Homeoffice und Datenschutz

geändert am 8. Mai 2021

Im Rahmen der Corona-Pandemie sind Arbeitgeber seit dem 27. Januar 2021 durch die Corona-Arbeitsschutzverordnung verpflichtet, ihren Mitarbeitern Homeoffice anzubieten, falls keine zwingenden betriebsbedingte Gründe dagegensprechen. Wie sieht es im Homeoffice jedoch mit dem Datenschutz aus? Gilt hier die Datenschutzgrundverordnung (DSGVO) wie in der Firma?


Der nachfolgende Text stellt ein Informationsangebot dar und keine Rechtsberatung! Der Beitrag ersetzt keine Rechtsberatung, welche auf eine bestimmte Situation eingeht. Der Inhalt wurde nach bestem Wissen und Gewissen recherchiert, allerdings ohne Gewähr auf Richtigkeit und Vollständigkeit. Für eine verbindliche Rechtsberatung wenden Sie sich bitte an einen Rechtsanwalt oder Datenschutzbeauftragten.


Unterschied zwischen Homeoffice und mobilem Office

Im Rahmen der Corona-Pandemie hat sich der Begriff Homeoffice eingebürgert. Allerdings ist dies meist nicht korrekt, denn in Tat und Wahrheit handelt es sich vielfach um mobiles Arbeiten. Der Unterschied liegt darin, dass in der Arbeitsstättenverordnung der Begriff Homeoffice als Telearbeitsplatz gesetzlich definiert ist. Dabei handelt es sich um vom Arbeitgeber fest eingerichtete Bildschirmarbeitsplätze im Privatbereich der Mitarbeiter mit einer vereinbarten wöchentlichen Arbeitszeit und Dauer der Einrichtung.

Der Begriff mobiles Office ist hingegen vom Gesetzgeber nicht definiert. Bei dieser Form ist es egal, wo, wie und wann der Arbeitnehmer seine Aufgaben erledigt, wichtig ist nur, dass er sie erledigt. Daher handelt es sich derzeit vorwiegend um mobiles Arbeiten von zu Hause und nicht um Homeoffice.

Da die Corona-Arbeitsschutzverordnung von Homeoffice redet, wird der Begriff im Beitrag synonym zum mobilen Office verwendet. Und für den Datenschutz spielt es keine Rolle, denn für beide Arbeitsformen gilt die DSGVO für personenbezogene Daten.

Personenbezogene Daten am Esstisch?

Betrifft die Arbeit im Homeoffice keine schützenswerten Daten, spielt es aus Sicht des Datenschutzes keine Rolle, ob die Arbeit zu Hause in der Küche, im Wohn- oder im Arbeitszimmer erfolgt. Verarbeitet der Mitarbeiter jedoch personenbezogene Daten, sieht es anders aus. Was genau unter den Datenschutz fällt, regelt der Art. 4 der Datenschutzgrundverordnung (DSGVO).

Handelt es sich um Daten gemäß dieser Verordnung, gilt auch für die Arbeit zu Hause die DSGVO. Bei einer Verletzung ist voraussichtlich in erster Linie der Arbeitgeber und nicht der Arbeitnehmer in der Pflicht. Für den Arbeitgeber gilt es daher zunächst abzuklären, ob der Heimarbeitsplatz überhaupt für ein datenschutzkonformes Arbeiten geeignet ist. Im nächsten Schritt empfiehlt es sich, entsprechende Schutzmaßnahmen zu ergreifen und Regeln für die Arbeit aufzustellen.

Das datenschutzkonforme Homeoffice

Damit die Arbeit zu Hause datenschutzkonform ablaufen kann, sollte ein abschließbares Arbeitszimmer zur Verfügung stehen. Schützenswerte Unterlagen gehören in einen abschließbaren Schrank, ebenfalls die Datenträger.

Das Homeoffice ist ein Büro zum Arbeiten, deshalb sollten die Arbeitsgeräte, unabhängig ob PC, Notebook oder Tablet, ausschließlich beruflich genutzt werden. Privater E-Mail-Verkehr oder nicht berufliches Surfen im Netz sollte hier nicht erfolgen. Dies lässt sich am einfachsten durch die Bereitstellung eines Firmen-PCs umsetzen.

Verlässt der Mitarbeiter sein Heimbüro, sollten Haushaltsmitglieder keinen Zugang dazu haben. Homeworker sollten sicherstellen, dass Kinder keine Papierflieger aus schützenswerten Dokumenten basteln und aus dem Fenster fliegen lassen oder als Schmierpapier in der Schule verwenden.

Dass der PC passwortgeschützt sein muss, ist selbstredend.

