr als im Büro, wo viele Vorgänge – wie die Aktenvernichtung – automatisiert und dokumentiert werden, muss der Mitarbeiter in den eigenen vier Wänden auf die Einhaltung des Datenschutzes und der IT-Sicherheit achten. Personenbezogene Daten sollten nicht offen zugänglich sein, ggf. muss der Raum abgeschlossen werden, abschließbare Schränke vorhanden sein, ein DSGVO-konformer Shredder angeschafft werden (siehe auch unser Blog Datenvernichten aber richtig). Der Drucker sollte ebenfalls nicht für andere zugänglich sein, auch nicht im familiären Umfeld.
Sensibilisieren Sie Ihre Mitarbeiter noch mehr auf die Besonderheiten des Datenschutzes und lassen Sie von einem Fachmann prüfen, ob die Daten ausreichend gesichert und verschlüsselt übermittelt werden. Lassen Sie auch prüfen, ob der Laptop, das Firmenhandy etc. für private Zwecke genutzt werden dürfen – ist das System ausreichend dafür geschützt? Im Zweifel sollte firmeneigene Hardware generell nicht für persönliche Zwecke genutzt werden.
Gesetzliche Vorgaben müssen auch im Homeoffice eingehalten werden
Die gesetzlichen Vorgaben an ein Unternehmen, die durch die DSGVO festgelegt werden (z.B. Informationspflichten für Betroffene, Verarbeitungsverzeichnisse, Datenschutzfolgenabschätzung, TOMs usw.), gelten für die Arbeit im Homeoffice genauso, wie im Unternehmen. Ggf. muss der Homeoffice-Arbeitsplatz gesondert geprüft und datenschutzrechtlich bewertet werden. Einen Schritt weiter geht es dann, wenn ein freier Mitarbeiter mit personenbezogenen Daten arbeitet. Dann kann ein ADV-Vertrag (Auftragsdatenverarbeitung) notwendig sein.
Alles in Allem gilt: Der Schutz der personenbezogenen Daten steht hier noch mehr auf dem Prüfstand als im Unternehmen selbst. Der Mitarbeiter sollte datenschutzrelevante Unterlagen und die genutzten Geräte so handhaben, als würde er vor Ort im Unternehmen arbeiten.
Falls vorhanden sollten Sie bereits bei der Planung eines Heimarbeitsplatzes den Datenschutzbeauftragten des Unternehmens mit einbinden oder einen Datenschutzberater kontaktieren. Bereits bestehende Arbeitsplätze im Homeoffice sollten ebenfalls regelmäßig auf die Einhaltung der DSGVO überprüft werden.
Co-Working-Spaces – gute Lösung, höheres Datenschutzrisiko
Wenn wir schon bei dem Thema Homeoffice und arbeiten von einem anderen Ort, als dem firmeneigenen Büro sind, so sollten wir auch andere Arbeitsmodelle nicht außen vorlassen. Ein mögliches Arbeitsplatzmodell der Zukunft sind die sogenannten Co-Working-Spaces. Grob gesagt, handelt es sich hierbei um Büroräume, bzw. Arbeitsplätze, die man nach Bedarf anmieten kann. Je nach Ausstattung findet man hier verschiedene Möglichkeiten vor, schnell und spontan einen Arbeitsplatz zu nutzen. Notwendig ist meist nur das eigene Arbeitsmaterial wie Notebook, Mobiltelefon o.ä..
Jedem wird hierbei schlagartig klar, welche datenschutzrechtlichen Regeln zusätzlich zu den bestehenden im Büro oder im Homeoffice hinzukommen.
Kurz gesagt: Hier muss sicher sehr genau geprüft werden, welche Daten überhaupt und in welcher Art und Weise verarbeitet werden dürfen. Eine genaue Prüfung der Sicherheitsvorkehrungen zum Schutz personenbezogener Daten ist unerlässlich, auch muss jeder Ausdruck mit personenbezogenen Daten zum Schutz der Betroffenenrechte genau überlegt sein. Da hier auch fremde, nicht firmenzugehörige Personen ggf. Zugriff auf herumliegende Dokumente haben können, muss der Arbeitsplatz noch genauer gesichert und der Zugang zum Computer entsprechend durch ein Kennwort geschützt sein.
Benötigt man im firmeneigenen Büro schon gut geschulte und sensibilisierte Mitarbeiter, erhöht sich dieser Anspruch proportional im Homeoffice und noch einmal in einem Co-Working-Space.
Auf die Nutzung von Firmenunterlagen und Zugängen am Laptop, Handy o.ä. von unterwegs, werden wir noch einmal in einem anderen Blog genauer eingehen. Hierbei werden wir das Thema Co-Working-Spaces dann auch noch ausführlicher thematisieren.
Die DSGVO – (k)ein K.O.-Kriterium für Homeoffice und Co-Working Spaces?
Wenn man bedenkt, welche Risiken durch das Arbeiten im Home-Office oder gar im Co-Working Space entstehen können, kann man verstehen, warum kleine Unternehmen vor diesem Arbeitsmodell zurückschrecken. Gerade kleine und mittlere Unternehmen sollten sich davon aber nicht verunsichern lassen, denn das Arbeiten von zu Hause, auch nur zu bestimmten Tagen, kann sowohl für Mitarbeiter und nicht zuletzt für Unternehmen viele Vorteile haben.
Wenn Sie sich an gewisse Regeln halten und Ihre Mitarbeiter entsprechend schulen und sensibilisieren, können Sie Datenpannen aus dem Weg gehen. Auch hier gilt: Vorsorge ist besser als Nachsorge – erstellen Sie zusammen mit einem Datenschutzberater ein Konzept für die Einhaltung der Datenschutzgrundverordnung (DS-GVO) und dem Bundesdatenschutzgesetz (BDSG).
Besprechen Sie mit Ihrem Ansprechpartner und Ihrem Mitarbeiter auch, was passieren soll, wenn eine Datenpanne vorliegt. Es ist immer gut ein Konzept zu haben, auf das alle Betroffenen zurückgreifen können, wenn doch etwas schief geht.
Sicher im Homeoffice – Datenschutz und IT-Sicherheit aus einer Hand
Ein gut geschulter Datenschutzberater, der sich stetig weiterbildet und somit im Bereich Datenschutz immer up to date ist, kann einem Unternehmen und seinen Mitarbeitern die Tür zum Homeoffice öffnen oder Unternehmen bei bestehenden Homeoffices über die Einhaltung des Datenschutzes beraten.
Mit Datenschutzberater.NRW haben Sie einen kompetenten Partner im Bereich Datenschutz und auf Wunsch auch bei der IT-Sicherheit in Köln, Bonn, Düsseldorf und ganz Nordrheinwestfalen. Wir erstellen für Sie ein praxisnahes Konzept für die Arbeit im Homeoffice, schulen Ihre Mitarbeiter und helfen Ihnen beim Erstellen der nötigen Dokumentationen (Datenschutzfolgenabschätzung, Informationspflichten für Betroffene usw.).
Bei Fragen zur Datensicherheit und zum Datenschutz im Homeoffice können Sie uns gerne kontaktieren oder Sie rufen uns einfach an über unsere FREECALL-Nummer.
Gerne beraten wir Sie auch über unser weiteres Angebot zur Betreuung Ihres Unternehmens:
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.