TOM zur Umsetzung des Datenschutzes bei der Heimarbeit
Die Corona-Pandemie erfordert von Unternehmen und Behörden die Bewältigung einer Vielzahl von Herausforderungen auf unterschiedlichsten Ebenen. Neben krankheitsbedingten Abwesenheiten, Gewinneinbrüchen und plötzlich untauglich gewordenen Geschäftsmodellen sind insbesondere Kontaktbeschränkungen sowie nicht ausreichend pandemiekonforme Arbeitsplätze ein drängendes Problem. In diesem Kontext entdecken viele Verantwortliche die Heimarbeit als Ausweg.
Unter Heimarbeit verstehen wir das dauerhafte, zeitweise oder alternierende Arbeiten an einem dafür hergerichteten Arbeitsplatz in einer privaten, häuslichen Umgebung. Hiervon abzugrenzen ist das mobile Arbeiten, bei dem eben keine fest eingerichtete Umgebung existiert. Im Rahmen unserer Tätigkeit wurden wir zum einen mit Anfragen und Beratungsersuchen zur Heimarbeit mit personenbezogenen Daten konfrontiert, zum anderen haben wir leider auch einige Beschwerden erhalten und unzureichende Umsetzungen festgestellt. Hierdurch ist uns bewusst geworden, dass einige Verantwortliche schon mit der Identifizierung der zu regelnden Themenbereiche überfordert sind. Vor diesem Hintergrund und mit Blick auf die voraussichtlich länger andauernden Pandemiebeschränkungen haben wir die wichtigsten Anforderungen sowie die daraus resultierenden technischen und organisatorischen Maßnahmen zur Verarbeitung personenbezogener Daten in Heimarbeit in einer Handreichung zusammengefasst und als Hilfestellung für Unternehmen und Behörden in unserem Internetangebot veröffentlicht.
Zwei grundlegende Probleme bei der Umsetzung von Heimarbeit konnten wir immer wieder feststellen: Viele Verantwortliche orientieren sich an im Internet kursierenden, „fertigen“ Listen von Maßnahmen, streichen Unpassendes oder Unbequemes heraus und verwenden den Rest als „Heimarbeitskonzept.“ Ebenfalls beliebt ist der Ansatz, Verpflichtungserklärungen von Beschäftigten einzufordern, sie dann jedoch bei einem Großteil der praktischen Umsetzung allein zu lassen.
Hieran lassen sich gleich zwei Kardinalfehler erkennen: Zunächst ist der datenschutzrechtlich Verantwortliche (also z. B. das Unternehmen oder die Behörde) auch für die Einhaltung der entsprechenden gesetzlichen Anforderungen bei der Heimarbeit verantwortlich. Seine Aufgaben reichen von einer lückenlosen Konzipierung über die Anschaffung der erforderlichen Hard- und Software sowie die Einbindung der in Heimarbeit befindlichen Beschäftigten bis hin zur Kontrolle der Heimarbeitsplätze. Zum anderen orientiert sich das oben geschilderte Vorgehen nicht an dem eigenen, unternehmensspezifischen Bedarf und behandelt somit auch nicht zwingend die Risiken der eigenen Geschäftstätigkeit. Da die bzw. der Beschäftigte in Heimarbeit Teil des Unternehmens bzw. der Behörde bleibt, muss auch der Heimarbeitsplatz als Teil der Arbeitsstätte aufgefasst werden. Daraus folgt, dass dort mindestens die gleichen Risiken wie in der Betriebsstätte bzw. der Behörde zu adressieren sind. Insofern ist jeder in Heimarbeit stattfindende Prozess einer Risikobewertung zu unterziehen. Aus dieser sind entsprechende Maßnahmen zur Minimierung des zugrunde liegenden Risikos abzuleiten. Dies ist so lange zu wiederholen, bis ein hinreichend niedriges, beherrschbares Restrisiko vorliegt. Entsprechend müssen Verantwortliche auch die in dieser veröffentlichten Handreichung zusammengestellten Anforderungen und Maßnahmen an die eigenen Bedürfnisse anpassen und ergänzen.
