Corona-Pandemie: Datenschutz Empfehlungen für Home-Office

Deutschland befindet sich im Ausnahmezustand und Sie haben aktuell hinsichtlich der Corona-Pandemie viele Hürden zu meistern. Die verstärkte Nutzung von Home-Office führt dazu, dass auch dort wesentlich umfangreicher personenbezogene Daten als bisher verarbeitet werden. Auch hier sind datenschutzrechtliche Vorgaben zu beachten.

Das Datenschutz-Team der FCH Compliance GmbH gibt Ihnen folgende fünf Empfehlungen für eine pragmatische Umsetzung in dieser Krisenzeit:

1. Stehen betriebliche Geräte zur Verfügung, legen Sie fest, in welchem Umfang der Home-Office-Nutzer dieses Gerät auch privat nutzen darf. In der aktuellen Situation regeln Sie dies am unkompliziertesten mit einem verbindlichen Informationsschreiben an die Home-Office-Nutzer (Vorschlag siehe Tipp 5). Wird die Home-Office-Regelung über private Geräte abgewickelt, klären Sie die Nutzung für betrieblichen Zwecke. Zur Datentrennung privater und geschäftlicher Daten muss der Home-Office-Nutzer sensibilisiert werden.
2. Sofern ein Zugriff vom Home-Office-Arbeitsplatz auf das interne Firmennetzwerk vorgesehen ist, muss dieser abgesichert sein. Falls Sie noch keine entsprechende Lösung im Einsatz haben, sollten Sie sich mit Ihrer IT-Abteilung abstimmen. Es kommen beispielsweise VPN-Lösungen (virtuelles privates Netzwerk) oder ein https-gesicherter Webzugriff in Betracht.
3. Beleuchten Sie Risiken und hierdurch notwendige Restriktionen bei der Verarbeitung von Dokumenten und Daten außerhalb des Unternehmens. Beispiele:
   a) Was passiert, wenn der Home-Office-Nutzer personenbezogene Daten verliert oder löscht. Sind die Daten wiederherstellbar? Werden geänderte Daten im Home-Office automatisch vom Backup des Unternehmens erfasst oder ist eine manuelle Synchronisation durch den Nutzer erforderlich?
   b) Benötigt der Home-Office-Nutzer zu allen Daten Einsicht, muss er wirklich alle Papierdokumente mit nach Hause nehmen? Gibt es besonders kritische Dokumente, die auf keinen Fall mit nach Hause genommen werden dürfen? Ggf. sind bestehende Berechtigungsprofile vorübergehend anzupassen.
4. Die Internetverbindung im Home-Office ist vom Nutzer abzusichern. Entweder stellt er die Verbindung zu seinem Router direkt mit einem LAN-Kabel her oder er nutzt WLAN. Bei WLAN sollte ausschließlich die WPA2-Verschlüsselungsmethode mit einem ausreichend starken Passwort genutzt werden.
5. Sensibilisieren Sie die Home-Office-Nutzer, die personenbezogenen Daten vertraulich zu behandeln und auch im Home-Office nicht leichtfertig damit umzugehen. Die Mitarbeiter sind Ihnen in dieser besonderen Situation über jegliche Hilfestellung sicherlich dankbar.

Erstellen Sie ein Merkblatt und verweisen Sie darauf, dass z. B.

1. der Home-Office-Nutzer die betrieblichen Unterlagen sicher aufbewahrt und keine Unterlagen offen liegen bleiben (in gesondert verschließbarem Raum, verschließbarer Schrank etc.);
2. beim Verlassen des Home-Office-Arbeitsplatzes der PC zu sperren ist und kein Dritter dem Home-Office-Nutzer über die Schulter schaut, auch kein Familienmitglied;
3. Teenager in der Zeit nicht unbedingt den Privat-PC zum Spielen nutzen sollten und Kleinkinder nicht versehentlich die Papierdokumente als Malpapier verwenden;
4. geschäftliche Dokumente auf privaten PCs verschlüsselt bzw. getrennt von den privaten Unterlagen aufzubewahren und berufliche von privaten Daten zu trennen sind;
5. Unterlagen, bei denen eine Vernichtung erforderlich ist auch zuhause geschreddert oder anders sicher vernichtet werden müssen, z. B. im Ofen oder durch Zerreisen in kleine Stücke. Besitzt der Home-Office-Nutzer keine angemessene Vernichtungsmöglichkeit, bieten Sie ihm an, die Unterlagen (sicher) zu sammeln und im Unternehmen zur gegebenen Zeit zu entsorgen;
6. Telefonate nicht achtlos im Home-Office geführt werden. Am sichersten ist es, wenn der Home-Office Nutzer allein im Raum ist oder sein Telefonat seiner Umgebung anpasst, d. h. ein reserviertes Verhalten beim Telefonieren mit personenbezogenen Daten ähnlich wie bisher in öffentlichen Verkehrsmitteln;
7. keine fremden Apps oder sonstige Software eigenständig auf das betriebliche Gerät heruntergeladen oder Sicherheitseinstellungen am Gerät verändert werden. Dies erfolgt nur in Absprache und ausdrücklicher Anordnung der IT-Administration. Sperren Sie am besten vorab die Administrationsrechte von Nutzern. Werden private Geräte genutzt, sollte auch hier die Installation fremder Apps und sonstiger Software möglichst eingestellt bzw. reduziert werden.
8. voraussichtlich im Rahmen der Pandemie auch spezielle Spam-/Phishing-/Viren-Mails in Umlauf gebracht werden, die auf diesen Sachverhalt eingehen. Die Mitarbeiter sollten daher bei eingehenden Mails besonders wachsam sein;
9. Ja nach Kritikalität der Daten ist eventuell auch eine Deaktivierung aller virtuellen Assistenten/intelligenten Lautsprecher (die sprachgesteuert werden, beispielsweise Alexa) sinnvoll.

Die vorgenannten Tipps helfen Ihnen, kurzfristig zu handeln und die wichtigsten Rahmenbedingungen des Datenschutzes auch im Home-Office einzuhalten. Sie müssen jedoch um weitere Regelungen ergänzt werden, falls der aktuelle Krisenzustand länger anhalten bzw. auch nach der Corona-Krise umfangreicher auf Home-Office gesetzt werden sollte. Beispielsweise sollte das Informationsblatt für Home-Office später zu einer verbindlichen und detaillierten internen Regelung ausgebaut werden, die Nutzung privater Geräte sollte dann auch rechtlich beleuchtet und ggf. nach flächendeckender Ausstattung mit betrieblichen Geräten wieder untersagt werden. Zur weiteren Bearbeitung dieser Themen steht Ihnen das Datenschutz-Team der FCH Compliance GmbH gerne zur Verfügung.

Darüber hinaus stellt sich für Sie als Arbeitgeber ggf. die Frage, welche personenbezogenen Beschäftigtendaten Sie zur Bewältigung der Krisensituation verarbeiten dürfen, z. B. private Kontaktdaten im Rahmen von Notfallplänen. Eine FAQ zu diesem Thema hat der Landesdatenschutz Baden-Württemberg unter folgendem Link veröffentlicht: https://www.baden-wuerttemberg.datenschutz.de/faq-corona/. Da Entscheidungen zum Teil einzelfallabhängig sind, ziehen Sie hierfür am besten uns als Ihre Datenschutz-Experten hinzu.

Ihr Datenschutz-Team der FCH Compliance GmbH