Die erneut zunehmenden Infektionszahlen mit dem Corona-Virus führen dazu, dass Mitarbeiter wieder vermehrt im Home Office arbeiten. Die erste Welle der Corona-Pandemie hat viele Unternehmen noch unvorbereitet getroffen. Es ging daher häufig zuallererst darum, weiterhin möglichst arbeitsfähig zu bleiben. Der Datenschutz musste zunächst hintanstehen. Seit der ersten Welle ist jedoch über ein halbes Jahr vergangen und es ist höchste Zeit, die neue Arbeitssituation auch datenschutzrechtlich abzusichern, sofern dies noch nicht erfolgt ist. Nach Art. 24 Abs. 1 Satz 1, 32 DSGVO hat das Unternehmen als datenschutzrechtlich Verantwortlicher geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen, dass die Verarbeitung personenbezogener Daten datenschutzkonform erfolgt. Im Folgenden geben wir einige Hinweise, was dies konkret im Falle des Home Office bedeutet. Wir differenzieren dabei zwischen zentralen Maßnahmen insbesondere im Hinblick auf die IT-Infrastruktur und Maßnahmen, die durch den Mitarbeiter im Home Office umzusetzen sind. Wichtig ist zudem, die Mitarbeiter in der Einhaltung der vorgesehenen Maßnahmen zu schulen und in Form einer Home Office-Vereinbarung als Zusatzvereinbarung zum Arbeitsvertrag auf ihre Einhaltung zu verpflichten. Dabei sollten Arbeitgeber sich auch ein Kontrollrecht im Hinblick auf die Einhaltung der Vereinbarung im Home Office einräumen lassen – inklusive dem dafür notwendigen Zutrittsrecht zu den privaten Räumen des Mitarbeiters.

Zentrale, administrative Maßnahmen
Folgendes sollte durch die zentrale IT-Funktion des Unternehmens sichergestellt werden:

• Endgeräte (Laptops wie Smartphones) sollten möglichst zentral verwaltet werden. Auf diese Weise kann sichergestellt werden, dass sicherheitsrelevante Einstellungen auf allen Geräten umgesetzt sind. Auch kann sichergestellt und überwacht werden, ob Sicherheitsaktualisierungen auf allen Endgeräten eingespielt wurden (Patch Management). Viele Unternehmen führen automatisierte Softwareaktualisierungen nur dann durch, wenn die Endgeräte sich lokal im Unternehmensnetzwerk befinden. Bisher war das selten ein Problem. Denn die entfernte Arbeit stellte zumeist den Ausnahmefall dar, so dass jedes Endgerät regelmäßig ins Unternehmensnetzwerk eingebunden war. In Corona-Zeiten ändert sich dies. Endgeräte werden häufig über längere Zeiträume nicht in das lokale Unternehmensnetzwerk eingebunden. Entsprechend sollte sichergestellt werden, dass Sicherheitsaktualisierungen auch dann eingespielt werden.
• Datenverbindung in das Unternehmen sollten ausschließlich verschlüsselt aufgebaut werden (z.B. VPN, Citrix etc.).
• Werden Videokonferenzsysteme verwendet, sollten auch hier Datenschutzaspekte berücksichtigt werden.
• Anwender sollten auf ihren Endgeräten keine administrativen Berechtigungen haben, sondern mit (personalisierten) Benutzerkonten mit Anwenderrechten arbeiten. Die Rechte sollten nach dem Prinzip der minimalen Berechtigung vergeben werden.
• Zugänge zu IT-Systemen sollten angemessen abgesichert werden (z.B. mit einem angemessenen Passwort, ggf. Zwei-Faktor-Authentifizierung).
• Die lokalen Speicher der Endgeräte (Laptops wie Smartphones oder Tablets) sollten dem Stand der Technik entsprechend verschlüsselt sein.

Maßnahmen zur Umsetzung im Home Office
Folgende Maßnahmen sollten grundsätzlich im Home Office umgesetzt werden:

• Berufliche Daten sind von privaten Daten zu trennen. Dazu sollte vor allem ein zentraler Arbeitsplatz eingerichtet werden, an dem ausschließlich berufliche Daten verarbeitet werden.
• Die Vertraulichkeit von Daten und Kommunikation (Telefonate, Videokonferenzen) ist auch im Home Office zu gewährleisten. Dies gilt auch gegenüber Familienmitgliedern und Besuchern. Bildschirme dürfen für Unbefugte nicht einsehbar sein.
• Sowohl berufliche Unterlagen als auch die IT-Ausstattung sind gegen Diebstahl zu schützen.
• Berufliche Papierdokumente dürfen nicht im privaten Hausmüll entsorgt werden, sondern sind sachgerecht entsprechend der Unternehmensrichtlinien zu vernichten.
• Wenn der Mitarbeiter nicht am häuslichen Arbeitsplatz ist, sollte – wie im Büro – der Bildschirm gesperrt und erst nach erneuter Authentifizierung (z.B. durch ein Passwort) wieder freigegeben werden. Auch der Zugriff auf Smartphones sollte entsprechend gesperrt werden.
• Daten sollten ausschließlich auf beruflichen Speichermedien, im besten Fall an zentraler Stelle, an der auch eine regelmäßige Datensicherung erfolgt, gespeichert werden. Müssen lokale Speichermedien verwendet werden, muss eine angemessene Datensicherung durchgeführt werden. Privaten Speichermedien sollten nicht verwendet werden.
• Es sollten keine privaten IT-Systeme für berufliche Zwecke eingesetzt werden. Dazu zählt auch, dass private Peripheriegeräte wie Drucker, Tastaturen, Mäuse oder Touchpads nicht an beruflicher Hardware angeschlossen werden sollte.
• Berufliche E-Mails sollten nicht auf private E-Mail-Adressen weitergeleitet werden.
• Digitale Assistenten, die über Sprache reagieren, sollten deaktiviert bzw. entfernt werden (Alexa, Siri etc.).

Abhängig von Ihrer konkreten Arbeitssituation, Ihren Prozessen, Ihrer IT-Landschaft und den verarbeiteten Daten, sind ggf. andere und zusätzliche Maßnahmen erforderlich. Hilfreich bei der Prüfung ist auch der Wegweiser Telearbeit und Mobiles Arbeiten des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) sowie das IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI), dort insbesondere die Bausteine OPS.1.2.4 zur Telearbeit sowie INF.8 zum häuslichen Arbeitsplatz. Die Gesellschaft für Datenschutz und Datensicherheit (GDD) hat darüber hinaus eine Liste weiterführender Beiträge zum Datenschutz und der Datensicherheit bei Videokonferenzen, dem mobilen Arbeiten und Home Office veröffentlicht. Haben Sie Fragen zu Datenschutz oder Informationssicherheit in Ihrem Unternehmen? Sprechen Sie uns gerne an.