Ich habe eine Frage, die aktuell in unserer Firma diskutiert wird: Unsere Personalabteilung (HR), insbesondere die Personalsachbearbeiter:innen, möchte die Möglichkeit erhalten, im Homeoffice zu arbeiten.
Mich beschäftigt in diesem Zusammenhang insbesondere der Datenschutz. Denn HR-Mitarbeitende verarbeiten besonders schützenswerte personenbezogene Daten – zum Beispiel Gesundheitsdaten, Gehaltsdaten, Informationen zu Abmahnungen oder persönlichen Umständen der Mitarbeitenden.
Meiner Einschätzung nach müssen deshalb deutlich höhere Anforderungen an den Homeoffice-Arbeitsplatz gestellt werden als bei anderen Abteilungen. Dabei geht es nicht nur um die technische Umsetzung – also z. B. die Absicherung von PC oder Notebook, die verschlüsselte Verbindung zum Firmennetzwerk (VPN), Firewalls etc. –, sondern auch um die Gestaltung des Homeoffice-Arbeitsplatzes selbst.
Folgende Fragen stellen sich mir:
Wie kann sichergestellt werden, dass keine unberechtigten Dritten (z. B. Familienangehörige oder Besuch) Einblick oder Zugriff auf Mitarbeiterdaten erhalten?
Welche organisatorischen Maßnahmen müssen getroffen werden, um die Vertraulichkeit zu gewährleisten (z. B. verschließbarer Raum, Sichtschutzfilter, getrennte Nutzung des Arbeitsgeräts)?
Welche Meldepflichten gelten im Falle eines Datenschutzverstoßes im Homeoffice?
Einschränkung der Arbeitsplatzwahl in Homeoffice (z.b. nicht in Urlaub an der Strandbar Arbeiten.)
Umsetzung der Kontrollfunktion des DSB bezüglich der korrekten umsetzung.
Ich freue mich über Hinweise oder Erfahrungswerte, wie diese Anforderungen DSGVO-konform umgesetzt werden können.
Das alles sollte in Form einer Richtlinie erstellt und dann - und das ist die größere Hürde - gelebt werden.
Man könnte hier im ersten Schritt zwischen Telearbeit, Home-Office und mobilen Arbeiten zu unterscheiden (Handreichung des Hessischen Beauftragten mit hilfreichen weiterführenden Links zu Ausführungen anderer Behörden) und ggfs. je nach Gestaltung bei Bedarf z. B. mobiles Arbeiten unterbinden, bzw. bei der Bearbeitung von (besonders) sensiblen Daten untersagen.
Diese Richtlinie kann auch die sonstigen Maßnahmen wie Bildschirmsperre, keine unbeteiligten Personen im selben Raum, Trennung von Privat- und Arbeitsdokumenten (idealerweise alles elektronisch), Verbindung per Lan, abschließbarer Raum oder Datenträger in abschließbaren Behälter, Bildschirme nicht zum Fenster vorallem im EG, Smart Geräte entfernen oder Mikrofon deaktivieren, Privatdrucker verbieten (wegen Zwischenspeicher), DIN-gerechte Entsorgung von Datenträgern, sensible Gespräche nur wenn niemand mithören kann, etc. festhalten.
Den Maßnahmen ist natürlich nach oben keine Grenze gesetzt, wichtig ist nur, dass die Mitarbeiter eingewiesen werden und das nachgewiesen oder glaubhaft belegt werden kann.
Darüber hinaus würd ich davon abraten die genaue Umsetzung stärker zu kontrollieren durch z. B. Hausbesuche oder “Beweisfotos”, zumindest nicht ohne konkretem Anlass, zumal hier laut dem LFD auf Art 13 des GG geachtet werden muss (Seite 154ff des Tätigkeitsberichts).
Aber die Realität - in die ich als externer manchmal reinsehen kann - ist in vielen Unternehmen anders, da sind oft gern Kind, Mann und Tier im selben Raum und winken auch mal in die Kamera mit rein.
Grundsätzlich gelten im HomeOffice die gleichen datenschutzrechtlichen Bedingungen wir am Arbeitsplatz im Betrieb. Nur mit dem feien Unterschied, dass der DSB den HomeOffice - Arbeitsplatz nicht besichtigen kann/darf. Eine Richtlinie kann hier sehr hilfreich sein. Aber auch eine Betriebsvereinbarung zur Gestaltung und Gewährung von HomeOffice bietet sich hier an.
Bei uns gilt der Grundsatz, dass die Tätigkeiten im HomeOffice ausschließlich online (über bereitgestellte Hardware via VPN) durchgeführt werden müssen. Papierunterlagen dürfen nicht mitgenommen werden.
richtig: Mit Home-Office verbindet man vom Wort her, die Arbeit zu Hause.
Entweder es ist eine Telearbeitsplatz
oder
es ist mobiles Arbeiten.
Eine Richtlinie zum mobilen Arbeiten ist erforderlich.
Hier sind der Phantasie keine Grenzen gesetzt.
Hauptherausforderung: Sichere Konfiguration des eigenen Routers.
Habe mir zu Zeiten “der Pest” ne Menge Gedanken gemacht und die Abkehr vom Betriff “Home-Office” eingeleitet: https://www.dtnschtz.de/category/homeoffice/
→ Muster + Checklisten + kostenfreier Quiz
Zu deinen konkreten Fragen:
Wie kann sichergestellt werden, dass keine unberechtigten Dritten (z. B. Familienangehörige oder Besuch) Einblick oder Zugriff auf Mitarbeiterdaten erhalten?
→ Räumliche Trennung, Bildschirmschutz, Bildschirmsperre, nicht vorm spiegel arbeiten
Welche organisatorischen Maßnahmen müssen getroffen werden, um die Vertraulichkeit zu gewährleisten
(z. B. verschließbarer Raum, Sichtschutzfilter, getrennte Nutzung des Arbeitsgeräts)?
→ Rechner verschlüsselt, rechner sicher transportiert, rechner sicher abgelegt.
Welche Meldepflichten gelten im Falle eines Datenschutzverstoßes im Homeoffice?
→ die selben wie im Betrieb.
Einschränkung der Arbeitsplatzwahl in Homeoffice (z.b. nicht in Urlaub an der Strandbar Arbeiten.)
→ naja, im Urlaub durchaus denkbar. Öffentliches bzw. Hotel-wland ist zu meiden.
Problem: Beim grenzübertritt (z.B. USA) könnte man aufgefordert werden, den Laptop zu starten.
Ein Ausdruck in einem Copy Shop in der Türkei ist eine unzulässige Datenübertragung ins Drittland
Umsetzung der Kontrollfunktion des DSB bezüglich der korrekten umsetzung.
→ der DSB kontrolliert die Vorgaben.
Mobiles arbeiten kann nicht kontrolliert werden, da dieses überall stattfinden kann.
Telearbeit kann sehr wohl vor Ort kontrolliert werden - dazu muss aber ein Betretungsrecht der Wohnung eingeräumt werden (von ALLEN Mietern der Wohnung).
