Mitgliederbereich

Bitte geben Sie Ihre E-Mail-Adresse und Ihr Passwort ein um sich im Mitgliederbereich anzumelden.
 

Homeoffice – Mobile Office in Zeiten von Corona

Home-Office-Richtlinie vom vdw Sachsen

19. März 2020

Häufige Anfragen zum Thema Homeoffice im Referat Datenschutz des vdw Sachsen

Aktuell häufen sich die Anfragen im Referat Datenschutz zum Thema Homeoffice, da die Mitarbeiter aufgrund der derzeitigen Umstände von zu Hause aus arbeiten sollen. Nach der technischen Lösung stellen sich die Fragen zum Datenschutz und zur Datensicherheit.

Sobald ein Mitarbeiter den dienstlichen E-Mail-Zugang nutzt, ist von einer Verarbeitung personenbezogener Daten auszugehen. Daher werde ich in diesem Beitrag nicht weiter darauf eingehen, ob überhaupt der

Anwendungsbereich der DS-GVO

eröffnet ist.

Wichtig ist, dass der

Arbeitgeber weiterhin verantwortlich für die Datenverarbeitung

bleibt. Der Arbeitnehmer ist weisungsgebunden. Der Arbeitgeber muss die erforderlichen Sicherheitsmaßnahmen planen, umsetzen, prüfen und gegebenenfalls anpassen.

Es besteht zunächst einmal die Besonderheit, dass sich die IT, aber auch Akten, außerhalb des Betriebs befinden. Damit steigt die Gefahr unberechtigter Zugriffe und die Kontrollmöglichkeiten des Arbeitgebers verringern sich.

Ich empfehle daher zunächst den

Erlass einer Home-Office-Richtlinie für die Telearbeit,

um organisatorisch den Risiken entgegenzuwirken, indem einige Kontrollrechte dem Arbeitgeber zu Haus beim Arbeitnehmer eingeräumt werden.

Der vdw Sachsen wird den Mitgliedern, welche bereits in der Datenschutzbetreuung des Verbands sind, diese Home-Office-Richtlinie als Entwurf zuleiten.

Auch die sich nicht in der datenschutzrechtlichen Betreuung befindlichen Mitgliedsunternehmen können sich gerne an uns wenden, wenn Sie eine Richtlinie zum Home-Office wünschen.

In diesem Zusammenhang regen wir nochmals eine Betreuung des vorhandenen internen Datenschutzbeauftragten durch den vdw Sachsen im Rahmen des bewährten Coachingvertrags zu einem Pauschaltarif von 650 EUR netto zzgl. USt. an.

Desweiteren ist eine

schriftliche oder elektronische Vereinbarung

mit dem konkreten Mitarbeiter zu treffen, welche die Einbeziehung der Home – Office – Richtlinie vorsieht. Die Home – Office – Richtlinie ist eine Compliance Regelung und in einem Compliance – Management – System abzubilden. Zugleich handelt es sich um eine technische und organisatorische Maßnahme, welche im Verarbeitungsverzeichnis zu erwähnen ist.

Daten über den Gesundheitszustand

oder

Beurteilungen von Arbeitnehmern

sollten das Unternehmen nicht verlassen (auch keine Leserechte über VPN-Tunnel).

Papierakten

sind in einem Behältnis oder im Heimarbeitsraum zu vom Mitarbeiter zu verschließen. Die Mitarbeiter sind durch das Unternehmen zu schulen und zu sensibilisieren. Die Mitarbeiter – Datenschutz – Schulungen des vdw Sachsen berücksichtigen bereits dieses Thema.

Datenspeicherungen

sollten zentral nur auf den Servern des Arbeitgebers erfolgen. Mitarbeiter erhalten nur Zugriff per Terminal. Wenn dies technisch nicht möglich ist, ist zumindest eine regelmäßige Synchronisierung erforderlich.

Lokale Speicherungen

sind nur in Ausnahmefällen zu gestatten. Als technische organisatorische Maßnahme sollte in diesem Fall eine Festplattenverschlüsselung erfolgen.

Drucken

im Homeoffice ist zu unterlassen oder es ist durch den Arbeitgeber ein Aktenvernichter zu stellen, um Datenpannen zu vermeiden.

Die Privatnutzung

ist zu unterlassen (Filesharing = Urheberrechtsverletzung).

Eine

automatische Bildschirmsperrung

sollte bei Inaktivität des Nutzers erfolgen.

Die Mitnahme von Akten

sollte nur nach schriftlicher oder elektronischer Erlaubnis des Arbeitgebers gestattet werden.

Mobile Datenträger

sind zu verschlüsseln.

Die Datenübertragung

zwischen Heimarbeitsplatz und Arbeitgeber ist zu verschlüsseln (VPN).

Zugriffe auf das Arbeitgebernetzwerk

sind vom Arbeitgeber zu protokollieren und auszuwerten, um Sicherheitsverletzungen zu erkennen.

Der Arbeitnehmer muss dem Arbeitgeber ein

Zutrittsrecht zum Wohnraum

gewähren.

Als zusätzlichen Schritt empfehle ich aus der Informationssicherheitssicht die Umsetzung des Bausteins

OPS.1.2.4 Telearbeit

aus dem Grundschutzkompendiums des BSI.

Eine sehr gelungene Übersicht über die weiteren rechtlichen Rahmenbedingungen bei der Telearbeit können Sie auch der Sachstandsmitteilung des Wissenschaftlichen Dienstes WD 6 149/16 entnehmen.

Für Rückfragen stehe ich zur Verfügung und ich würde mich sehr freuen, wenn wir uns präsent oder online sehen.

Thilo Zachow

Referent für Datenschutz beim vdw Sachsen

Rechtsanwalt

Fachanwalt für Informationstechnologierecht

Fachanwalt für Urheber- und Medienrecht

Datenschutzbeauftragter (TÜV zertifiziert)

Informationssicherheitsbeauftragter (bitkom zertifiziert)