Checkliste für den Umgang mit personenbezogenen Daten
Auch wenn 3G am Arbeitsplatz und die Homeoffice-Pflicht derzeit nicht mehr gelten, so bleiben doch viele Unternehmen dabei Ihren Mitarbeitern zumindest zeitweise die Arbeit in den eigenen Räumen weiter zu ermöglichen. Den sicheren Umgang mit personenbezogenen Daten im Homeoffice haben wir bereits einige Male thematisiert und möchten Ihnen an dieser Stelle noch einmal die wichtigsten Punkte aufzeigen und Ihnen eine Checkliste als Orientierung an die Hand geben.
Datenschutz gilt überall
Der Datenschutz bei der Verarbeitung von personenbezogenen Daten muss überall gewährleistet werden – also auch im Homeoffice. Gerade dort birgt er aber auch besondere Herausforderungen für den Verantwortlichen. Dies beginnt mit der richtigen Software und geht weiter mit der Sicherung und Aufbewahrung der personenbezogenen Daten.
Wenn die Verarbeitung von personenbezogenen Daten im Homeoffice nicht sichergestellt werden kann, drohen Verstöße gegen den Datenschutz und somit auch empfindliche Strafen.
BLOG-TIPP: DS-GVO UND BDSG: BUSSGELDER IM DATENSCHUTZ
Sicherheit im Datenschutz anpassen – Checkliste erstellen
Um den Datenschutz auch im Homeoffice sicher zu stellen, muss der Verantwortliche sich unterschiedliche Fragen stellen, um so das Risiko für die personenbezogenen Daten des Betroffenen zu bewerten. Danach sollte ein angemessenes Konzept zur Umsetzung der Vorgaben erarbeitet werden. Dabei ist die Unterstützung durch einen (externen) Datenschutzbeauftragten, sollte dieser nicht per gesetzlichen Vorgaben sowieso schon berufen werden müssen, ein wichtiger Baustein.
Folgende Punkte gilt es mindestens zu klären:
- Welche Daten müssen im Homeoffice überhaupt verarbeitet werden?
- Kann der Umgang mit personenbezogenen Daten vermieden werden?
- Gibt es die Möglichkeit die Daten pseudonymisiert oder anonymisiert zu verarbeiten?
- Welche Verarbeitungen werden durchgeführt?
- Verarbeitet der Mitarbeiter im Homeoffice personenbezogene Daten oder hat er Zugriff auf diese?
- Welche Kategorien von personenbezogenen Daten werden verarbeitet bzw. auf welche hat der Mitarbeiter im Homeoffice Zugriff?
- Auf welche Art und Weise liegen die Daten vor bzw. werden die Daten verarbeitet?
- Wer kann im Homeoffice unter Umständen Zugriff auf personenbezogene Daten erlangen?
- Welche technischen Hilfsmittel werden zur Arbeit im Homeoffice genutzt? (Laptop, Notebook, PC, Drucker, Scanner, Smartphone – privat oder geschäftlich)
- Welche Unterlagen werden im Homeoffice genutzt?
- Werden Unterlagen mit personenbezogenen Daten ausgedruckt?
- Über welchen Zugang wird auf den Server im Unternehmen zurückgegriffen?
- Welches Risiko liegt für die personenbezogenen Daten vor? – Prüfung des Schutzbedarfs
- Ist die Dokumentation der Verarbeitung und des Datenschutzes sichergestellt?
- Erstellung eines Sicherheitskonzeptes für die Arbeit im Homeoffice
- Keine/eingeschränkte Nutzung von privaten Endgeräten oder Postfächern
- Welche Verschlüsselungen bei Übertragungen und Datenträgern wird genutzt?
- Wie kann die Datensicherung erfolgen?
- IT-Sicherheit muss sichergestellt werden, auch bei der Nutzung öffentlicher Netze
Diese Liste kann noch weiter ergänzt werden.
Personenbezogene Daten identifizieren – Maßnahmen angleichen
Anders als in den Büroräumen des Unternehmens, kann der Datenschutz im Homeoffice nicht oder nur teilweise auf die eingerichteten Maßnahmen zum Datenschutz zurückgreifen. Nachdem der Verantwortliche sich klar gemacht hat, auf welche Weise und in welchem Umfang die personenbezogenen Daten im Homeoffice verarbeitet werden, sollte das Risiko für den Betroffenen bewertet und mögliche Schwachstellen lokalisiert werden. Ein entsprechendes Datenschutzkonzept als Grundlage im Homeoffice kann dann die Sicherheit gewährleisten. Daraus ergeben sich technische und organisatorische Maßnahmen (TOM) zum Schutz der personenbezogenen Daten.
Auf jeden Fall müssen alle Verarbeitungsprozesse dokumentiert werden. Dies geschieht im Verzeichnis von Verarbeitungstätigkeiten (VVT).
TOMs im Homeoffice
Technische und organisatorische Maßnahmen (TOM) müssen auch für die Ansprüche im Homeoffice angepasst werden. Dabei spielt die IT-Sicherheit eine große Rolle. Ein ausreichender Virenschutz und die Nutzung von VPN-Zugängen sind dabei wichtige Bausteine.
Aber auch verwendete Drucker oder andere Endgeräte sollten der Sicherheit im Datenschutz standhalten. Es macht daher Sinn, dass keine privaten Geräte genutzt werden und auch die Nutzung der unternehmenseigenen Geräte nur mit entsprechender Sicherheit privat genutzt werden.
Private und unternehmensbezogene Arbeit sollte möglichst immer getrennt stattfinden.
Mitarbeitende als Baustein im Datenschutz
Ein wichtiger Baustein im Datenschutz ist der Umgang der Mitarbeitenden mit den personenbezogenen Daten der Betroffenen. Daher gehört zu der Umsetzung des Datenschutzes immer auch die Information und die Sensibilisierung der Mitarbeiter.
Im Homeoffice gehört dazu auch, dass bestimmte Verpflichtungen zu besonderen Schutzmaßnahmen eventuell auch schriftlich erfolgen. So sollten personenbezogene Daten auch für Familienmitglieder unzugänglich aufbewahrt werden, Daten nicht von anderen einsehbar sein und so weiter.
Dies kann durch eine Belehrung, aber auch durch schriftliche Vereinbarungen sichergestellt werden. In jedem Fall sollte der Mitarbeiter über mögliche Risiken aufgeklärt werden und das nötige technische Handwerkszeug zur Verfügung gestellt bekommen.
Datenschutzbeauftragten hinzuziehen
Gerade weil sich die Gegebenheiten im Homeoffice und damit die Ansprüche an die Umsetzung des Datenschutzes stetig verändern, sollte ein Fachmann diese regelmäßig beurteilen.
Der (externe) Datenschutzbeauftragte, welcher nach gesetzlichen Vorgaben für viele Organisationen verpflichtend eingesetzt werden muss, sollte daher bei allen Verarbeitungen von personenbezogenen Daten hinzugezogen werden. Auch für alle Arbeiten im Homeoffice, die personenbezogene Daten betreffen, sollte ein (externer) Datenschutzbeauftragter die Beurteilung des Datenschutzes übernehmen.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.