Homeoffice wird Normalität – mit Zusatzrisiken

01.05.2020

Die Tätigkeit im Homeoffice (HO) wird für immer mehr Menschen Unternehmensalltag. Wie der Name annehmen lässt, setzt er die Arbeit in den Räumlichkeiten des Arbeitnehmers voraus - im Gegensatz zur mobilen Telearbeit, die unterwegs und überall erfolgen kann. Gegenüber der Tätigkeit im Büro hat beides Vorteile: Zeitersparnis für Pendler, Flexibilität und Selbstorganisation der Arbeitszeiten, Arbeitsplätze mehrfach belegbar etc.

Die aktuell durch die Pandemie ausgelöste Büroflucht ist für viele Unternehmen eine harte Belastungsprobe. Sie müssen den Spagat zwischen Arbeitsfähigkeit und Sicherheit bestmöglich bewältigen und Risiken tragen.

Möchte ein Unternehmen generell vermehrt auf HO-Tätigkeit setzen und seine Organisation dahingehend umgestalten, sind vielfältige Überlegungen zu treffen. Legen Sie fest, welche Daten Ihr Unternehmen niemals verlassen dürfen. Eine Datenkategorisierung ist sinnvoll. Denn je sensibler die Daten sind, desto stärker müssen die Schutzmaßnahmen sein. Ebenso sollte eine Zuordnung der Datenkategorisierung zu den Mitarbeitern erfolgen, welche Daten sie zu Hause verarbeiten werden. Sind diese personenbezogen, ist Ihr Datenschutzbeauftragter in die Überlegungen einzubeziehen, denn das Datenschutzrecht fordert die sichere Verarbeitung nach dem Stand der Technik. Das gilt auch für das HO. Der Arbeitgeber bleibt auf jeden Fall in der (datenschutz)rechtlichen Verantwortung. Er bzw. der von ihm benannte Datenschutzbeauftragte hat das Recht, die Einhaltung der geltenden Vorgaben zu kontrollieren, vor allem dann, wenn besonders schützenswerte Daten (z. B. Sozialdaten i. S. d. § 67 I SGB X; Art. 9 DSGVO) verarbeitet werden.

Prüfen Sie, ob Ihr bestehender Versicherungsschutz eine Auslagerung in die HO-Tätigkeit abdeckt. Eventuell lohnt sich der Abschluss einer zusätzlichen Cyberversicherung. Auch die Wahrscheinlichkeit eines Unfalls am HO-Arbeitsplatz sollte bedacht werden. Sicherheit muss gewährleistet sein. Geschieht dennoch ein Unfall, greift die gesetzliche Unfallversicherung. Bei HO-Arbeit kann eine Abgrenzung im Einzelfall sehr schwierig werden. Eine rechtliche Klärung vorab ist ratsam.

Als Arbeitgeber haben Sie wenig Kontrolle darüber, wie der Mitarbeiter zuhause Daten behandelt. Wird HO über einen längeren Zeitraum geplant, sollte eine zusätzliche Vereinbarung zum Arbeitsvertrag eindeutig und transparent Arbeits- und Pausenzeiten regeln, ggf. auch, ob Angestellte auch außerhalb der Arbeitszeit erreichbar sein müssen. Das gleiche gilt für betriebliches Equipment, Aufwendungen für Strom-, Heizkosten, Internet sowie die telefonische Erreichbarkeit. Mitarbeiter sollten im HO unter der Nummer des Arbeitgebers erreichbar sein, z. B. mithilfe von dienstlich bereitgestellten Kommunikationsmitteln. Entscheidend zum Durchführen von Video- und Telefonkonferenzen ist hier die Bandbreite des Internets.

Machen Sie sich Gedanken, was bei Beschädigungen bzw. Verlust betrieblicher Arbeitsmaterialien geschehen soll. Darf der Mitarbeiter die gestellten Arbeitsmittel privat nutzen? Ist es sinnvoll, eine Kündigungsfrist in die HO-Vereinbarung aufzunehmen?

Einen gesetzlichen Anspruch auf HO gibt es in Deutschland nicht. Entstehen dem Arbeitgeber durch schuldhafte Verletzung der arbeitsvertraglichen Pflichten durch den Mitarbeiter Schäden, haftet der Arbeitnehmer. Bei Vorsatz oder grober Fahrlässigkeit sogar in vollem Umfang.

Damit sensible Geschäftsdaten beim Mitarbeiter nicht kompromittiert werden, weil dessen (unsicheres) WLAN-Heimnetzwerk nicht den gleichen Sicherheitsstandard wie das des Unternehmens hat, sollten technische Infrastruktur (Schutz-)Maßnahmen im Unternehmen umgesetzt werden, bevor die Mitarbeiter ins HO umziehen. Zu den TOP 3 zählen:

  • Einrichten von verschlüsselten Verbindungen (VPN) zwischen HO und Firmennetzwerk, die von Arbeitnehmern ausschließlich zu verwenden sind. Bei längerer Untätigkeit trennt sich die Verbindung automatisch.
  • Dienstliche Geräte inkl. Soft- und Hardware sollten bereitgestellt und das Verwenden privater Geräte sollte verboten, und sofern möglich, auch technisch unterbunden werden.
  • Der Schutz des Betriebssystems mit einem Kennwort sowie die Verschlüsselung von Festplatten, mobilen Endgeräten, externen Datenträgern und der E-Mail-Kommunikation nach dem Stand der Technik sind selbstverständlich.

