Deutschland in Zeiten von Corona: Dies bedeutet für viele Berufstätige eine Verlagerung der Tätigkeit in die eigenen vier Wände. Im Zuge der Corona-Pandemie und der damit einhergehenden Kontaktreduzierungen nahm die Anzahl der Beschäftigten im Homeoffice nochmals erheblich zu. Doch wenn Mitarbeiter und Mitarbeiterinnen aus dem Homeoffice arbeiten sollen, muss für angemessene technische und organisatorische Maßnahmen gesorgt sein, um potentiellen Datenschutzverstößen vorzubeugen.
Im Homeoffice sind Daten und IT-Technik der unmittelbaren Kontrolle des Arbeitgebers entzogen. Gleichzeitig steigt die Gefahr unberechtigter Zugriffe durch Dritte. Auch beim Arbeiten im Homeoffice müssen die Vertraulichkeit und Integrität personenbezogener Daten gewährleistet sein.
Um die Verbreitung des Coronavirus zu verlangsamen, ist Homeoffice zwar ein probates Mittel. Allerdings auch eines, das datenschutzrechtliche Herausforderungen mit sich bringt.
Das Wichtigste in Kürze
- In einer Pressemitteilung weist der Datenschutzbeauftragte des Landes Sachsen-Anhalt auf das neue Infopaket zur Sicherheit im Homeoffice hin.
- Auch im Homeoffice bleibt das Unternehmen „Verantwortliche Stelle“ nach Art. 4 Nr. 7 DSGVO für die Verarbeitung personenbezogener Daten.
- Es ist zu prüfen, ob Arbeitsabläufe organisatorisch geregelt werden können, um auf die Verarbeitung personenbezogener Daten zu verzichten.
- Der Anschluss privater Geräte ist mit Sicherheitsrisiken (Befall von Schadsoftware) verbunden. Der Anschluss sowie die grds. Nutzung von dienstlichen Geräten für Privates sollte untersagt werden.
Hintergrund und Allgemeines zu Datenschutz im Homeoffice
In vielen Fällen ist die Telearbeit mit der Verarbeitung personenbezogener Daten verbunden, sodass auch im Hinblick auf den Datenschutz besondere Anforderungen zu bedenken sind, die Unternehmen vor der Auslagerung von Datenverarbeitungen zu beachten haben.
Der Landesbeauftragte für Datenschutz Sachsen-Anhalt hat in einer Pressemitteilung vom 23.11.2021 auf das neue Infopaket zur Sicherheit im Homeoffice auf seiner Homepage hingewiesen. In diesem Infopaket finden sich Hinweise und eine Checkliste zur Implementierung der datenschutzrechtlichen Anforderungen für das Homeoffice. Die technischen und organisatorischen Anforderungen an den Homeoffice-Arbeitsplatz richten sich nach dem Schutzbedarf der Daten. Je höher der Schutzbedarf, desto stärkere Maßnahmen müssen ergriffen werden.
Durch die Verarbeitungsauslagerung in den häuslichen Bereich stehen dabei zunächst nicht mehr die Schutzmaßnahmen und Sicherheitsvorkehrungen zur Verfügung wie im Betrieb. Das Unternehmen bleibt daher die „verantwortliche Stelle“ i.S.d Art. 4 Nr. 7 DSGVO für die Verarbeitung der Daten. Die verbindlichen datenschutzrechtlichen Erfordernisse gelten auch für diesen Bereich. Daher sind ergänzende technische und organisatorische Maßnahmen (TOMs) entsprechend Art. 32 DSGVO zu treffen, um ein adäquates Datenschutzniveau zu erreichen.
Auch außergewöhnliche Situationen, wie die Pandemie, oder gar die Homeoffice-Pflicht suspendieren nicht von den datenschutzrechtlichen Vorgaben.
Datenschutzrechtlicher Handlungsbedarf im Homeoffice
Bei der Auslagerung von Verarbeitungsvorgängen ist zu berücksichtigen, ob und inwieweit Daten erfasst sind. Infolge des Schutzgebotes und der obliegenden Prüfung der zu treffenden Maßnahmen des Datenschutzes ist vor der Auslagerung eine Betrachtung der vorgesehenen Prozesse durchzuführen. Vorab sollte festgelegt werden, wie und auf welchen Endgeräten Daten verarbeitet werden dürfen.
Bezüglich der Risiken durch die Verlagerung erscheint es geboten, ein den Arbeitsbedingungen angepasstes Sicherheitskonzept zu erstellen. In technischer Hinsicht können hierin etwa Festlegungen zu Hard-und Softwarekomponenten enthalten sein. Dabei kann insbesondere auf die Richtlinien des Bundesamtes für die Sicherheit in der Informationstechnik zurückgegriffen werden. Der Fernzugriff auf betriebliche Server sollte nicht das gesamte Netz der Dienststelle erfassen. Vielmehr sollte eine Anbindung lediglich an einen geschützten Teil der IT-Infrastruktur des Unternehmens erfolgen.
