Was versteht man unter Homeoffice?

Homeoffice wird häufig als Synonym für Telearbeitsplätze verwendet. Der Begriff Telearbeitsplatz wird in der Arbeitsstättenverordnung § 2 Abs. 7 (https://www.gesetze-im-internet.de/arbst_ttv_2004/BJNR217910004.html) definiert.
Zusammengefasst ist ein Telearbeitsplatz ein fester Arbeitsplatz im Privatbereich des Beschäftigten, welcher zu den Räumlichkeiten des Unternehmens gezählt wird.

Weshalb ist Datenschutz im Homeoffice wichtig?

Im Gegensatz zum Arbeitsplatz im Unternehmen ist die Kontrollierbarkeit und Datenüberwachung im Privatbereich deutlich eingeschränkter. Dies betrifft Endgeräte, Prozesse bis hin zur Entsorgung von Dokumenten. Dadurch ergeben sich eine Vielzahl an Möglichkeiten, die die Sicherheit des Unternehmens, aber auch der Daten verschlechtern. Insofern ist eine gute Homeoffice-Strategie für jedes Unternehmen ein Muss – nicht erst bei Krisen, sondern auch um New Work-Konzepten gerecht zu werden.

Zwar ist in vielen Unternehmen Homeoffice etabliert, allerdings gibt es häufig keine effizienten Strategien, wie die Zusammenarbeit, die Arbeitsabläufe des Beschäftigten usw. geregelt sind – und nicht zu vergessen, die teils fehlenden Homeoffice-Vereinbarungen. In der Konsequenz werden von den Beschäftigten der private und der berufliche Bereich gemischt, Daten schnell auf ein externes Speichermedium kopiert und die Zusammenarbeit leidet durch eine fehlende oder mangelhafte Meeting-Kultur. Die Liste könnte beliebig verlängert werden.
Daher unser Tipp: Überlassen Sie nichts dem Zufall und gestalten proaktiv die Prozesse und die Zusammenarbeit!

Worauf muss ich als Arbeitgeber beim Datenschutz im Homeoffice achten?

Als Arbeitgeber sind Sie in der Pflicht, ihren Beschäftigten ausreichende und angemessene Informationen in verständlicher Form und Sprache zur Verfügung zu stellen. Dies umfasst u.a. nach § 6 Abs. 1 ArbStättV (https://www.gesetze-im-internet.de/arbst_ttv_2004/BJNR217910004.html), folgende Punkte:

  • Bestimmungsgemäßes Betreiben der Arbeitsstätte
  • Beantwortung aller gesundheitlichen und sicherheitsrelevanten Fragen
  • Durchführung von Maßnahmen zur Gewährleistung der Sicherheit und der Gesundheit
  • Durchführung von arbeitsplatzspezifischen Maßnahmen (z. B. bei Bildschirmarbeitsplätze, Baustellen, Werkstätten …)
  • Implementierung und Einhaltung von IT-Sicherheitsstandards
  • Durchführung von Datenschutzmaßnahmen

Es sind nicht nur die Daten, sondern die Metadaten, die erstellt werden können

Die Anforderungen an den Datenschutz und die Umfänge an Maßnahmen variieren je nach Unternehmen bzw. den Abteilungen. So sind für Bildschirmarbeitsplätze vor allem die Bereiche IT-Sicherheit und Datenschutz von größter Bedeutung. Hier wiederum ist zu unterscheiden, ob es sich um einen Bildschirmarbeitsplatz für den Leiter der Buchhaltung oder einen einfach strukturierten Arbeitsplatz handelt. Eines vorweg: Verabschieden Sie sich von oberflächlichen Standardlösungen und kopierten Textbausteinen.

Tipps für besseren Datenschutz im Homeoffice

Wir empfehlen im ersten Schritt, die Prozesse in jedem Bereich zu analysieren. Hier ist es vor allem wichtig, die bisherigen Tools und die Zusammenarbeit auf Effizienz zu bewerten. Anhand der Ergebnisse lassen sich in Zusammenarbeit mit dem IT-Verantwortlichen und dem Datenschutzbeauftragten die nächsten Schritte ableiten. Dies kann von der Anpassung bestehender Softwareprodukte über neue Tools/Apps bis hin zur Umstrukturierung führen. Letzteres tritt in der Praxis selten auf, da für diesen Schritt eine nicht zu verachtende Ineffizienz vorliegen dürfte.

