Homeoffice-Ausstattung – inklusive Datenschutz

Corona ist ein Katalysator der Digitalisierung. Massenweise gehen Angestellte ins Homeoffice. Lendis sorgt auch zuhause für eine komfortable Büroausstattung, aber wie steht es in Ihrem Unternehmen um den Datenschutz im Homeoffice? Die wichtigsten Facts zum Thema.

Arbeitgeber*innen, die in der Corona-Krise aus dem Homeoffice arbeiten konnten, merkten oft schnell, dass es an bequemen und ergonomischen Büromöbeln fehlte. Hier halfen Arbeitgeber*innen vielfach nach und mieteten Büromöbel für Angestellte und deren Homeoffice. Was allerdings nur wenige Arbeitnehmer*innen beachten, sind die Datenschutzregelungen für den Homeoffice-Bereich. 

Alexander Ingelheim, CEO von datenschutzexperte.de und zertifizierter Datenschutzbeauftragter erklärt, was es beim Thema Datenschutz und Homeoffice zu beachten gibt.

Lendis: Auf einen Schlag mussten in vielen Unternehmen die Angestellten in das Homeoffice. Was sind hier die größten Sicherheitslücken?

Alexander Ingelheim: Der Gang ins Homeoffice traf viele Unternehmen unvorbereitet. Es waren nach wie vor nicht alle KMUs so digital aufgestellt, dass mobiles Arbeiten an der Tagesordnung gewesen wäre. Einer der größten Fehler, der beim Thema Datenschutz und Homeoffice immer wieder gemacht wird, ist die Vermischung von privaten und geschäftlichen Endgeräten. Sei es, dass mit privaten Devices auf die geschäftliche Cloud zugegriffen wird oder mit dem Geschäftshandy private Gespräche geführt werden. Beispielsweise ein schnelles Feedback an den Kollegen auf eine*n Bewerber*in über Whatsapp ist problematisch. Wohin die sensiblen Daten gelangen, ist hier bekanntermaßen nicht nachvollziehbar.

Auch die Nutzung privater E-Mail-Konten für geschäftliche Korrespondenz stellt ein ebenso großes Datenschutzproblem dar wie die Verwendung privater Speichergeräte für geschäftliche Daten.

Lendis: Wieso ist es aus datenschutzrechtlicher Sicht problematisch, wenn Daten schnell auf einem privaten Speichermedium zwischengespeichert werden?

Alexander Ingelheim: Das hat verschiedene Gründe. Der USB-Stick des Kindes war vielleicht für das letzte Referat am Schulcomputer in Gebrauch, an dem täglich Dutzende verschiedene Speichergeräte angeschlossen waren. Wo diese vorher waren, ist nicht nachzuvollziehen. Da kann sich schnell eine Schadsoftware oder ähnliches einschleichen, die dann mit der Verwendung am Geschäfts-Laptop dort und im schlimmsten Fall in die gesamte Firmen-IT-Infrastruktur eingeschleppt wird. Das stellt eine enorme Gefahr für sensible (Geschäfts-)Daten dar. Auch umgedreht wird ein Problem daraus: Wenn auf einem privaten Speichergerät – sei es auch nur kurz – Geschäftsdaten gespeichert werden und ein Familienmitglied leiht sich eben dieses Speichergerät aus, ist die Handhabe über die gespeicherten Daten im wahrsten Wortsinn aus der Hand gegeben. Das ist ein klarer Verstoß gegen den Datenschutz, sollten sich auf dem Stick personenbezogene Daten befinden. Damit diese Dinge nicht passieren, braucht es auch für das Homeoffice klare datenschutzrechtliche Richtlinien.

Lendis: Es ist also sinnvoll, wenn Unternehmen für die Arbeit im Homeoffice datenschutzrechtliche Sicherheitsstandards einführen?

Alexander Ingelheim: Definitiv! Für mobile Arbeitsplätze braucht es eine explizite Regelung, die datenschutzrechtliche Standards festlegt. Diese müssen eigentlich bereits vor dem Gang ins Homeoffice definiert werden und allen Mitarbeiter*innen verständlich dargelegt und an die Hand gegeben werden. Diese Standards sollen vor allem die beiden großen Datenschutzprobleme im Homeoffice verhindern: Geschütze Daten gelangen aus dem Unternehmen in falsche Hände (das muss nicht aus böswilliger Absicht geschehen, wir haben es oben im Beispiel gerade gehört) oder gefährliche Programme gelangen in das Unternehmen. Auch das muss nicht aus böswilligem Interesse heraus geschehen, sondern passiert meist viel öfter durch Unvorsichtigkeit. Es gibt bereits vorgefertigte datenschutzrechtliche Homeoffice-Leitfäden, die an die eigene Unternehmensform angepasst und den Mitarbeiter*innen mitgegeben werden können. Auf unserer Website können sie beispielsweise einen solchen Entwurf herunterladen. Dabei ist es aber wirklich wichtig, mit allen Angestellten diese Richtlinien durchzugehen und verständlich zu erklären. Denn der Datenschutz eines Unternehmens ist nur so gut, wie die Mitarbeiter*innen darin geschult wurden. Unsere Expert*innen schildern im Webinar on demand, worauf Sie beim Datenschutz im Homeoffice achten sollten.