Homeoffice und Datenschutz – Richtlinien erstellen

Der Arbeitgeber sollte zu seinem eigenen Schutz dem Heimarbeiter – insbesondere bei der Verarbeitung hochsensibler Daten – klare Richtlinien vorgeben. Dies bezieht sich zum einen auf die Verarbeitung der Daten am PC, Laptop oder Tablet und deren Übertragung übers Internet und zum anderen auf die Aufbewahrung von gedruckten Dokumenten im Heimarbeitsplatz. Was gilt es bei der Erstellung von Richtlinien für den Datenschutz im Homeoffice zu beachten?

Bevor der Mitarbeiter ins Homeoffice geht und dort sensible Daten verarbeitet ist er über den erforderlichen Datenschutz zu informieren und es ist mit ihm abzuklären, inwieweit dies bei ihm zu Hause möglich ist.

Ist eine sichere Internetverbindung gewährleistet?

Zunächst ist zu prüfen, ob der Arbeitnehmer über eine sichere Internetverbindung verfügt. Der Router verbindet dabei das Heimnetzwerk mit dem Internet. Sind die Computer im lokalen Netzwerk mit dem Router per Kabel verbunden, spricht man vom LAN, erfolgt die Anbindung kabellos, heißt es WLAN (Wireless Local Area Network). Sicherheitsrisiken bilden sowohl der Router als auch das im Privatbereich vielfach benutzte WLAN. Sowohl die Funkverbindung wie die Anbindung des Routers ans Internet bieten Einfalltore für Cyber-Kriminelle.

Für eine sichere WLAN-Übertragung zwischen PC und Router empfiehlt sich eine Verschlüsselung mittels WPA2 und ein Passwort aus mindestens 20 Zeichen, bestehend aus großen und kleinen Buchstaben, Ziffern und Sonderzeichen. Am sichersten ist es, das WLAN nur zu aktivieren, wenn es tatsächlich gebraucht wird.

Die Router-Firmware sollte stets aktuell sein, um Sicherheitslücken zu vermeiden. Ferner empfiehlt es sich, am Router den Fernzugriff sowie alle nicht erforderlichen Zusatzfunktionen zu deaktivieren.

Virenschutzprogramm – wie sich vor Viren und Gewürm schützen?

Ein installiertes Virenschutzprogramm vermindert das Risiko eines Virenbefalls oder das Einnisten von Würmern und Trojanern, die den Rechner lahmlegen können. Gerade E-Mails mit verseuchten Links oder Anhängen sind bei kriminellen Hackern beliebt. Daher bei unbekannten Absendern nie auf einen Link klicken oder einen Anhang öffnen. Aber die E-Mails sind immer besser getarnt, sehen echt aus. Zunächst mit der Maus über den Link fahren und die Linkadresse in der Statuszeile kontrollieren. Ebenso den Absender genau anschauen und im Zweifel keinesfalls öffnen, lieber zum Telefonhörer greifen und beim Absender nachhaken.

“https” und VPN – was ist das?

Beim Surfen im Internet nur auf Webseiten gehen, die „https“ anstatt „http“ nutzen. Beim „https“ weist die Website gegenüber dem Browser die Identität mittels eines Zertifikats (TLS/SSL-Verschlüsselung) nach. Ob eine sichere Verbindung besteht, ist in der Adressleiste des Browsers ersichtlich. Sichere Seiten beginnen mit „https://“. Ferner erscheint – beispielsweise in Google Chrome ­– links neben der Adresse ein Schloss-Symbol. Bei einem Klick auf dieses Symbol lassen sich das Zertifikat und weitere Informationen zur besuchten Webseite einsehen. Ist die Seite nicht sicher, erscheint ein Warndreieck. In diesem Fall keine sensiblen Daten eingeben wie Kreditkartennummern, Kontodaten oder Passwörter. Internetkriminelle könnten dies Informationen abfangen.

Ein weiterer Schutz, eine gesicherte Verbindung zum Firmennetzwerk aufzubauen, bietet ein virtuelles privates Netzwerk (VPN). Während „https“ nur die Kommunikation zwischen Browser und der aufgerufenen Webseite betrifft, verschlüsselt VPN-Anbieter zwischen zwei Endpunkten. Dies kann etwa zwischen Browser oder einer Smartphone-App und einem VPN-Server sein. VPN kann den gesamten Internetverkehr verschlüsseln. Dies ist besonders empfehlenswert beim Surfen an öffentlichen Hotspots wie an Flug- oder Bahnhöfen oder in Hotel oder Städten.

Wie sieht es mit der verwendeten Hardware aus?

