12.11.2020 · Fachbeitrag · Homeoffice

Checklisten aus dem Lockdown ‒ nicht nur für die „zweite“ Corona-Welle

| Immer mehr Arbeitgeber haben ihre Arbeitnehmer zwischendurch wieder aus dem Homeoffice geholt. Und in vielen Fällen kommen die Arbeitnehmer genauso zügig aus dem Homeoffice, wie sie „reingerutscht“ sind. Doch Sie sollten sich die arbeits- und datenschutzrechtlichen Anforderungen und wie sie in der Pandemie gemeistert werden, genauer ansehen. Hierzu gehört auch, anhand der eigenen Erfahrungen für die Zukunft Verfahrensabläufe bzw. Richtlinien für die eigene Kanzlei zu erstellen ‒ nicht zuletzt auch, um bei der „zweiten Corona-Welle“ souverän(er) reagieren zu können. |

1. Grundsätzliches

Die datenschutzrechtlichen Anforderungen an das Homeoffice ergeben sich zunächst und größtenteils aus Art. 32 Abs. 1 DS-GVO. Danach gilt, dass der Verantwortliche nach dem Stand der Technik geeignete technische und organisatorische IT-Sicherheitsmaßnahmen treffen muss, um den Risiken einer Datenverarbeitung angemessen entgegenzutreten. Doch im Homeoffice können viele IT-Sicherheitsmaßnahmen, die sonst problemlos umgesetzt werden, nicht oder nur eingeschränkt erfolgen.

Noch im Januar 2019 stellte der Bundesbeauftragte für den Datenschutz (BfDI) in seiner 20-seitigen Broschüre „Telearbeit und Mobiles Arbeiten“ hohe Anforderungen an die datenschutzrechtlichen Anforderungen im Homeoffice. Diese wurden nunmehr durch die Pandemie abgesenkt, sonst hätte wohl kein Arbeitgeber jemals so viele Arbeitnehmer ins Homeoffice schicken dürfen (www.iww.de/s3688).

2. Wer muss zuerst berücksichtigt werden?

Bevor es an das Verfahren geht, dass sich vorrangig mit den technischen Maßnahmen beschäftigt, sollte auch die organisatorische ‒ hier insbesondere die personelle ‒ Seite intensiver beleuchtet werden. Zunächst sollte daher eine Analyse der aktuellen Risikobewertung bzw. der Infektionsschutzstrategien erfolgen. Daraus ergibt sich dann die Notwendigkeit einer Anordnung oder Genehmigung von Homeoffice. Mögliche Ansatzpunkte sind:

Werden alle arbeitsorganisatorischen Möglichkeiten ausgeschöpft, die geeignet sind, die entsprechenden Gesundheitsziele zu erreichen (z. B. flexible Verteilung der Arbeitszeit, damit möglichst wenige Arbeitnehmer gleichzeitig anwesend sind; Erbringung der Arbeitsleistung an einem anderen Standort, um längere Fahrten im öffentlichen Personennahverkehr zu vermeiden).

Prüfen, wer zukünftig generell für das Homeoffice infrage kommt, das heißt: Wer muss im Unternehmen präsent sein, wer ist entbehrlich? Zunächst anhand von Abteilungen prüfen, dann einzeln für jeden Mitarbeiter.

Definition der Beschäftigtengruppen, für die Heimarbeit vorrangig infrage kommt (z. B. Personen, die einer Risikogruppe angehören; Sorgeberechtigte, die keine Kinder-Notbetreuung erhalten und keine anderen, zumutbaren Möglichkeiten haben, bereits eingerichtete Homeofficeplätze etc.).

Bewertung des Schutzbedarfs für personenbezogene Daten in Bezug auf ihre Eignung für die Verarbeitung in Homeoffice und deren Maßnahmen.

Einschränkung des Zeitraums der Heimarbeit in Abhängigkeit von der aktuellen Risikobewertung bzw. den Infektionsschutzstrategien.

3. Das Verfahren

Bevor der Arbeitgeber Homeoffice anordnet oder genehmigt, sollte er den Einzelfall umfassend prüfen. Hierbei sollte er sich an den Hinweisen des Bundesamts für Sicherheit in der Informationstechnik (BSI) sowie den diversen Stellungnahmen der Aufsichtsbehörden orientieren.

