.st0{fill:#FFFFFF;}

Neues Infopaket zum Thema Homeoffice

Wichtige Datenschutz-Themen von Profis aufbereitet

Neues Infopaket zum Thema Homeoffice

Die Jahre 2020 und 2021 standen ganz im Zeichen der Corona-Pandemie. Dies ist auch an der IT-Welt nicht spurlos vorbeigegangen. Es ist ein Aufwärtstrend, weg von der Bürosphäre, in private Räumlichkeiten zu verzeichnen, was unweigerlich Problemfelder datenschutzrechtlicher Natur mit sich bringt.

Der Landesbeauftragte für Datenschutz Sachsen-Anhalt hat in einer aktuellen Pressemitteilung auf das neue Infopaket zur Sicherheit im Homeoffice hingewiesen. In diesem Infopaket finden sich Hinweise und eine Checkliste zur Umsetzung datenschutzrechtlicher Voraussetzungen für das Homeoffice.


Das Wichtigste in Kürze:

  • „Verantwortlicher“ i.S.v Art. 4 Nr. 7 DSGVO ist auch bei Verlagerung der Tätigkeit ins Homeoffice der Arbeitgeber.
  • Der LfDI Sachsen-Anhalt rät von einem Anschluss und der Nutzung privater Geräte ab, da diese Sicherheitsrisiken für personenbezogene Daten bergen können.
  • Beschäftigte sind hinsichtlich potentieller Gefahren auf der technischen und organisatorischen Ebene des Datenschutzes hinreichend zu schulen und sensibilisieren.
    Inhalt
    Das Wichtigste in Kürze:
    1. Allgemeiner datenschutzrechtlicher Handlungsbedarf im Homeoffice
    2. Cloud-Dienste, Verschlüsselungsverfahren und Mobilität
    3. Ausblick

    1. Allgemeiner datenschutzrechtlicher Handlungsbedarf im Homeoffice

    Im Homeoffice sind IT-Technik der Aufsicht des Arbeitgebenden entzogen. Im gleichen Zuge steigt die Gefahr unberechtigter Zugriffe auf personenbezogene Daten. Vorab sollte festgelegt sein, welche Daten, auf welchen Datenträgern und Endgeräten in welcher Weise verarbeitet werden dürfen. Die zu treffenden technischen und organisatorischen Voraussetzungen für einen datenschutzkonformen Homeoffice-Arbeitsplatz bemessen sich nach der Schutzwürdigkeit der Daten, da die verbindlichen datenschutzrechtlichen Erfordernisse auch für diesen privaten Bereich gelten.

    Somit sind ergänzende TOMs (Art. 32 DSGVO) zu treffen, um ein hinreichendes Datenschutzniveau zu erreichen. Vor Auslagerung der Tätigkeit ist ein Sicherheitskonzept zu erstellen, das beispielsweise den Einsatz der Hard-und Softwarekomponenten regelt. Hier können die Richtlinien des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) als Orientierungshilfe unterstützen.

    Grundsätzlich sollte der Fernzugriff im Homeoffice nicht an das vollumfängliche Netz des Arbeitgebenden angeschlossen sein. Stattdessen soll eine Anbindung über einen geschützten Teil der technischen Infrastruktur existieren. Weiterhin sollte eine Weiterleitung von dienstlichen Nachrichten an private Postfächer und eine generelle Nutzung von dienstlichen Gerätschaften für private Zwecke untersagt werden. So lassen sich die Risiken für die betriebliche IT-Infrastrukturdurch Hackerangriffe auf die private IT minimieren.

    Des Weiteren muss für ausreichend Sensibilisierung hinsichtlich etwaiger Zugriffe unberechtigter Dritter im Arbeitsumfeld gesorgt werden. So sind Hinweise zur Sicherung notwendig. Dies betrifft insbesondere die Gestaltung des Homeoffice-Arbeitsplatzes. Hier sollte auf das Aufstellen eines Sichtschutzes zur Vermeidung der Einsicht Unbefugter, das Sperren des Gerätes und/oder Schließen der Fenster oder Terrassentüren beim Verlassen des häuslichen Arbeitsplatzes hingewiesen werden. Besonderer Sensibilisierung bedarf das Öffnen von Links und Dokumenten, die ungewohnt erscheinen.

