DSGVO & Corona: Sicherer Umgang mit Daten im Home-Office

Der TMF-APS-Partner Lansky, Ganzger & Partner hat sich Gedanken über ein gerade jetzt besonders wichtiges – und oft auch unterschätztes – Thema gemacht: ein sicherer Umgang mit Daten im Home-Office. Aus rechtlicher und technischer Perspektive gehen LGP-Rechtsanwälte auf die häufigsten Fragen ein, wie z.B.: Dürfen Arbeitnehmer Geräte auch privat verwenden? Wer haftet im Falle eines Schadens? Und welche Grundsätze der DSGVO sind im Home-Office zu beachten? Antworten darauf und welche technischen Möglichkeiten es gibt, die Datensicherheit bei der Arbeit in den eigenen vier Wänden zu gewährleisten, lesen Sie in unserer Zusammenfassung. Die ausführlichen FAQs finden Sie hier.
1) Wer muss Hard- & Software für das Arbeiten im Home-Office zur Verfügung stellen?
Auch für das Home-Office gilt, dass der Arbeitgeber die erforderlichen Arbeitsmittel bereitzustellen hat. Möglich ist aber, in einer Vereinbarung für das Arbeiten im Home-Office – die im Übrigen notwendig ist – eine davon abweichende Regelung festzulegen.
2) Welche Pflichten und Rechte hat der Arbeitnehmer im Home-Office?
Aus dem Arbeitsvertrag ergeben sich primär die üblichen Pflichten der Arbeitnehmer – diese gelten auch beim Arbeiten im Home-Office. Weisungen des Arbeitgebers sind ebenso zu befolgen wie Mitwirkungspflichten weiterhin nachzukommen, etwa das Aufzeichnen der Arbeitszeit sowie die Einhaltung des Arbeitnehmerschutzgesetzes (Stichwort: Pausen). Ohne das Einverständnis des Arbeitgebers ist die private Nutzung von Arbeitsmitteln, die dieser bereitgestellt hat, nicht erlaubt.
3) Darf der Arbeitnehmer private Geräte verwenden?
Die privaten Arbeitsmittel müssen grundsätzlich denselben – oder zumindest einen ähnlichen – Sicherheitsstandard bieten wie diejenigen, die vom Arbeitgeber zur Verfügung gestellt werden. Laut LGP-Rechtsanwälte spricht dann nichts gegen die Verwendung von privaten Geräten im Home-Office. Jedoch empfiehlt es sich, hier eine konkrete Vereinbarung zwischen Arbeitgeber und Arbeitnehmer zu treffen – insbesondere auch im Hinblick auf die Kostentragung bzw. den Kostenersatz. Achten Sie dabei darauf, auch auf IT-sicherheitstechnische Aspekte einzugehen, besonders, wenn Mitarbeiter mit der Infrastruktur des Unternehmens (z.B. über VPN) verbunden sind.
4) Wer haftet im Falle eines Schadens?
Grundsätzlich gilt auch im Home-Office das Dienstnehmerhaftpflichtgesetz (DNHG): Eine Haftung des Arbeitnehmers besteht i.d.R. nur bei fahrlässigem und vorsätzlichem Handeln. Wenn der Arbeitnehmer im Home-Office dieselben Sicherheitsbestimmungen wie bei der Arbeit im Büro einhält, besteht im Falle eines Schadeneintritts wohl auch keine Haftung des Arbeitnehmers. Verwendet der Arbeitnehmer private Geräte, dann hat der Arbeitgeber Schäden, die mit der konkreten Arbeitsleistung des Arbeitnehmers typischerweise verbunden sind, ebenfalls zu ersetzen.
5) Welche Grundsätze der DSGVO müssen im Home-Office besonders beachtet werden?
Die datenschutzrechtlichen Regelungen müssen selbstverständlich auch den einzelnen Arbeitnehmern im Zuge der Erbringung ihrer Arbeitsleistung berücksichtigt und eingehalten werden. Betreffend die Sicherheit der Datenverarbeitung gilt Folgendes besonders zu gewährleisten: Die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten, die Sicherstellung von Vertraulichkeit und Integrität der Systeme und Dienste im Zusammenhang mit der Verarbeitung von personenbezogenen Daten sowie ein Verfahren zur regelmäßigen Überprüfung und Evaluierung der datenschutzrechtlichen Maßnahmen.
6) Welche technischen Maßnahmen können zu einer erhöhten Datensicherheit beim Arbeiten im Home-Office getroffen werden?
Die technischen Sicherheitsstandards müssen im Home-Office auf demselben – oder zumindest einem ähnlichen Niveau – liegen, wie jene der Infrastruktur, die vom Arbeitgeber zur Verfügung gestellt wird. Wichtig ist, die private Infrastruktur des Arbeitnehmers (Geräte, aber auch das WLAN) auf die Datensicherheit hin zu prüfen.
Sicherer Umgang mit Daten im Home-Office – Folgendes sollte jedenfalls berücksichtigt werden:
Sichere bzw. verschlüsselte E-Mails
Sofern der private Account für E-Mails genutzt wird, kann dies sicherheitstechnisch problematisch sein. Die betriebliche Kommunikation sollte ausschließlich mit dem Firmen-Account erfolgen. Auch die Wahl des Mailprogramms kann Fallstricke beinhalten – etwa, dass E-Mails mit Schadsoftware von diesem nicht erkannt werden. Grundsätzlich ist auch eine Verschlüsselung von E-Mails zu empfehlen, wenn vertrauliche Informationen ausgetauscht werden.
Passwortmanagement
Besonders, wenn betriebliche Passwörter bei der privaten Infrastruktur genutzt werden, ist ein einheitliches und sicheres Passwortmanagement essenziell. Ein absolutes No-Go ist, wenn Passwörter im Browser gespeichert werden – daher ist ein Passwortmanager die beste Wahl: Solch ein Programm speichert in einer sicher verschlüsselten Datenbank alle Passwörter.
Sicheres Surfen im Internet
Voreinstellungen des Browsers, wie das Löschen des Verlaufs oder von Cookies beim Beenden der Verbindung sollten hier Standard sein, auch das Surfen im privaten Modus kann unterstützen. Zudem gibt es zahlreiche Browsererweiterungen, die Tracking und malignes Scripting erkennen und verhindern: z.B. Decentraleyes, uBlock oder I don‘t care about cookies. Eine weitere Gefahr ist das DNS-Spoofing, wo man auf vermeintlich echte, aber gefälschte Websites umgeleitet wird. Hier müssen weitere Sicherheitsmaßnahmen getroffen werden, wie sicheres Surfen mit HTTPS, die Nutzung eines VPN zur Firma, die Überprüfung des lokalen Routers und Computers sowie ein obligater Virenchecker.
Gesicherter Datenaustausch
Damit die Daten auch in der privaten Infrastruktur sicher sind, ist eine Festplattenverschlüsselung – zumindest eine Verschlüsselung der Nutzerdaten – gefordert. Unverschlüsselte Notebooks, Handys oder USB-Sticks stellen ein latentes Sicherheitsrisiko dar. Hier kann man Bitlocker (Windows) oder Filevault (iO) verwenden, um dieses Risiko zu minimieren. Der Nachteil: wird die Festplatte beschädigt, so ist das gesamte Dateisystem nicht wieder herstellbar. Alternativ dazu können auch nur besonders sensible Verzeichnisse oder Dateien verschlüsselt werden, z.B. mit Veracrypt.