Home-Office: Was Firmen beim Datenschutz beachten sollten
Unternehmen sollten ihre Arbeitsprozesse auch in Corona-Zeiten so gestalten, dass sie beim mobilen Arbeiten die Richtlinien der DSGVO einhalten. Der TÜV Süd erklärt, was dabei zu beachten ist.
Sichere IT-Infrastruktur. Der Arbeitgeber sollte dem Mitarbeiter Arbeitsmittel zur Verfügung stellen, mit denen er sich ins Unternehmensnetz einwählen kann. Das kann beispielsweise ein in sich geschlossenes Virtual Private Network (VPN) sein.
Schulungen sensibilisieren gegen Phishing. Die Angriffsfläche für Phishing-Attacken wächst, sobald im Home-Office gearbeitet wird. Daher sollte das Unternehmen sämtliche Mitarbeiter in dieser Hinsicht schulen.
Vereinbarungen zum Home-Office treffen. Mit Mitarbeitern, die zeitweise von zuhause arbeiten, sollte der Arbeitgeber eine Vereinbarung treffen. Darin sind im Einzelfall zutreffende Pflichten und vereinbarte Schutzvorkehrungen zu dokumentieren. Am besten sollte eine solche Regelung von Beginn an getroffen werden. Neben allgemeinen Maßnahmen zum Schutz kann der Arbeitgeber in einer solchen Vereinbarung auch ein Kontrollrecht über den Heimarbeitsplatz vereinbaren.
Private und geschäftliche Daten trennen. Auch hier sollte der Arbeitgeber alle Maßnahmen individuell innerhalb einer getroffenen Vereinbarung dokumentieren.
Regeln für Auftragsdatenverarbeitung beachten. Verarbeitet eine Firma für eine andere im Auftrag personenbezogene Daten, ist zu beachten, was innerhalb dieses Vertrags vereinbart wurde – unter anderem dürfen die technischen und organisatorischen Maßnahmen (TOM) auch in solchen Situationen nicht unterschritten werden.
Kontrolle im Home-Office. Persönliche Kontrollbesuche sind nur erlaubt, wenn der Besuch vorher abgesprochen und nicht bloß angekündigt wurde. Keylogger-Software, die jeden Tastaturanschlag speichert und den Bildschirm hin und wieder fotografiert, ist ebenfalls nur erlaubt, wenn ein konkreter Anlass vorliegt und der Arbeitgeber den Einsatz der Software mitgeteilt hat.
Zugriff auf geschäftlichen E-Mail-Verkehr darf der Chef immer einfordern; sind E-Mails jedoch durch den Betreff bereits deutlich als privat erkenntlich, dürfen diese auch bei Verbot der E-Mail-Privatnutzung nicht einfach so gelesen werden. Eine Kontrolle, ob private Mails verschickt wurden, ohne Einsicht, ist jedoch möglich. Ebenso möglich ist es, den BrowserVerlauf des Dienst-Laptops auszuwerten – nicht jedoch des privaten Computers.