Allerdings ist diese Analyse keine einmalige Angelegenheit. Bei Prozessänderungen/Umstrukturierungen sollte erneut eine Analyse aufgrund von neuen Rollenberechtigungen und Team-Zusammensetzungen erfolgen. Spätestens hier wird verständlich, wie wichtig Vorbereitungen – unabhängig ob Kleinstunternehmen oder mittelständisches Unternehmen – für eine gute Strukturierung von IT und Software-Einstellungen ist.

In der Praxis erkennt man bei der Umsetzung von Datenschutzvorschriften und der Optimierung von Sicherheitsvorkehrungen recht schnell, dass die Prozesse umfangreicher und ggf. komplizierter durch zusätzliche Freigaben werden. Dies mag zwar für den IT-Verantwortlichen und Datenschutzbeauftragten nachvollziehbar sein, nicht jedoch für den Beschäftigten oder gar dem Kunden, der eine Bearbeitungszeit seiner Anfrage innerhalb einer Stunde gewohnt war.
Hier ist es als Arbeitgeber Ihre Aufgabe, dem entgegenzuwirken, um Missverständnisse aus dem Weg zu räumen und die Akzeptanz von Umstrukturierungen deutlich zu erhöhen. Die häufigsten Gründe, weshalb neue Prozesse nicht die gewünschte Effizienz liefern und neue Tools nicht richtig eingesetzt werden, ist die fehlende Integration der Mitarbeiter (Top-down-Strategie) und mangelhafte Kommunikation. Daher unser Tipp für Sie: Beziehen Sie die Mitarbeiter von Anfang an ein, sorgen Sie für eine transparente Kommunikation und führen regelmäßig Schulungen durch. Rufen Sie sich die Unternehmenssicherheit und den Datenschutz immer wieder ins Gedächtnis und halten Ihre Beschäftigten stets auf dem Laufenden!

Ein Mitarbeiter kann nur so gut sein, wie seine Umgebung dies zulässt.
André Sandner

Sie denken, das funktioniert schon alles? Wir haben nur wenig interessante Daten? Was soll schon passieren?
Leider hört man im Alltag sehr oft, dass die Daten doch gar nicht so interessant sind und ein Datenverlust oder Angriff für das Unternehmen vertretbar wären. Vielleicht mag das Abgreifen von Illustrator- oder CAD-Dateien im ersten Moment nicht tragisch erscheinen, doch steckt auch in diesen Dateien Ihr Know-how, Ihre Beratungsleistung und ggf. Schutzvereinbarungen. Nebenbei wird das Image des Unternehmens leiden und das Vertrauen schwinden – und die wenigsten Unternehmen sind auf solche einen Fall vorbereitet.
Das Hauptproblem dieser „uninteressanten“ Daten ist, dass durch Datenanreicherung und einer Vielzahl an Lösungen aus dem Bereich der Künstlichen Intelligenz sogenannte Metadaten gewonnen werden können. Und genau diese Metadaten sind teils sehr wertvoll (z. B. Monetarisierung) und/oder gefährdend (z. B. Privatsphäre). Im Hinblick auf Homeoffice gibt es durch die Verknüpfung von Unternehmensnetzwerk und zahlreicher externer Geräte eine deutlich höhere Anzahl potenzieller Schwachstellen, die einen Datenverlust und Angriff ermöglichen.
Achten Sie daher auf einen ausreichenden Schutz Ihrer IT und der Unternehmensprozesse beim Umgang mit Daten.