    Da die Homeoffice-Arbeit nicht von den Schutzmaßnahmen zentraler Systeme profitiert, ist mit Phishing-Mails zu rechnen. Beschäftigte müssen daher ausreichend auf die Gefahren und den Umgang dieser vertraulich anmutenden Mails geschult werden.

    Hierbei sollten Beschäftigte auch ausdrücklich darauf hin gewiesen werden verdächtige Vorfälle dem Arbeitgeber mitzuteilen.


    2. Cloud-Dienste, Verschlüsselungsverfahren und Mobilität

    Beim mobilen Arbeiten sind nochmals strengere Anforderungen an den Umgang mit personenbezogenen Daten gestellt werden. Verarbeitungen von personenebezogener Daten mit besonders hohem Schutzbedarf sollten eingeschränkt oder gar gänzlich untersagt werden. Sodann muss die Nutzung von Verbindungstechnologien des genutzten Gerätes festgelegt sein (Bluetooth, WLAN).

    Weiterhin sind Aussagen des Arbeitgebenden unerlässlich, ob und inwieweit die Einbindung von genutzten Geräten in die Systeme Dritter zulässig sind (hier sei an öffentliches WLAN gedacht). Weiterhin kann im Homeoffice die Verwendung von Cloud-Diensten zum Tragen kommen, die auf Auftragsverarbeitungsverträgen nach Art. 28 DSGVO basieren. Der vormalig auf vertrauenswürdige Zertifizierungen hin untersuchte Auftragsverarbeitende muss Gewährleistung dafür bieten, hinreichende TOMs implementiert zu haben.

    Sodann bedarf der Zugriff auf die in der Cloud gespeicherten Daten eines starken Passwortschutzes, wobei bezüglich administrativer Konten eine Zwei-Faktor-Authentisierung geboten ist. Für die Übermittlung personenbezogener Daten auf den Server des Cloud-Dienste-Anbieters ist eine sichere Verschlüsselung unabdingbar (z. B. HTTPS). Der LfDi Sachsen-Anhalt rät weiterhin bezüglich der Transportverschlüsselung, Algorithmen und Protokolle dem Stand der Technik, der Richtlinie BSI TR-02102-2 und Perfect Forward Secrecy anzupassen. Der empfangende Server sollte im Zuge des Aufbaus der verschlüsselten Verbindung entweder zertifikatsbasiert oder über einen öffentlichen oder geheimen Schlüssel, der über einen anderen Kanal zwischen Sender und Empfänger abgestimmt wurde, authentifiziert sein.

    Erfolgt die Authentifizierung zertifikatsbasiert, so führt der Empfänger die Authentizität des Zertifikats auf ein vertrauenswürdiges Wurzelzertifikat bzw. einen via DANE publizierten Vertrauensanker zurück. Die Einhaltung dieser Anforderungen muss nachgewiesen werden können. Letztlich können Inhalte einer Mail durch eine Ende-zu-Ende-Verschlüsselung mit den Verfahren S/MIME und PGP gegen Kenntnisnahme Unbefugter geschützt werden.

    3. Ausblick

    Aufgrund der aktuellen Corona-Situation ist wohl mit einem baldigen Ende jedenfalls nicht zu rechnen. Aufgrund dessen ist der Gang in das Homeoffice notwendiges Mittel, um der Pandemiebekämpfung Rechnung zu tragen. Hierfür sollten Sie und Ihre Arbeitnehmenden ausreichend vorbereitet sein.

    Durch die Verarbeitungsauslagerung in den häuslichen Bereich stehen dabei nicht mehr die Sicherheitsvorkehrungen zur Verfügung, wie in den Betrieben. Dies birgt erhebliches Gefahrenpotential gerade im Bereich der IT. Gerne unterstützen wir bei der Beantwortung sämtlicher datenschutzrechtlicher Fragen im Zusammenhang mit der Tätigkeit im Home-Office.

    Share0
    Tweet0
    Share0

    Datenschutzschulungen für Ihre Mitarbeiter?

    Praxisnahe Online Schulungen für Datenschutz und Cybersecurity. DSGVO konform und zertifiziert.

     Mehr ansehen