Arbeitet der Mitarbeiter von seinem privaten PC aus oder stellt die Firma die Hardware? Wie bereits erwähnt, sollte Berufliches vom Privaten getrennt sein. Nutzt die Mitarbeiter seinen eigenen PC, kann der Arbeitgeber im schlecht verbieten, ihn auch privat zu nutzen. Daher sollte die Firma den Arbeits-PC im Homeoffice stellen.

Wie sieht es mit der Datensicherung aus, welche Speichermedien darf der Mitarbeiter anschließen? Externe Festplatten, USB-Sticks oder sonstige Speichermedien? Dies sollte die Richtlinie festlegen. Und wie sind Speichermedien sicher aufzubewahren?

Wie steht es mit der verwendeten Software?

Wie muss der Mitarbeiter mit Passwörtern umgehen? Welche Nutzungsrechte erhält der Arbeitnehmer von seinem Heimarbeitsplatz aus? Sind notwendige Software-Updates möglich? Über welche Kanäle kommuniziert der Mitarbeiter mit der Firma? Per E-Mail, WhatsApp oder sonstige Messenger? Ist die Übertragung verschlüsselt?

Nutzt der Arbeitnehmer seinen privaten PC, wie sicher ist dieser? Ist ein Virenschutzprogramm oder eine Firewall installiert?

Wie erfolgt die Datensicherung, ist eine professionelle Back-up-Software vorhanden? Wo ist das Datensicherungsmedium aufzubewahren? Eine Datensicherung in einer Cloud kann zu massiven Datenschutzproblemen führen.

Homeoffice und Datenschutz – Papier-Dokumente

Ist es dem Mitarbeiter gestattet, Dokumente auszudrucken? Gibt es einen Schredder für eine datenkonforme Entsorgung von nicht gebrauchten Schriftstücken? Wo sind Ordner sicher aufzubewahren?

Besitzt der Mitarbeiter die Möglichkeit einer sicheren Verwahrung? Den Dokumententresor der Firma kann er schlecht mit nach Hause nehmen, der ist hoffentlich dort gut verankert.

Unterlagen und Datenträger mit personenbezogenen Daten sind im Homeoffice in jedem Fall in einem abschließbaren Schrank aufzubewahren. Sollte aus dem mobilen Office auf Dauer ein Homeoffice werden, ist ein Dokumententresor von Vorteil. Damit sind Arbeitgeber auf der sicheren Seite.

Homeoffice und Datensicherheit

Neben dem Datenschutz, bei dem es um die Sicherheit personenbezogener Daten geht, gibt es die Datensicherheit. Hierbei geht es um die Sicherheit aller Daten. Daten sind das Herz der Firma, sie sind vor Diebstahl, Verlust und Beschädigung zu schützen. Gehen wichtige Firmendaten verloren, kann dies eine Firma in ernste Bedrängnis bringen. Wie sicher sind sie im Homeoffice?

Dies betrifft Dokumente in Papierform sowie Datenträger. Ein abschließbarer Schrank mag zwar vor einfachem Zugriff schützen, aber nicht vor professionellem Einbruch oder bei einem Brand. Ein Dokumententresor schützt nicht nur vor unberechtigtem Zugriff, sondern auch bei einem Feuer. Es gibt spezielle Dualtresore, die speziell vor beiden Gefahren schützen. Wie gut und wie lange Dokumente sicher bei einem Brand im Safe sind, finden sich unter dem Menüpunkt Diebstahl+Brand.

Für die sichere Aufbewahrung von Datenträgern gelten andere Regeln. Hier reicht ein einfacher Feuerschutz für Papier nicht aus. Damit externe Festplatten einen Brand unbeschadet überstehen, darf die Innentemperatur im Safe 50 °C und die rel. Luftfeuchte 85 % nicht übersteigen. Dies garantieren nur Brandschutztresore nach der Norm EN 1047-1 mit dem Zusatz DIS.

Die Idee, die Daten einfach in einer Cloud zu sichern, was im Sinne der Datensicherheit möglich wäre, liegt nahe. Allerdings kollidiert dieses Verfahren bei personenbezogenen Daten vielfach mit dem Datenschutz.

Homeoffice und Datenschutz – Fazit

Bei der Verarbeitung personenbezogener Daten mag das mobile Arbeiten oder Homeoffice problematisch sein. Allerdings sollten Arbeitgeber abwägen, wie wichtig ihnen die Gesundheit und der Schutz der Mitarbeiter vor einer Corona-Ansteckung sind und dem zusätzlichen Aufwand, welcher die Umsetzung des Datenschutzes im Homeoffice erfordert.