 

Auf diese Punkte sollten Sie beim Homeoffice als Arbeitgeber achten:

  • Bereitstellung von Arbeitsmitteln zur Reduzierung von Unsicherheiten/Inkompatibilitäten bei BYOD und BYOA (private Nutzungsbedingungen festlegen!)
  • Regelung über zugelassene Geräte (BYOD)
  • Regelung über zugelassene Tools bzw. Apps (BYOA)
  • Regelung, wie private und berufliche Daten auf Endgeräten getrennt werden müssen
  • Festlegung der Tools und Apps für die Tätigkeiten bzw. Collaboration/Zusammenarbeit
  • Festlegung der Aufbewahrung von Endgeräten (z. B. Tresor, abschließbarer Schrank …)
  • Definition von Zugriffsregelungen, um auf die Endgeräte des Arbeitnehmers zugreifen zu dürfen (Fernzugriffsrechte, Administrationsrechte)
  • Beschränkung von Zugangsrechten auf das Minimum – je weniger, desto besser
  • Einführung von Passwortrichtlinien und von Passwortmanagern
  • Verwendung von VPN für eine sichere Verbindung zwischen Homeoffice-Geräten und Unternehmensnetzwerk
  • Dokumentation aller Berechtigungen, Vereinbarungen, Sonderregelungen und Änderungen (Nachvollziehbarkeit)
  • Regelung über die Verarbeitung, Verwendung und Entsorgung von Dokumenten
  • Regelungen zu Telefonaten
  • Regelungen zu Videokonferenzen
  • Regelungen zu externen Speichermedien (Vergabe dokumentieren)
  • Festlegung von Meldepflichten bei verdächtigen Dateien, verdächtigen Anrufen, Datenverlust …
  • Durchführung von regelmäßigen Schulungen
  • Erstellung von Homeoffice-Vereinbarungen

Übrigens stellt das Bayerische Landesamt für Datenschutz eine Checkliste mit Best-Practise-Prüfkriterien für die Formulierung von Homeoffice-Vereinbarungen zur Verfügung.

Worauf muss ich als Arbeitnehmer beim Datenschutz im Homeoffice achten?

Grundsätzlich haben Beschäftigte die Unternehmensvorgaben zum Datenschutz einzuhalten. Andere Software-Produkte, Datenmissbrauch, Vermischung von privaten und beruflichen Daten usw. sind nicht zulässig und können schnell zur Abmahnung führen. Auf der anderen Seite empfehlen wir unseren Kunden, dass Beschäftigte sehr wohl neue Software-Lösungen und Tools vorschlagen sollten, um Prozesse effizienter zu gestalten.

 

Damit Sie als Beschäftigte*r sicher im Homeoffice unterwegs sind empfehlen wir folgende Punkte zu beachten:

  • Verwenden Sie sichere, komplexe Passwörter sowie einen Passwortmanager
  • Auf die Endgeräte bzw. Profile dürfen ausschließlich Sie Zugriff haben
  • Sperren Sie PC/Laptop/Tablet immer, wenn der Arbeitsplatz verlassen wird
  • Lassen Sie niemanden bei Telefonaten mithören
  • Verwenden Sie keine Smarthome-Geräte bzw. Dienste im Homeoffice (z. B. Alexa von Amazon, Siri von Apple, Cortana von Microsoft, Assistent von Google …)
  • Verwenden Sie nur freigegebene Tools/Apps zur Kommunikation
  • Beachten Sie jegliche Vorgaben zum Handling von Dateien und Dokumenten
  • Halten Sie Ihre Geräte auf den aktuellsten Stand
  • Installieren Sie eine Antiviren-Software und richten Sie eine Firewall ein
  • Nutzen Sie ausschließlich sichere WLAN-Verbindungen
  • Verwenden Sie keine externen Speichermedien wie USB-Sticks ohne explizite Freigabe (USB-Schnittstellen mit Datenübertragung sind ein häufiges Einfallstor für Malware)
  • Prüfen Sie den Arbeitsraum vor dem Beginn von Videokonferenzen auf zu schützende Informationen (z. B. Charts, Roadmaps, Daten zu Wettbewerbern ihrer Kunden …)

Für die Beschäftigten empfehlen wir ebenfalls die Checkliste des Bayerischen Landesamtes für Datenschutz mit Best-Practise-Prüfkriterien für die Formulierung von Homeoffice-Vereinbarungen.

Bilder & Text: © André Sandner – andre-sandner.com & stock.adobe.com