Viele Unternehmen haben die letzten Wochen damit verbracht, die Strukturen im Unternehmen so anzupassen, dass viele Mitarbeiter im Homeoffice arbeiten können.
Sie sollten aber auch daran denken, dass das Arbeiten im privaten Umfeld die Risiken für Geheimnisschutz- und Datenschutzverstöße erhöht.
Welche technischen und organisatorischen Maßnahmen sind im Homoffice zu erfüllen?
Zum Schutz des Knowhows Ihres Unternehmens und zur Verhinderung von datenschutzrechtlichen Bußgeldern sollten Sie die Einhaltung der datenschutzrechtlichen Vorgaben anhand bestimmter Maßnahmen sicherstellen.
Denn auch im Homeoffice sind die nach der Datenschutz-Grundverordnung (DSGVO) geforderten technischen und organisatorischen Maßnahmen zur Datensicherheit einzuhalten. Wir haben Ihnen daher einige technische organisatorische Maßnahmen (TOM) zusammengestellt, die zur Einhaltung der datenschutzrechtlichen Vorgaben im Home-Office beitragen können:
Technische Maßnahmen
- Herstellung einer sicheren und schnellen Breitband-Internetverbindung mit einem verschlüsselten Zugriff zum Firmennetzwerk (z.B. VPN)
- Installation eines Viren-Scanners und einer Firewall, die sich auch außerhalb des Firmennetzwerks aktualisiert und funktioniert
- Einstellung einer passwortgeschützten Bildschirmsperre, die sich nach Ablauf einer bestimmten Zeit automatisch einschaltet
- Verschlüsselung des Computers mit einem individuellen Passwort zum Schutze vor unberechtigtem Zugriff von Familienmitgliedern oder anderen Mitbewohnern
- Verschlüsselung der E-Mails, der externen Datenträger und des Firmenhandys
- Sicherstellung der Zugangsberechtigung durch bestimmte Authentifizierungssystemen (z.B. durch eine Zwei-Faktor-Identifizierung)
- Durchführung von regelmäßigen automatisierten Updates sämtlicher Softwareprodukte
- Datenspeicherung nur auf den Unternehmensservern bzw. zentralen IT-Systemen des Unternehmens
- Einführung eines strengen Rechtemanagements (nur Admin darf Software installieren)
- Datensicherung auf einem zentralen Server, entweder auf dem eigenen Firmenserver oder bei einem zertifizierten Cloud-Anbieters in Europa.
- Regelung und Kontrolle der Datensicherung, der Datensicherheit und der gesamten technischen Maßnahmen
Organisatorische Maßnahmen
Zur Umsetzung der organisatorischen Maßnahmen kann eine Sicherheitsrichtlinie für den ordnungsgemäßen Umgang mit personenbezogenen Daten mit den Beschäftigten vereinbart werden. Darin können auch Regelungen zur Datenvernichtung, zu Sicherheitsanforderungen, zur korrekten IT-Nutzung, zur Datenübermittlung und zu den Kommunikationsarten festgelegt werden. Weiterhin sollte eine Verpflichtung auf das Datengeheimnis und ein Audit-Fragebogen ausgefüllt werden.
Weitere Beispiele, ohne Anspruch auf Vollständigkeit, werden nachfolgend aufgeführt:
- Schulungen zur Sensibilisierung der Beschäftigten und zur Einweisung in die Heimarbeit (Sollte durch oder mit dem Datenschutzbeauftragen erfolgen)
- Anweisungen zu Passwörtern und zur Datensicherheit
- Bereitstellung von Firmengeräten wie z.B. Laptops oder Handys. Private Hardware sollte nur in Ausnahmefällen und nur bei Vorhandensein entsprechender Vereinbarungen eingesetzt werden.
- Dokumentation der Ausgabe der Hardware an die Mitarbeiter
- Vereinbarungen zur Untersagung der Privatnutzung von unternehmensinterner Hardware oder eines Anschließens von privaten Datenträgern und anderer Geräte
- Einrichtung einer Rufumleitung, Anweisung zur Meldung von Datenpannen
- Clean-Desk-Policy
Die Durchsetzung der vorstehend dargestellten Maßnahmen ermöglicht die Einhaltung des Datenschutzes im Homeoffice und verringert somit das Risiko von Datenschutzverstößen.
Darüber hinaus gibt es noch eine Reihe weiterer Detailprobleme in der Umsetzung der Heimarbeit. So kann es sein, dass nach dem Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) und nach den arbeitsvertraglichen Regelungen im Unternehmen ggf. noch weitere Maßnahmen und Vereinbarungen für das Homeoffice zu berücksichtigen sind. Auch in diesen Bereichen sind wir Ihnen gerne behilflich.
Sprechen Sie uns an.
GoldbergUllrich Rechtsanwälte
Rechtsanwalt Michael Ullrich, LL.M. (Informationsrecht)
Fachanwalt für Informationstechnologierecht
