Checkliste des BayLDA für mehr Datenschutz im Homeoffice

Die Covid-19-Pandemie hat die Arbeitswelt verändert. Inzwischen ist das Homeoffice in vielen Unternehmen fester Bestandteil des Arbeitskonzepts – und wird es auch danach bleiben.

Arbeitgeber und Home-Arbeiter, die nach Monaten der provisorischen Homeoffice-Regelung nun damit rechnen, auch künftig regelmäßig von zu Hause zu arbeiten, sollten den Heimarbeitsplatz unter Datenschutzgesichtspunkten gemeinsam aufpeppen. Mit einer Liste der wichtigsten To-dos (Link zur PDF-Datei) unterstützt das BayLDA dieses Vorhaben.

Die Pandemie hat das Arbeiten im Homeoffice salonfähig gemacht. Das Arbeiten von zu Hause war bis vor Pandemie-Zeiten hauptsächlich in Kreativberufen etabliert. Heute ist es in allen Branchen angekommen, in denen am Schreibtisch gearbeitet wird. Für viele Beschäftigte überwiegen die Vorteile des Arbeitens von zu Hause: Der tägliche Weg ins Büro entfällt, und auch die Arbeitszeit lässt sich deutlich flexibler einteilen, als es bei der Office-Präsenz der Fall ist. Allerdings setzt Homeoffice als Dauerlösung voraus, dass auch in den eigenen vier Wänden ein Mindestmaß an Datenschutzvorkehrungen eingehalten wird. Nicht jeder „Heimarbeiter“ verfügt über ein lupenreines, abschließbares Büro in der Wohnstätte. Daher nutzen viele in den eigenen vier Wänden Arbeitstische, die anderen Familienangehörigen oder Besuchern frei zugänglich sind. Schon allein dies ist aus Datenschutzsicht beinahe ein Super-GAU. Vom BayLDA wurde eine Liste veröffentlicht, die eine gute Hilfestellung für Datensicherheit im Homeoffice bietet. Hier die wichtigsten Punkte in der Kurzversion:

Hardware

Hier empfiehlt es sich generell, für den Job ausschließlich Hardware zu nutzen, die vom Arbeitgeber stammt oder nur für den Job angeschafft wird. Von einer Mischnutzung elektronischer Geräte ist abzusehen.

Arbeitsumgebung

Mit ein paar simplen Routinen lässt sich eine physische Sicherheit mit akzeptablem Aufwand herstellen. Dazu gehört eine Platzierung des Arbeitsplatzes, sodass er vor neugierigen Blicken geschützt ist. Die „Clean-Desk-Policy“ besagt, dass nach der Arbeitszeit der Schreibtisch „geräumt ist“: Firmen-PC, Unterlagen und Dokumente sind idealerweise in einem verschließbaren Behältnis untergebracht. Während der Arbeitszeit sollte sichergestellt werden, dass Telefonate oder Konferenzen nicht mitgehört werden können – auch nicht von Familienangehörigen, Gästen oder vertrauten Nachbarn.

Videokonferenzen

Die sichere Videokonferenz in den eigenen vier Wänden ist das mit Abstand größte Sicherheitsrisiko fürs Unternehmen. Daher sollte dafür der Datenschutzbeauftragte Konzepte erstellen, die sich mit Verschlüsselung, den Themen Speicherung und Löschung sowie den Bestimmungen einer Auftragsverarbeitung nach Artikel 28 DSGVO befassen. Für den Mitarbeiter ist dieses Thema eigenverantwortlich kaum durchführbar.

Papierdokumente

Werden Dokumente von der Firma in die Privatwohnung transportiert, sollten diese bereits beim Transport gut geschützt sein. Zu Hause empfiehlt sich die Aufbewahrung in einem verschließbaren Möbel, und die Entsorgung sollte keinesfalls über den Hausmüll erfolgen.

Organisatorische To-dos

Für das Unternehmen sollte ein klares Regelwerk erstellt werden, zu dessen Einhaltung die Mitarbeiter verpflichtet werden. Darüber hinaus empfiehlt sich eine obligatorische Schulung aller Mitarbeiter, bei der alle wesentlichen Sicherheitsaspekte fürs „Homeoffice“ behandelt werden. Diese Schulung sollte in regelmäßigen Abständen als Pflichtveranstaltung durchgeführt werden.

Cloud Nutzung

Auch hierfür sollte der Arbeitgeber verantwortlich zeichnen. Werden Cloud-Dienste zur Verfügung gestellt, bedarf dies zahlreicher technischer Rahmenbedingungen, die firmenseitig geschaffen werden müssen. Der Arbeitgeber sollte seinerseits sicherstellen, dass er grundsätzlich ausschließlich die virtuelle Umgebung seines Unternehmens nutzt und nicht etwa Daten in „firmenfremden Clouds“ zwischenlagert.

Messenger-Dienste

Ebenfalls ein Thema für Unternehmensvorgaben: Prinzipiell ist davon abzuraten, für die Firmenkommunikation Social-Media-Plattformen oder Messenger-Dienste zu nutzen. Nach wie vor sind E-Mails im Firmennetzwerk die sicherste Basis für eine geschützte Kommunikation zwischen Mitarbeitern.

Fazit

Angesichts der steigenden Zahl von Cyberattacken können schlecht gesicherte Home-Arbeitsplätze für Unternehmen zum Risiko werden. Am verwundbarsten sind Firmennetzwerke zweifelsohne in schlecht abgesicherten Arbeitsplätzen zu Hause. Aus Unternehmenssicht sollte das Thema „Sicherheit im Homeoffice“ schnellstmöglich und energisch umgesetzt werden.