Checkliste / 15 Punkte, die der Arbeitgeber im Hinblick auf Homeoffice prüfen lassen sollte

1. Merkblatt für Mitarbeiter zum Einsatz und Umgang im Homeoffice (Beispiel siehe unten)

2. Schriftliche Verpflichtung der Arbeitnehmer zur Einhaltung der datenschutzrelevanten Maßnahmen erarbeiten und unterschreiben lassen (Wichtig: Einwilligung zu Kontrollrechten am häuslichen Arbeitsplatz).

3. Mitarbeiter: Klare Meldewege geben und Ansprechpartner nennen, wenn ein Gerät verloren geht oder es IT-Probleme mit dem Gerät gibt (im Merkblatt aufnehmen)

4. IT-Sicherheitsrichtlinie erarbeiten (Beispiel: Für alle Telearbeiten regeln, welche Informationen (Papier und IT-Systeme) außerhalb der Institution transportiert und bearbeitet werden dürfen, wer diese mitnehmen darf, welche Schutzvorkehrungen zu treffen sind; welche Kommunikationsmöglichkeiten dürfen bei der Telearbeit unter welchen Rahmenbedingungen genutzt werden etc.)

5. Einsatz neuer Software für Videokonferenzen und Messenger-Dienste prüfen (weitere Informationen siehe unten): Welche braucht (Anforderungen definieren) man und welche Dienste eignen sich für das Unternehmen, welche sind datenschutzrechtlich „safe“? Setzt der Arbeitgeber bereits Software ein, die diverse Funktionen und Anforderungen erfüllt oder muss hier zeitnah nachgerüstet werden?

6. Datenschutzrechtlich sollte bei Punkt 5 überlegt werden: Liegt eine eigene Verantwortlichkeit des Softwareanbieters oder eine Auftragsverarbeitung vor? Wurden die eingesetzten Arbeitsmittel in das Verzeichnis der Verarbeitungstätigkeiten und im Datenschutzhinweis aufgenommen?

7. Vorbereiten auf die „zweite Welle“ im Homeoffice: Einspielen aktueller Software-Patches und AV-Signaturen sowie der Einsatz einer Firewall

8. Prüfen lassen durch die IT: Welcher Mitarbeiter darf mit seinem privaten PC arbeiten, wem sollen dienstliche Rechner zur Verfügung gestellt werden?

9. Listen führen: Welcher Arbeitnehmer hat einen eigenen PC eingesetzt, welche Arbeitnehmer nutzten ein dienstliches Notebook? Auch dokumentieren: Welche Software war jeweils im Einsatz?

10. Wenn noch nicht geschehen: Alle tragbare IT-Systeme und Datenträger verschlüsseln lassen

11. Shoulder Surfing vermeiden: Alle mobilen Geräte der Arbeitnehmer erhalten Bildschirmschutzfolien

12. IT: Um Telearbeitern einen sicheren Fernzugriff auf das Netz zu ermöglichen, einen sicherer Remote-Zugang einrichten, z. B. Virtual Private Networks (VPN)

13. Ggf. Dokumentation, wie die lokale Datensicherung im Unternehmen erfolgen soll

14. Ggf. anonyme (!) Umfrage unter Arbeitnehmern: Wie kam der Arbeitnehmer im Homeoffice mit den technischen und organisatorischen Anforderungen zurecht? Dieses gibt einen guten Rückschluss darauf, ob es sich lohnt, z. B. durch eine Schulung hier die Arbeitnehmer zu unterstützen.

15. Buchhaltung: Wie hoch sind durchschnittlich die gezahlten Aufwandspauschalen? Können diese Aufwendungen zukünftig irgendwie optimiert werden?

Checkliste / Punkte, die im Merkblatt für Mitarbeiter nicht fehlen sollten

1. Gewährleistung einer sicheren Aufbewahrung von dienstlichen Unterlagen und Datenträgern im häuslichen Bereich. Am häuslichen Arbeitsplatz müssen hierfür ausreichende verschließbare Behältnisse, wie ein abschließbarer Schreibtisch, Rollcontainer oder Schrank vorhanden sein.

2. Hinweis, welche Regelungen und Maßnahmen zum Einbruch- und Zutrittsschutz am Homeofficeplatz zu beachten sind, also konkret: Fenster schließen und Türen abschließen, wenn Homeofficeplatz unbesetzt ist

3. Verhinderung des Zugriffs Unbefugter ‒ auch Angehörige der häuslichen Gemeinschaft sowie Besucher ‒ auf die Daten sowie auf sicherheitsrelevante Informationen wie Passwörter oder Systemkomponenten wie Chipkarten. Generell dürfen Unbefugte zu keiner Zeit auf dienstliche IT und Unterlagen zugreifen können.

