Datenschutz im Homeoffice. Wie wird’s richtig gemacht?
Die Arbeit im Homeoffice ist nicht erst seit der COVID-19-Pandemie ein Thema. Aber unabhängig davon, wann Ihr Unternehmen begonnen hat die Arbeit in den eigenen vier Wänden zu erlauben, Datenschutz und Datensicherheit sollten zu keinem Zeitpunkt außer Acht gelassen werden. Die Erfüllung der Regeln im Sinne der DSGVO erfordert eine besondere Disziplin. In unserem Artikel wollen wir beschreiben, wie man seine Mitarbeiter anregt, personenbezogene Daten zu Hause genauso umsichtig zu behandeln wie in den Räumlichkeiten der Firma.
Brauchen wir Datenschutz im Homeoffice?
Sobald personenbezogene Daten verarbeitet werden, müssen die Datenschutz-Standards des Unternehmens auch im Homeoffice aufrechterhalten werden. Schon alltägliche Handlungen wie das Aufschreiben einer Notiz oder ein Speichern auf der eigenen Festplatte können Verletzungen der einschlägigen Bestimmungen darstellen. Gemäß der Allgemeinen Datenschutzverordnung der EU (GDPR) spielt es dabei keine Rolle, wer die Daten verarbeitet oder wo sie verarbeitet werden. Entscheidend ist, wer über den Zweck und die Mittel der Datenbearbeitung entscheidet (Art. 4 Abs. 7 BDSG). Im geschäftlichen Kontext ist also der Arbeitgeber verantwortlich.
Um kostenintensive Abmahnungen und Strafen zu vermeiden, sollte der Datenschutz im Homeoffice daher zu keinem Zeitpunkt vernachlässigt werden.
Ansprüche der DSGVO
Die DSGVO ist ein sehr komplexes Regelwerk. Um es kurz zusammenzufassen, hier einige der wichtigsten Anforderungen der DSGVO für die Anwendung im Homeoffice:
- Verbraucher müssen darüber aufgeklärt werden, welche Daten über sie erhoben werden
- Die persönlichen Daten eines Verbrauchers müssen auf Aufforderung gelöscht werden
- Verbraucher können ihre Daten von einem Unternehmen zum anderen übertragen
- Unternehmen müssen eine klare, eindeutige Zustimmung der Verbraucher erhalten, bevor sie ihre Daten sammeln
- Persönliche Daten müssen für die Übertragung oder Speicherung verschlüsselt werden
- Unbefugte können keine persönlichen Daten einsehen
- Verletzungen der Datenschutzgesetze müssen umgehend den zuständigen Behörden gemeldet werden
- Persönliche Daten dürfen nicht an Dritte in Regionen, in denen die DSGVO nicht eingehalten werden kann
- Unternehmen ab einer bestimmten Größe müssen einen Datenschutzbeauftragten ernennen
Datentransfer außerhalb der EU?
Viele EU-Unternehmen haben Niederlassungen im Ausland oder arbeiten mit Mitarbeitern in Regionen außerhalb der EU. Solange persönliche Daten innerhalb der gleichen Organisation geteilt werden, ist dies auch dann erlaubt, wenn der Mitarbeiter sich außerhalb der EU befindet. Das gilt jedoch nicht für Drittunternehmen und externe Agenturen. Das Teilen von personenbezogenen Daten von EU-Bürgern mit Dritten außerhalb der EU ist grundsätzlich nicht erlaubt.
