Wie sicher ist die IT im Homeoffice?

Datenschutz & IT-Sicherheit im Homeoffice

Unternehmen müssen sichergehen, dass IT-Sicherheit und Datenschutz auch im Homeoffice gelten. Sind Daten auf der Homeoffice-IT so sicher wie im Unternehmen? Tipps für mehr Datenschutz und Datensicherheit im Homeoffice.

Wie sicher sind Personendaten im Homeoffice?

In vielen Unternehmen ist das Arbeiten im Homeoffice längst Alltag. In einer Umfrage im Frühjahr 2023 hat das ifo-Institut ermittelt, dass in Deutschland durchschnittlich einen Tag pro Woche aus dem Homeoffice gearbeitet wird – europäisches Mittelfeld. Beschäftigte schätzen vor allem die Zeit- und Kosteneffizienz und die Flexibilität, die ihnen das Arbeiten von zuhause ermöglicht.Viele Unternehmen bieten Homeoffice an – es steigert die

Zufriedenheit und ist zu Zeiten des Fachkräftemangels ein möglicher Wettbewerbsvorteil. Sie müssen aber auch sichergehen, dass die Sicherheits- und Datenschutzstandards vom Büroarbeitsplatz im Unternehmen auch im Homeoffice eingehalten werden.

Gelten an den Heimarbeitsplätzen analoge Sicherheitsstandards wie im Unternehmen? Dann können Sie sich entspannt zurücklehnen. Das gilt zumindest, wenn die gelebte Praxis den Vorgaben gerecht wird und im Zweifel einer Überprüfung standhält. In jedem Fall lohnt es sich, das Thema Homeoffice im Blick zu behalten.

Welche IT-Geräte laufen im Homeoffice?

Im Homeoffice kommt oft eine ganze Menge an IT-Geräten zum Einsatz: PC oder Notebook, Maus, Tastatur, Bildschirm, Router, Drucker. Dazu kommen Speichergeräte wie mobile Festplatten oder USB-Sticks, Telefone wie Smartphone, Festnetztelefon, älteres Mobiltelefon, Webcam, Headset usw. Und bei manchem steht neben dem heimischen Schreibtisch sogar ein Aktenvernichter.

Das Unternehmen sollte folgende Fragen klären:

• Mit welchen Geräten werden personenbezogene Daten verarbeitet?
• Wie werden diese Daten verarbeitet?
• Welche Maßnahmen zum Schutz der Daten wurden ergriffen?
• Wem gehören die Geräte? Stellt das Unternehmen sie bereit oder sind sie privat?
• Sind möglicherweise weitere Geräte im Einsatz, auch nur vorübergehend?

Arbeitgeber müssen Kontrollen durchführen. Dazu sind sie gesetzlich verpflichtet, unter anderem durch die gesetzlichen Regelungen der Datenschutz-Grundverordnung (DSGVO). Klar wird schnell: Ohne eine aktuelle und vollständige Liste der Homeoffice-Geräte lässt sich die Sicherheit von Daten und IT am heimischen Schreibtisch kaum überprüfen.

"Ohne eine aktuelle und vollständige Liste der Homeoffice-Geräte lässt sich die Sicherheit von Daten und IT am heimischen Schreibtisch kaum überprüfen."

Risiken mit dienstlichen und privaten Geräten

Die Risiken rund um die Homeoffice-IT sind vielfältig. Heikel ist vor allem der Fall, wenn dienstliche und private Geräte miteinander verbunden werden und dabei nicht oder nicht ausreichend geschützt sind.

Wie will ein Arbeitgeber sicherstellen, dass geschäftliche Daten auf einem privaten Gerät nur für geschäftliche Zwecke verwendet und danach verlässlich und dauerhaft gelöscht werden? Wie will ein Arbeitgeber gewährleisten, dass im Homeoffice keine unbefugten Personen auf diese Daten zugreifen? Wie will ein Arbeitgeber garantieren, dass die Sicherheits- und Datenschutzregeln, die im Büro hoffentlich selbstverständlich sind, auch im Homeoffice gelten?

Immerhin gilt: Verstöße können teuer werden.

DSGVO und Datenschutz im Homeoffice

Die Datenschutz-Grundverordnung schreibt in Artikel 4 fünf Schutzmaßnahmen vor, die im Zusammenhang mit personenbezogenen Daten mindestens einzuhalten sind: Eine „Verletzung des Schutzes personenbezogener Daten“ ist „eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“

Die Pflicht des Verantwortlichen im Falle eine Schutzverletzung nennt Artikel 33: „Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde.“ Um eine solche Schutzverletzung, sprich: Datenpanne zu vermeiden, muss der Verantwortliche die Arbeitssituation im Homeoffice kennen.

Tipps für sicheren Datenschutz im Homeoffice

1. Erstellen Sie eine Liste der informationstechnischen Systeme und Geräte, die am Homeoffice-Arbeitsplatz eingesetzt werden.
   
   
2. Vermerken Sie bei jedem Gerät, wem es gehört – ob es sich also um ein dienstliches oder ein privates Gerät handelt.
   
   
3. Prüfen Sie für dienstliche Geräte, ob sie hinsichtlich Informationssicherheit und Datenschutz so in die Infrastruktur des Unternehmens eingebunden sind, dass die üblichen Sicherheitsmaßnahmen greifen. Ist das nicht sichergestellt, vermerken Sie es.
   
   
4. Treffen Sie verbindliche Vereinbarungen,
   
   

• wie mit privaten Geräten (vor allem Router und Telefon) umzugehen ist
  
  
• wie die Einbindung in die Infrastruktur des Unternehmens erfolgt
  
  
• wie mit personenbezogenen Daten auf diesen Geräten umzugehen ist
  
  
• und, besonders wichtig, wie nach Ende der Tätigkeit im Home-Office sichergestellt werden kann, dass diese Daten vom privaten Gerät gelöscht werden.

Diese Liste bildet die Grundlage für alle weiteren Schritte für IT-Sicherheit und Datenschutz im Homeoffice. Mit ihrer Hilfe treffen Sie rechtsverbindliche Vereinbarungen mit den Beschäftigten.

Die Kernfrage lautet: Sind alle Geräte bekannt und dokumentiert, die im Homeoffice für die Verarbeitung von personenbezogenen Daten aus dem Unternehmen verwendet werden?