Empfehlung zur Datenverarbeitung im Home-Office.
Verarbeiten Beschäftigte im Rahmen ihrer beruflichen Tätigkeit personenbezogene Daten von Betroffenen auch im Home-Office, so birgt diese Datenverarbeitung hohe Risiken für die Persönlichkeitsrechte der Betroffenen, da ein Datenmissbrauch oder unzulässige Einflussnahme durch Dritte wegen den eingeschränkten Kontrollmöglichkeiten des Arbeitgebers leichter möglich ist. Bei der Datenverarbeitung im Home-Office bleibt der Arbeitgeber verantwortlich für die Einhaltung der Datenschutzvorschriften und der technischen und organisatorischen Sicherheit.
Die beschäftigte Person sollte daher zur Einhaltung angemessener Maßnahmen im Home-Office verpflichtet werden, um die so verarbeiteten personenbezogenen Daten zu schützen. Die getroffenen Maßnahmen sind zu dokumentieren.
Technische Sicherheitsmaßnahmen zum Schutz personenbezogener Daten im Home-Office können sein:- Beschäftigte sollen im Home-Office Maßnahmen für angemessenen Zutritts- und Einbruchsschutz treffen
- Betriebliche Geräten sind mit Firewall, Virenscanner und regelmäßen Betriebssystem-Updates abzusichern.
- Die Datenverarbeitung im Home-Office soll nur auf betrieblichen EDV Geräten durchgeführt werden.
- Die Datenverbindung zu den Servern ist per VPN abzusichern.
- Der Zugriff auf IT-Ressourcen ist mit einem Berechtigungskonzept und restriktiven Zugriffsberechtigungen einzuschränken.
- Das Anschließen betriebsfremder USB-Geräte an die betrieblichen Arbeitsgeräte ist zu beschränken.
- Die EDV-Geräte sollen nicht für andere Mitbewohner zugänglich sein und nicht von anderen Personen genutzt werden.
- Werden Papierakten im Home-Office bearbeitet, so empfehlen wir das Führen eines Aktenentnahme-Buches, in dem dokumentiert wird, welche Akten aus dem Unternehmen entnommen und wieder zurück gebracht werden.
- Papierakten sind im Home-Office in verschlossenen Schränken und unzugänglich für andere Mitbewohner aufzubewahren.
- Werden Papierakten im Home-Office vernichtet, so ist für die Aktenvernichtung ein angemessener Schredder bereitzustellen (Sicherheitsstufe P4).
- Die Akten sollen auf dem Weg ins Home-Office sicher transportiert werden und sind gegen Verlust oder Diebstahl zu schützen.
- Auf lokalen Geräten sind regelmäße Datensicherungen zu erstellen oder die Datenspeicherung auf lokalen Geräten soll verboten/verhindert werden.
- Home-Office Vereinbarung mit Beschäftigten sollten Regelungen enthalten, wonach der Arbeitgeber die Einhaltung der vereinbarten Sicherheitsmaßnahmen wirksam überprüfen kann. Darin sollte ein Zutrittsrecht für den Arbeitgeber und von ihm beauftragten Personen vereinbart sein (z.B. Betriebsarzt, Datenschutzbeauftragter, Aufsichtsbehörde). Zugleich ist festzulegen, unter welchen Voraussetzungen das Zutrittsrecht ausgeübt werden darf. Die Formulierung sollte mit dem Fachanwalt für Arbeitsrecht bzgl. der Vereinbarkeit mit anderen arbeitsvertraglichen Regelungen abgestimmt werden.
- Nutzungsrichtlinien sollen die Handhabung betrieblicher EDV regeln und die Verwendung betriebsfremder Geräte für das Home-Office verbieten.
- Beschäftigte sollen in einer IT Sicherheitsrichtlinie zum sicheren Umgang mit Daten und EDV-Infrastruktur verpflichtet werden, siehe auch: IT-Sicherheitsrichtlinie.
- Arbeitsanweisungen können den Aktentransport und die Aktenvernichtung im Sinne einer möglichst elektronischen Datenverarbeitung ohne Medienbruch regeln.