Konkrete Sicherheitsmaßnahmen für Arbeitgeber
Um Ihre Mitarbeiter bei der Durchführung der oben beschriebenen Maßnahmen zu unterstützen, sollten Sie sicherstellen, dass mindestens die folgenden Anforderungen erfüllt werden:
- Erstellen Sie eine Liste der für die Arbeit erlaubten Hard- und Software
- Computer und Betriebssystem müssen mit einem Passwort geschützt werden, auch wenn der Arbeitsplatz nur kurz verlassen wird
- Daten auf PCs, Notebooks und mobilen Datenträgern wie USB-Sticks müssen verschlüsselt vorliegen
- E-Mail-Konten und E-Mails müssen ausreichend verschlüsselt sein
- Wenn möglich sollte eine lokale Speicherung nach Möglichkeit vermieden werden, arbeiten Sie besser mit Cloud Speichern, die immer der Kontrolle der IT unterliegen
- Datenschutzverletzungen und Sicherheitsvorfälle müssen sofort gemeldet werden
- Bildschirme dürfen nicht von Familienmitgliedern oder Nachbarn einsehbar sein
- Drucken nach Möglichkeit komplett vermeiden
- Dokumente in abschließbaren Schubladen aufbewahren
- Gedruckte Dokumente mit Aktenvernichter oder Zerreißen unkenntlich machen
- Keine Geschäftsgespräche in der Öffentlichkeit
- Keine privaten USB-Sticks oder Festplatten verwenden
- Geschäftliche E-Mails nie an die private Mailbox eines Mitarbeiters weiterleiten
Datenschutz Best-Practice für zu Hause
Die Aufrechterhaltung des Datenschutzes in einem Remote-Team, dass per Fernzugriff zusammenarbeitet, sind die Verschlüsselung und die Zugangskontrolle. Die Verschlüsselung ist grundsätzlich notwendig, um die Daten bei der Übertragung bestmöglich abzusichern. Durch die Zugangskontrolle wird sichergestellt, dass Unbefugte keinen direkten Zugriff über die Geräte oder Peripherie des Mitarbeiters haben. Für die wirksame Umsetzung der Datenschutzregeln ist es wichtig, einen Leitfaden zu entwickeln, und die Mitarbeiter immer wieder auf dessen Einhaltung hinzuweisen! Für das Entwickeln der Richtlinien für den Fernzugriff ist häufig das interne IT- und Datensicherheitsteam zuständig.
Was gehört noch in die Remote-Access-Policy?
Verschlüsselung
Daten sollten beim Versand immer über Seiten mit HTTPS oder einen eigenen VPN Server verschickt werden. Darüber hinaus müssen Daten auch verschlüsselt werden, wenn sie auf Servern und Festplatten gespeichert werden.
Schutz der Endgeräte der Mitarbeiter
Endgeräte von Mitarbeitern müssen vor Cyber-Attacken geschützt werden. Denn auch Malware oder Computerviren können Daten ausspähen. Auf den Geräten sollte mindestens eine Anti-Malware-Software installiert sein. Ein sicheres Web-Gateway trägt zusätzlich zum Schutz der Mitarbeiter beim Surfen im Internet bei. Ein noch größeres Risiko sind statistisch gesehen aber verlorene Geräte. Auch deshalb ist eine wirkungsvolle Geräteverschlüsselung unglaublich wichtig.
Schutz vor Phishing-Angriffen
Das Eindringen in die digitale Infrastruktur eines Unternehmens erfolgt häufig über sogenannte Phishing E-Mails. Da es erheblich schwerer ist, alleine Zuhause festzustellen, ob eine E-Mail mit betrügerischer Absicht verschickt wurde, muss der Schutz also weiter gehen als zuvor. Eine Verschlüsselung sorgt dafür, dass die Daten selbst dann nicht gelesen werden können, wenn kriminelle Hacker sie herunterladen. Deshalb sollten alle Geräte, die Ihre Mitarbeiter bei der Arbeit verwenden, einschließlich ihres Arbeitstelefons, verschlüsselt werden. Die Verschlüsselung von Android-, iOS-, MacOS- und Windows-Geräten ist ebenfalls Teil unserer Beratung.
Externe Datenschutzberatung
Selbstverständlich stehen wir jederzeit zur Verfügung, falls Sie sich zum Datenschutz für Ihre Mitarbeiter im Homeoffice beraten lassen möchten! Wir kümmern uns darum, dass entsprechende Standards auch bei Ihrer Belegschaft eingeführt und etabliert werden. Das kann die Erstellung eines privaten Netzwerks (VPN) sein, aber auch die Installation von Anti-Malware auf den Geräten der Mitarbeiter oder die Einrichtung von Multi-Faktor-Authentifizierung (MFA) sein. Wo auch immer wir Lücken in Ihrem Sicherheitskonzept finden, schließen wir diese.
- Mit Google Werbung erfolgreich im E-Commerce - 26. Februar 2021
- Google YouTube Begriffe ganz einfach erklärt - 19. Februar 2021
- Datenübernahme von Gerät zu Gerät: So geht es - 12. Februar 2021