4. Jeder Arbeitnehmer muss seinen häuslichen Arbeitsplatz aufgeräumt hinterlassen und sicherstellen, dass keine sensitiven Informationen frei zugänglich sind. Zudem muss er für die sichere Vernichtung nicht mehr benötigter Papierakten oder Ausdrucke sorgen, die personenbezogene Daten enthalten (nicht über den Hausmüll) sowie sichere Löschung entsprechender Datensätze auf dem heimischen Rechner (Schredder).

5. Beim Einsatz des privaten Rechners: Installation aller erforderlichen Updates und Sicherheitssoftware, z. B. Virenscanner oder Firewallsysteme sowie sichere Konfiguration des häuslichen Netzes einschließlich WLAN

6. Beschränkung der Verarbeitung personenbezogener Daten auf das unbedingt erforderliche Maß, nach Möglichkeit Anonymisierung und Pseudonymisierung

7. Verschlüsselte Übermittlung der personenbezogenen Daten und ggf. verschlüsselte Speicherung

PRAXISTIPP | Aus der Stellungnahme der „Berliner Datenschutzbeauftragte zu Heimarbeit während der Kontaktbeschränkungen“, Stand: März 2020:

Zum Thema „Messenger“

Es können alle Messenger verwendet werden, die eine Ende-zu-Ende-Verschlüsselung nach dem Stand der Technik bieten und deren Betreiber keine Angaben über die gesendeten und empfangenen Nachrichten oder die Nutzung der App für eigene Zwecke verarbeiten (diese Anforderungen erfüllt WhatsApp z. B. nicht). Werden diese Umstände aus den Datenschutzerklärungen eines Betreibers nicht deutlich, ist dessen Dienst voraussichtlich für die Nutzung nicht geeignet.

Ein Arbeitgeber kann die Verwendung eines Messengers auf einem privaten Gerät nicht verlangen, der zwangsweise Zugriff auf das Telefonbuch des Geräts nimmt.

Die Übermittlung sensibler Daten mit einem Messenger ist nur unter eingeschränkten Bedingungen zulässig (s. Jahresbericht der Berliner Beauftragten für Datenschutz und Informationsfreiheit 2019, Kapitel 1.1).

Zum Thema „Videotelefonie und -konferenzen“

Videotelefonie und Videokonferenzen sollen über verschlüsselte Kanäle abgewickelt werden. Dies betrifft sowohl die Vermittlung als auch die Übertragung der Ton- und Bilddaten. Bei der Videotelefonie soll dies eine Verschlüsselung von Ende zu Ende bewirken.

Die Bereitstellung des Videokonferenzdienstes kann ein zuverlässiger Dienstleister übernehmen, wenn er datenschutzgerecht beauftragt wurde und der Betreiber keine Angaben über die Beschäftigten und deren Kommunikation oder die Nutzung der Software für eigene Zwecke verarbeitet. Der Dienstleister sollte die Daten in der EU oder in einem als gleich sicher geltenden Land speichern und auch dort seinen Sitz haben. (S.o. unter 1. Achtung: Es gibt Diensteanbieter aus den USA mit großen Marktanteilen, die diese Anforderung nicht erfüllen, weil sie sich nicht ausreichend registriert oder die Standardvertragsklauseln nur in geänderter Form anbieten. Ein Beispiel ist bei Redaktionsschluss Zoom Voice Communications, Inc)

Da eine Ende-zu-Ende-Verschlüsselung bei einer Videokonferenz mit mehr als zwei Teilnehmern vielfach nicht möglich ist, wird empfohlen, nur Anbieter in EU, EFTA und der Schweiz zu verwenden, wenn innerhalb der Videokonferenz sensible Daten besprochen werden sollen. Berufsgeheimnisträger dürfen nur Dienstleister einsetzen, die bei einem Vertraulichkeitsbruch strafrechtlich belangt werden können.

Am besten (wenn auch oft nicht mit verhältnismäßigem Aufwand leistbar) ist die Bereitstellung eines eigenen Dienstes mit öffentlich verfügbarer Software. Alternativ sollte überlegt werden, ob anstelle einer Videokonferenz auch eine Telefonkonferenz ausreichen könnte, um die gewünschte Abstimmung untereinander herbeizuführen. Diese kann sehr viel leichter datenschutzgerecht durchgeführt werden.

Weiterführender Hinweis