Homeoffice – was gilt es zu beachten?

Auch zuhause gilt die DSGVO

Homeoffice - was gilt es zu beachten?

Datenschutzauditor Frank Müns

Erstaunlich: Trotz des Verlustes von Arbeitsplätzen, Homeoffice und Kurzarbeit stiegen die verhängten Bußgelder wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) während der Pandemie an. Noch 2019 lag der Gesamtbetrag für verhängte Strafen bei 73 Millionen für 151 Verstöße. Als dann das Virus Einzug hielt, stiegen 2020 nicht nur die Verletzungen der DSGVO auf mehr als das Doppelte, sondern auch die verhängten Bußgelder. 172 Millionen Euro für 340 Rechtsbrüche.
Noch erstaunlicher: 2021 wurden fast 1,3 Milliarden an Bußgeldern verhängt. Worauf ist der enorme Anstieg während der Covid-19-Pandemie zurückzuführen?
Zugegeben, der Anstieg zwischen 2020 und 2021 ist dessen geschuldet, dass eben die Reichsten gegen die DSGVO verstoßen haben und nicht auf ein Phänomen, das mit der breiten Masse zu tun hat. Denn Amazon musste fast 750 Millionen Euro allein stemmen. Eine Strafzahlung von WhatsApp in Höhe von 225 Millionen und Amazon reichen dabei fast aus, um der EU eine Milliarde zu bescheren.
Dennoch zeigt die Statistik auch, dass mit 434 verhängten Strafen fast dreimal so viele rechtlich relevante Verstöße gegen die DSGVO geschahen. Denn auch im Homeoffice ist man nicht frei von den Zwängen des Datenschutzes. Doch was genau gilt es zu beachten?

Was gilt es zu beachten?

Um eine Antwort darauf zu geben, was es im Homeoffice in Sachen Datenschutz zu beachten gibt, muss man sich stets vor Augen halten, was überhaupt Sinn und Zweck der DSGVO ist. