Im Zusammenhang mit dem Ausbruch der Corona-Pandemie (COVID-19) waren viele Arbeitgeber gezwungen, ihren Betrieb zu beschränken oder einzustellen.
Um die vollständige Lähmung des Betriebs abzuwenden und die Kontinuität des Unternehmens zu bewahren, war eine der Lösungen dieser außerordentlichen Situation die Einführung der Arbeitsausübung seitens der Arbeitnehmer:innen von Zuhause aus (nachfolgend „Homeoffice“ genannt).
Homeoffice definiert im Grunde genommen die vorübergehende Ausübung der unselbständigen Arbeit durch den Arbeitnehmer für den Arbeitgeber vom Wohnort des Arbeitnehmers aus, wenn die vereinbarte Art der Arbeit dies ermöglicht.
Derartige Arbeit wird vom Arbeitnehmer standardmäßig über den errichteten Fernzugriff auf Informationssysteme und Netzwerk-Clouds, bzw. über die genehmigte Mitnahme verschiedener Dokumente vom Arbeitsplatz nach Hause und umgekehrt ausgeführt. Alle Arten der Übertragung von Informationen und personenbezogenen Daten sind mit vielen Sicherheitsrisiken verbunden, mit denen Sie sich auseinandersetzen müssen.
Falls beim Arbeiten von Zuhause aus personenbezogene Daten der betroffenen Personen übertragen werden oder Sie Zugriff darauf haben müssen, müssen Sie zuerst angemessene technische und organisatorische Maßnahmen gemäß Art. 32 Abs. 1 DSGVO so treffen, dass jegliche Sicherheitsvorfälle, verbunden mit Verlust, Vernichtung, Schädigung oder unberechtigtem Zugriff, vermieden werden. Diese Regeln müssen in den internen Richtlinien im Bereich des Schutzes personenbezogener Daten dokumentiert werden.
TECHNISCHE MAßNAHMEN
Bei der Erarbeitung dürfen Sie Folgendes nicht vergessen:
- Erstellung einer Liste von Personen (Mitarbeitenden), die berechtigt sind, im Homeoffice zu arbeiten.
- Genehmigung einer Liste von Papierdokumenten und Medien, die von einzelnen Mitarbeitenden außerhalb des Arbeitsplatzes mitgenommen werden dürfen.
- Definition von Regeln und Instrumenten für die Fernarbeit (VPN, Verschlüsselung und Zugriff auf Informationssysteme).
- • Technische Geräte für das Homeoffice (Notebook, PC, Tablett, usw.) sind durch aktiven Schutz (wenigstens Firewall, Antivirus- und Anti-Spam-Programme) und Einstellung von Benutzerrechten abzusichern. Ähnliche Sicherheiten und Regeln müssen auch bei der Nutzung privater Geräte angewendet werden, sofern sie vom Arbeitgeber zur Arbeit zugelassen wurden.
- Sicherstellung der Sicherung.
- • Definition von Regeln und Instrumenten zur Überwachung der Fernarbeit und Loggen von Zugriffen.
ORGANISATORISCHE MAßNAHMEN
Arbeitnehmer:innen, die im Homeoffice arbeiten, müssen zu den Grundsätzen der Verarbeitung personenbezogener Daten, die in Bezug auf ihre Person bei dieser Arbeit angewendet werden, unterwiesen werden. Als ideale Form gelten zurzeit interne Schulungen über eine der vielen digitalen Plattformen (z.B. Skype oder Microsoft Teams).
Schulungen der Mitarbeitenden sollten wie folgt ausgerichtet sein:
- Unter welchen Bedingungen und welche Dokumente und übertragbare Medien dürfen aus den Räumen der Gesellschaft mitgenommen werden.
- Wie können die Daten in Papierform und in elektronischer Form außerhalb der Räume der Gesellschaft übermittelt werden.
- • Wie ist die Politik „des reinen Tisches“ und „des reinen Bildschirms“ so einzuhalten, dass keine weiteren Mitbewohner:innen am Wohnort des/der Beschäftigten sich mit den personenbezogenen Daten und Informationen vertraut machen können.
- Wie und wem sind die aufgetretenen Vorfälle bei der Verarbeitung personenbezogener Daten zu melden.
- Wie ist beim Verlust oder bei der Entwendung von Dokumenten, übertragbaren Medien und Geräte vorzugehen.
- Was sind Ihre Pflichten bei der Verarbeitung personenbezogener Daten.
- Was darf von Ihnen nicht ausgeführt werden.
Sollten Sie Hilfe bei der Erarbeitung von Sicherheitsmaßnahmen benötigen, zögern Sie nicht, uns zu kontaktieren.