Um die IT-Sicherheit zu gewährleisten, sind ITIL-Prozesse wie Patch- und Incidentmanagement und so weiter mittels sicherer Remote-Desktop-Aufschaltung denkbar. Hilfestellung oder auch als Kontrollkatalog, ob alles bedacht wurde, gibt das IT-Grundschutz-Kompendium. Dieses ist kostenlos auf der Website des BSI (www.bsi.bund.de) abrufbar. Die Auswahl der zu ergreifenden Maßnahmen sollte sich nach dem konkreten Risiko der Verarbeitung bzw. dem Schutzbedarf der zu verarbeitenden Informationen am jeweiligen Ort richten und – falls relevant – stets umgesetzt werden. Aspekte des häuslichen Arbeitsplatzes werden im IT-Grundschutz-Kompendium eingehend im Abschnitt INF.8, die des mobilen Arbeitsplatzes unter INF.9 betrachtet. Zum Vergleich kann die Absicherung des regulären Büroarbeitsplatzes unter INF.7 nachgelesen werden.

Arbeitnehmer haben sich im HO wie auch im Büro an interne Richtlinien zu halten. Dazu gehört u. a. das Verbot, berufliche E-Mail auf private E-Mail-Postfächer weiterzuleiten. Mitarbeiter, die mit ihrer Familie oder Mitbewohnern zusammenleben, müssen auch beim kurzzeitigen Verlassen das Notebook bzw. den PC sperren. Optimalerweise befindet sich der Arbeitsplatz in einem separaten Zimmer, dass man abschließen kann. Andernfalls helfen eine Sichtschutzfolie und das bloße Monitorausrichten, sodass niemand den Bildschirm einsehen kann. Dokumente sollten in einem verschließbaren Schrank aufbewahrt werden, um nicht in einem unbeobachteten Augenblick als Mal- und Schmierpapier von den Kids missbraucht zu werden. Am sichersten ist das Vernichten (Schreddern) sensibler Informationen. Mit Ihrer IT-Abteilung sollten Sie klären, ob der private Drucker lokal angebunden oder in ein separates gesichertes Netz eingebunden werden muss. Und für gelegentliche Fahrten ins Unternehmen sind verschließbare Taschen empfehlenswert.

Wie oben bereits erwähnt, ist die Verarbeitung von Daten ohne Personenbezug unbedenklich und somit uneingeschränkt möglich.

Ziehen wir die Datenschutzbrille auf und betrachten Unternehmen, die als Auftragsverarbeiter entsprechend Art. 28 DSGVO tätig sind. Wenn auch diese aktuell aufgrund der Covid-19-Pandemie übereilt dem "Social Distancing" nachgekommen und ihre Mitarbeiter in großer Anzahl ins HO geschickt haben, könnten die Unternehmen (z. B. IT-Dienstleister) mit datenschutzrechtlichen Problemen konfrontiert werden. Denn kaum ein Unternehmen hat die rechtlichen Voraussetzungen für die Arbeit im HO vorab umfassend geprüft.

In vielen Verträgen zur Auftragsverarbeitung wird dem Auftragnehmer die HO Arbeit ausdrücklich untersagt. Auftragnehmer verpflichten sich, vereinbarte technische und organisatorische Sicherheitsmaßnahmen einzuhalten, die im HO nicht gewährleistet werden können. Häufig werden dem Auftraggeber sowie dem Datenschutzbeauftragten gegenüber Audit- und Kontrollrechte eingeräumt, auch hierfür ist die Präsenz im Büro notwendig. Demgemäß wird gegen vertragliche Verpflichtungen verstoßen. Der Datenschutz steht momentan hinter gesundheitlichen Prioritäten zurück.

Aufgabe der Auftragsverarbeiter ist es, Ihre Vorgaben prüfen. Sie sollten auf Ihre Auftraggeber mit dem Ziel zugehen, für die Dauer der Corona-Krise von Pflichten und Verboten befreit zu werden, die eine Arbeit im HO erschweren oder ausschließen. Optimalerweise könnten die Vertragsparteien ergänzende Sicherheitsmaßnahmen vereinbaren, die die Mitarbeiter des Auftragnehmers im HO einzuhalten haben.

Unternehmen sollten Auftragsverarbeiter in der aktuellen Lage unterstützen, damit sie ihre Dienstleistungen weiter erbringen können. Es ist sinnvoll, Standardverträge zur Auftragsverarbeitung zu überarbeiten, um zukünftig während solcher Ausnahmesituationen datenschutzkonform handeln zu können.

Die berufliche Anpassung an sich ändernde Anforderungen ist Konsequenz des gesellschaftlichen Wandels. Dem einen bietet HO-Arbeit mehr Ruhe und Privatsphäre, dem anderen mehr Flexibilität oder bessere Vereinbarkeit mit der Familie. Schön für alle sind die freien Autobahnen, wenn Frau/Mann dann doch mal ins Büro fahren muss.

: : : Cornelia Last : : :


Dieser Beitrag ist Bestandteil von:


Ein Beitrag des Informationsdienstes

Sicherheits-Berater
TeMedia VerlagsGmbH

Kontakt:
Alte Heerstr. 1
53121 Bonn

Tel. +49 228 96293-80
Fax +49 228 96293-90
E-Mail: info@sicherheits-berater.de
Internet: www.sicherheits-berater.de