Die Orientierungshilfe wurde in die Themenkomplexe konzeptionelle Vorarbeiten, Einrichtung des häuslichen Arbeitsplatzes, Aufbewahrung und Transport, Hard- und Software-Management, Kommunikationsinfrastruktur sowie Kommunikation zwischen Beschäftigten und Unternehmen unterteilt. Zu jedem Themenkomplex wurden datenschutzrechtliche Anforderungen und Maßnahmen für normale und hohe Risiken identifiziert. Um Unklarheiten aufgrund eines nicht eindeutigen Sprachgebrauchs zu vermeiden, wurden bei der Formulierung an den Publikationen des Bundesamtes für Sicherheit in der Informationstechnik zum IT-Grundschutz orientiert: Eine MUSS-Anforderung ist zwingend umzusetzen, eine SOLLTE-Anforderung ist zur Umsetzung empfohlen und kann nach eigenem Ermessen durch andere Maßnahmen ersetzt werden, die Umsetzung einer KANN-Anforderung ist optional. Nachfolgend geben wir eine kurze Zusammenfassung der wichtigsten Aspekte der einzelnen Themenkomplexe.
Im Hinblick auf konzeptionelle Vorarbeiten wurden generelle Kriterien zur Umsetzung der Heimarbeit und Anforderungen bezüglich der Dokumentation aufgeführt. So werden Themen wie die Prüfung der Eignung von Verarbeitungstätigkeiten für Heimarbeit, die Einräumung von Kontrollrechten im häuslichen Bereich, die Schulung von Mitarbeiterinnen und Mitarbeitern, die Fortschreibung von Datenschutz- und IT-Sicherheitskonzepten sowie die Erforderlichkeit einer Datenschutz-Folgenabschätzung angesprochen. Der Verantwortliche muss durch eine individuelle Klärung dieser Fragen die Heimarbeit auf ein solides Fundament stellen.
Bei der Einrichtung des häuslichen Arbeitsplatzes sind Aspekte wie die grundsätzliche Eignung eines Raumes für Heimarbeit und die Trennung von Arbeits- und Privatbereich zu beachten sowie Fragen zum Perimeterschutz zu klären. Hierbei soll sichergestellt werden, dass die Beschäftigten den Heimarbeitsplatz als Teil der betrieblichen Arbeitsstätte wahrnehmen und an diesem auch so handeln.
Schnell übersehen werden der Transport von personenbezogenen Daten (z. B. in Akten oder auf elektronischen Datenträgern) zwischen Unternehmen oder Behörde und dem häuslichen Bereich sowie die Aufbewahrung der Daten am Heimarbeitsplatz – speziell außerhalb der Arbeitszeit. Die Risiken auf diesen Gebieten sind höher als bei einer Verarbeitung ausschließlich in den Räumlichkeiten des Verantwortlichen. Als wesentliche Maßnahme ist die Bereitstellung der entsprechenden Behältnisse durch Verantwortliche zu nennen, sodass der sichere Transport und die sichere Aufbewahrung der personenbezogenen Daten nicht allein den Beschäftigten überlassen wird.
Unter der Überschrift Hard- und Software-Management werden die Fragestellungen zur Administration der Hardware, zur Nutzung von privaten Endgeräten, zur Freigabe der eingesetzten Software und zur Notwendigkeit von Verschlüsselung angesprochen. Hierbei war es der Datenschutzbehörde besonders wichtig, erneut die Verantwortlichkeit des Unternehmens oder der Behörde in den Vordergrund zu stellen, eine klare Vorgabe zur Verwendung von unternehmens- oder behördeneigener Hard und Software zu treffen und klarzustellen, dass private Geräte nur ausnahmsweise und unter ausreichender Kontrolle durch den Verantwortlichen genutzt werden können.
Der Themenkomplex Kommunikationsinfrastruktur trifft hauptsächlich Aussagen zu Anforderungen an die Anbindung der eingesetzten Hardware an die Unternehmensressourcen. Über allgemeine Grundlagen, wie eine sichere Transportverschlüsselung, haben wir hier Anforderungen an die eingesetzten Router mit aufgenommen, da ein Teil der für den Verbrauchermarkt konzipierten Geräte häufig Sicherheitsmängel aufweist, die nur zögerlich bereinigt werden. Im Hinblick auf die Kommunikation zwischen den in Heimarbeit befindlichen Beschäftigten und Unternehmen oder Behörde wird zum einen die Schaffung von Richtlinien verlangt, die einen geordneten Austausch ermöglichen, zum anderen werden für wesentliche Kommunikationsmittel wie E-Mail oder Telefon die wichtigsten Maßnahmen festgehalten.
Die Datenschutzaufsicht hofft, dass die Orientierungshilfe eine gute Orientierung zur datenschutzkonformen Ausgestaltung von Heimarbeit gibt und Verantwortliche in die Lage versetzt, eine Anpassung an ihre konkreten Verarbeitungsvorgänge und die spezifischen Risiken vorzunehmen sowie die erforderlichen technischen und organisatorischen Maßnahmen zu identifizieren und umzusetzen.
Quelle: Landesbeauftragte für Datenschutz und Akteneinsicht Brandenburg
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks