#Datenschutz und #IT-Sicherheit: Technische und organisatorische Maßnahmen im Homeoffice

Analyse vor Einführung von Homeoffice

Grundsätzlich obliegt es dem Verantwortlichen eines Unternehmens, was im Homeoffice bearbeitet werden darf. Im Rahmen einer Risikoanalyse werden die Gefährdungen für die Rechte von Betroffenen betrachtet. Art, Umfang, Umstände sowie Zweck der Verarbeitung personenbezogener Daten können anhand dieser Analyse festgelegt werden. Der Verantwortliche hat angemessene und wirksame technische und organisatorische Maßnahmen zu treffen, welche in die einzelnen Prozesse integriert werden müssen. Verantwortliche müssen daher bereits bevor sie einem Mitarbeiter die Arbeit aus dem Homeoffice gestatten, entsprechende Vorarbeiten und Analysen leisten (Art. 5, 24, 25, 32 DSGVO).

Technische und organisatorische Maßnahmen

Im Vergleich zum betrieblichen Arbeitsplatz besteht im Homeoffice eine veränderte Gefährdungslage. Diese muss von den jeweiligen Unternehmen berücksichtigt werden. Die Verantwortlichen müssen sicherstellen, dass das Schutzniveau personenbezogener Daten auch im Homeoffice sichergestellt ist. Hierzu haben sie geeignete technische und organisatorische Maßnahmen zu treffen. Zu diesen gehören beispielsweise zentral administrierte Endgeräte, verschlüsselte Zugänge oder eine abgesicherte Verbindung (VPN). Eigene Endgeräte des Arbeitnehmers mit eingebautem Speichern wie Laptop, Scanner bzw. Drucker oder externe Speichermedien sollten nicht mehr zum Einsatz kommen. Vor Ort muss zudem ein geeigneter Arbeitsplatz eingerichtet werden, an welchem Dokumente mit personenbezogenen Daten sicher bearbeitet und aufbewahrt werden können. Oft reicht eine abschließbare Schublade, ein eigenes verschließbares Arbeitszimmer ist zumeist nicht erforderlich. Zu beachten ist auch, ob besonders sensible Daten (z. B. Gesundheitsdaten, Daten zu politischen oder weltanschaulichen Ansichten, vgl. Art. 9 DSGVO) verarbeitet werden sollen, dann ist das Schutzniveau entsprechend zu erhöhen. Es gibt eine Vielzahl möglicher Maßnahmen, welche eine sichere Verarbeitung von personenbezogenen Daten auch aus dem Homeoffice gewährleisten.