Arbeiten im Homeoffice – was ist datenschutzrechtlich zu beachten?

In den Zeiten von Corona haben sich bisher viele Themen relativiert. Gehört der Datenschutz auch dazu? Oder ist es gerade jetzt wichtig, eine gewisse Daten-Hygiene zu betreiben?

Zahlreiche Arbeitsplätze wurden in den Homeoffice-Bereich verlegt, wenn auch nur temporär. Aber auch hier gilt es, sich an Regeln zu halten. Jedes Unternehmen, das Homeoffice ermöglicht, sollte eine Nutzungsrichtlinie Homeoffice definieren, um den datenschutzrechtlichen Anforderungen zu genügen und entsprechende sicherheitstechnische Voraussetzungen zur Vertraulichkeit zu gewährleisten und auch oder gerade die Verfügbarkeit sicherzustellen. Es ist wichtig für das Unternehmen, Regeln zu definieren, zu dokumentieren und diese auch zu kommunizieren.

Wichtig ist, gewisse Tätigkeiten seit Geltung der DSGVO seit Mai 2018 bzw. schon davor umgesetzt und dokumentiert zu haben. Vieles ist ein laufender Prozess. So ist ein VVT (Verzeichnis von Verarbeitungstätigkeiten) nie ganz fertig, weil Prozesse erneuert werden und auch neue Dienstleister regelmäßig dazu kommen, mit denen im Vorfeld neue Auftragsverarbeitungsverträge abzuschließen sind. Viele haben bestimmt unter Initiierung Ihres Datenschutzbeauftragten ein Löschkonzept angesprochen und angedacht; die wenigsten werden ein Löschkonzept jedoch – höchstens in Teilbereichen – bereits umgesetzt haben.

Vor allem an Folgendes ist zu denken:

  • Hard- und Software sollten vom Unternehmen gestellt und vorbereitet sein.
  • Zugriffe auf Unternehmensdaten finden nur über eine gesicherte VPN-Verbindung statt.
  • Daten werden möglichst nicht lokal gespeichert.
  • Ausdrucke oder Papierdokumente werden vermieden. Wenn das unmöglich ist, Dokumente verschließen, ansonsten auf sichere Entsorgung durch Schreddern achten – spätestens nach Transport ins Büro.
  • Unbefugte wie Familienangehörige, dürfen unternehmensrelevante Unterlagen nicht einsehen. Das gilt besonders für personenbezogene Daten. Bildschirm entsprechend positionieren!
  • Beim Verlassen des Arbeitsplatzes wird der Rechner gesperrt.
  • Bei Telefonaten sollten Dritte die Inhalte nicht mithören können.
  • Der Umgang mit Datenschutzvorfällen muss geregelt sein.
  • Erforderlichenfalls Zutrittsrecht des Arbeitgebers vereinbaren.
  • Auch die vielfältigen Meeting-Technologien sollten vor einer Nutzung datenschutzrechtlich genau unter die Lupe genommen werden.

Mindestens an diese Punkte ist in einer Richtlinie zu denken. Lassen Sie sich hierzu von Ihrem Datenschutzbeauftragten beraten.

Autor: Manfred Schlitt