Lendis: Was sind einfache Tipps, wie das Datenschutzrisiko bei der Arbeit im Homeoffice verringert werden kann?

"Zudem ist die Vermischung von privater und geschäftlicher Hardware auf jeden Fall zu vermeiden. Die Daten am Geschäfts-Laptop und auch das Laptop selbst müssen verschlüsselt sein. Das bezieht auch mit ein, dass geschäftliche Geräte immer technisch auf dem neusten Stand sein müssen."
Alexander Ingelheim,
Co-Founder & CEO datenschutzexperte.de

Alexander Ingelheim: Gibt es eine*n Datenschutzbeauftragte*n im Unternehmen, muss er / sie sich gerade in der aktuellen Situation zentral mit diesem Thema befassen. Aber es gibt natürlich Standard-Maßnahmen, die immer gelten. Sollten Mitarbeiter*innen nur unsichere WLAN-Verbindungen haben, dürfen diese natürlich nicht mit den geschäftlichen Devices genutzt werden. Hier wäre es sinnvoll, wenn der / die Arbeitgeber*in beispielsweise einen Internet-Stick stellt. Mindeststandard ist heutzutage die Einwahl ins Firmennetzwerk über VPN-Tunnel. Zudem ist die Vermischung von privater und geschäftlicher Hardware auf jeden Fall zu vermeiden. Die Daten am Geschäfts-Laptop und auch das Laptop selbst müssen verschlüsselt sein. Das bezieht auch mit ein, dass geschäftliche Geräte immer technisch auf dem neusten Stand sein müssen. Und ein ganz wichtiger Punkt, den viele Unternehmen oftmals übersehen: Wie das Onboarding sollte auch das Offboarding digital vorbereitet werden, damit es nicht zur (versehentlichen) Datenmitnahme durch Ex-Mitarbeiter*innen kommt.

Lendis: Und was bedeutet das für den physischen Arbeitsplatz?

Alexander Ingelheim: Auch das Homeoffice-Büro muss natürlich so gestaltet werden, dass es nicht zu Datenschutzverstößen kommen kann. Das heißt konkret, dass der Bildschirm gesperrt werden muss, wenn sich Mitarbeiter*innen vom Arbeitsplatz zu Hause entfernen. Auch Kinder können aus Versehen E-Mails mit empfindlichem Inhalt versenden. Des Weiteren ist eine Sichtschutzfolie für Bildschirme sehr wichtig. Vor allem in kleinen Wohnungen passiert es durchaus, dass der Bildschirm beispielsweise von der Eingangstür aus gesehen werden kann. Briefträger*innen, denen man schnell mal die Tür öffnet, haben ohne Sichtschutzfolie oder gesperrten Bildschirm einen perfekten Blick auf u.U. wichtige Geschäftsdaten. Auch ein Sichtschutz neben dem Schreibtisch kann hier Abhilfe schaffen. Diese eigenen sich ebenfalls gut für kleine Wohnungen.

Wird noch mit Papierakten gearbeitet, dann muss zudem ein abschließbarer Dokumentenschrank vorhanden sein. Auch Speichermedien oder gar das Laptop selbst – je nachdem, ob sich darauf sensible Daten befinden – müssen nach Arbeitsschluss weggesperrt werden können.

Um all diese Maßnahmen kontrollieren zu können – und dazu sind Arbeitgeber*innen als Verantwortliche für die Datenverarbeitung eigentlich verpflichtet – brauchen Arbeitgeber*innen von den Arbeitnehmer*innen jedoch die Erlaubnis, die Wohnung betreten zu dürfen, denn die Wohnung ist geschützter Raum.

Um generell einen Überblick über den Stand des Datenschutzes im Unternehmen zu behalten, bietet es sich in Zeiten der Digitalisierung an, auch den Datenschutz smart, transparent und digital zu gestalten. Mit einer Lösung wie der Datenschutzsoftware Proliance 360, die auf Basis von 1.000 erfolgreichen Kundenprojekten entwickelt wurde, ist es möglich, den Datenschutz ganzheitlich im Unternehmen zu managen.

Lendis: Wir bedanken uns für das Gespräch!

Bei unserem Kooperationspartner datenschutzxperte.de finden Sie außerdem eine Checkliste mit den wichtigsten Tipps zur Umsetzung des Datenschutzes im Unternehmen und Weiteres zum Thema datenschutzkonformes Arbeiten im Homeoffice.