Eine Weiterleitung dienstlicher E-Mails an private Postfächer sollte entfallen. Die Untersagung der Nutzung dienstlicher Geräte für private Zwecke ist stets vorzugswürdig. Erscheint dies jedoch unvermeidbar, so bedarf die Installation betrieblicher Anwendungen auf privaten Geräten der Einwilligung des Betroffenen. Die Anforderungen des Art. 7 DSGVO sind einzuhalten. Hinsichtlich des erhöhten Risikos bei der Nutzung von privaten Geräten sind nicht vermeidbare Speicherungen getrennt von den privaten Daten vorzunehmen. Auf Computern ist dies durch die Einrichtung eines gesonderten, geschützten Kontos möglich.
Über die regelmäßige Schulung zu datenschutzrechtlichen Aspekten der jeweiligen Aufgaben der Beschäftigten hinaus, ist es notwendig, für die hinreichende Sensibilisierung der Beschäftigten zu Belangen des Datenschutzes und der Datensicherheit zu sorgen. Dies betrifft insbesondere die Einrichtung des häuslichen Arbeitsplatzes. Hierbei sollten Beschäftigte insbesondere zum Treffen von Sicherheitsvorkehrungen wie der Gewährleistung eines Sichtschutzes von Bildschirmen, dem Sperren des Gerätes sowie dem Schließen der Fenster oder Türen beim Verlassen des häuslichen Arbeitsplatzes angehalten werden.
Darüber hinaus ist auch im Bereich des Homeoffice auf die bekannten und zunehmenden Gefahren von Phishing-Mails aufmerksam zu machen. Darüber sollte darauf wert gelegt werden, dass Beschäftigte das Unternehmen im Falle von Verdachtsmomenten auf Cyberangriffe hinweisen.
Nach Art. 33 Abs. 1 DSGVO ist im Falle einer Verletzung des Schutzes personenbezogener Daten grundsätzlich eine Meldung an die Aufsichtsbehörde geboten. Demgemäß sollte insbesondere bei längerer Telearbeit berücksichtigt werden, dass im gegebenen Fall kurzfristig eine Reaktion notwendig werden kann.
Mobiles Arbeiten und Cloud-Dienste
Die IT-Infrastruktur und räumliche Sicherheit weichen beim mobilen Arbeiten noch stärker von der Lage im Büro ab, da die Arbeit nicht an einem fest eingerichteten Arbeitsplatz in der geschützten Sphäre der eigenen vier Wände ausgeführt wird, sondern grundsätzlich an beliebigen Orten, wie etwa auch im Zug oder in Cafés. Es sollten die Örtlichkeiten beschrieben werden, an denen mobil gearbeitet werden darf.
Datenverarbeitungen mit besonders hohem Schutzbedarf sollten eingeschränkt oder, falls möglich, gänzlich untersagt werden. Überdies muss die Nutzung von Verbindungstechnologien des genutzten Gerätes festgelegt werden (Bluetooth, WLAN). Weiter sind Aussagen notwendig, ob und inwieweit die Einbindung von genutzten Geräten in die Systeme Dritter zulässig sind. Dabei ist zu berücksichtigen, dass die Sicherheit von Systemen Dritter nicht zuverlässig beurteilt werden kann. Des Weiteren kann es bei Homeoffice und mobilem Arbeiten notwendig werden, Cloud-Dienste in Anspruch zu nehmen. Dabei handelt es sich oftmals um Auftragsverarbeitungssituationen (Art. 28 DS-GVO).
Um rechtskonform zu agieren, ist ein entsprechender Auftragsverarbeitungsvertrag zwischen Verantwortlichen und Dienstleister notwendig. Dabei muss der Auftragsverarbeitende hinreichende Gewährleistungen dafür bieten, dass geeignete TOMs zur Verarbeitung personenbezogener Daten bestehen. Die Überprüfung dessen obliegt dem Auftraggeber und muss von diesem nachgewiesen werden können. Der Zugriff auf die in der Cloud gespeicherten Daten bedarf eines starken Passwortschutzes.
In Bezug auf administrative Konten ist mindestens eine Zwei-Faktor-Authentisierung geboten. Für die Übermittlung personenbezogener Daten auf den Server des Cloud-Dienste-Anbieters ist eine sichere Verschlüsselung nach dem Stand der Technik unabdingbar (z. B. HTTPS). Dies gilt auch für die Ruheverschlüsselung.
Anforderungen an technische Verfahren und TOMs
§ 28b Abs. 4 IFSG sieht eine Homeoffice-Pflicht für Büroarbeitsplätze vor. Mangelnde technische und organisatorische Voraussetzungen können zwar ein zwingender betrieblicher Grund sein, kein Home Office anzubieten. Arbeitgeber dürfen diesen Grund jedoch nicht vorschieben, sondern müssen schnellstmöglich alle Maßnahmen ergreifen, um geeignete Voraussetzungen für die Durchführung von Homeoffice zu schaffen. Dabei können die Infos des LfDI nützlich sein.
Arbeit im Homeoffice kann sowohl gewinnbringend sein. Das Datenschutzrecht schließt dies nicht aus, fordert aber einen Mindestschutz für die personenbezogenen Daten. Durch eine obligatorische Transportverschlüsselung etwa soll eine unverschlüsselte Übermittlung der Nachrichten ausgeschlossen werden. Sie kann über das Protokoll SMTPS oder durch Aufruf des SMTP-Befehls STARTTLS und den nachfolgenden Aufbau eines TLS verschlüsselten Kommunikationskanals realisiert werden, wobei die Anforderungen der TR 02102-2 des Bundesamts für Sicherheit in der Informationstechnik zu erfüllen sind. Weitere Informationen hierfür stellt der LfDI Sachsen-Anhalt bereit.
Weiterhin gewährt eine Transportverschlüsselung unter den folgenden Anforderungen Schutz gegen aktive Angriffe Dritter:
- Die eingesetzten kryptografischen Algorithmen und Protokolle entsprechen dem Stand der Technik. Sie erfüllen die Anforderungen der Richtlinie BSI TR-02102-2 und garantieren Perfect Forward Secrecy.
- Der empfangende Server wird im Zuge des Aufbaus der verschlüsselten Verbindung entweder zertifikatsbasiert authentifiziert oder anhand eines öffentlichen oder geheimen Schlüssels, der über einen anderen Kanal zwischen Sender und Empfänger abgestimmt wurde.
- Erfolgt die Authentifizierung zertifikatsbasiert, so führt der Empfänger die Authentizität des Zertifikats auf ein vertrauenswürdiges Wurzelzertifikat bzw. einen via DANE publizierten Vertrauensanker zurück. Die Einhaltung dieser Anforderungen muss nachgewiesen werden.
Der Arbeitgeber muss dem Beschäftigen also eine IT-Ausstattung zur Verfügung stellen, mit der die datenschutzgerechte Tätigkeit im Homeoffice gewährt ist. Werden Notebooks herausgegeben, sollte deren Festplatte verschlüsselt werden. Das gilt auch für die vom Arbeitgeber bereitgestellten USB-Sticks. Der Zugriff auf das Betriebssystem und die vom Arbeitgeber bereitgestellten Systeme sind mit einem Kennwort zu versehen. Die elektronische Datenübermittlung (also z.B. E-Mail) sollte nach dem Stand der Technik verschlüsselt sein.
Zugriffe auf die Systeme des Arbeitgebers sollten lediglich über ein VPN möglich sein. Dieses VPN sollte auf seine Belastbarkeit geprüft werden, bevor Beschäftigte schließlich in großer Zahl darauf zugreifen. Es sollte ein Konzept zum Umgang und zur Vernichtung von sensiblen Unterlagen und Ausdrucken konzipiert werden. Der Arbeitgeber sollte den Beschäftigten auch im Homeoffice Shredder oder Datentonnen zur Verfügung stellen.
Ausblick
Von einem baldigen Ende der Corona-Pandemie ist nicht auszugehen. Es ist eher mit weiteren Einschränkungen hinsichtlich des Arbeitsalltags zu rechnen. Dies birgt erhebliches datenschutzrechtliches Gefahrenpotential, da die Tätigkeit im Homeoffice besonders anfällig für Hacker-Angriffe und folgenschwere Datenschutzpannen ist.
Die Einbindung spezialisierter Berater im Bereich des Datenschutzes ist dabei empfehlenswert, um in Bezug auf die vielfältigen Risiken im Homeoffice für Sensibilisierung zu sorgen. Darüber hinaus können diese die konkreten Arbeitsabläufe feststellen, die verschiedenen Risiken in Bezug auf den Datenbestand und die eingesetzten Verfahren bewerten und konkrete Empfehlungen zur Verbesserung des Datenschutzniveaus aussprechen.
Weiterhin finden Sie auf der Internetseite des LfDI Sachsen-Anhalt eine ausführliche Checkliste für die besondere datenschutzrechtliche Schwierigkeit des Homeoffices, anhand derer Sie die Datenschutzkonformität Ihrer Systeme ermitteln können und welche Schritte bei potentiellen Defiziten zu unternehmen sind.
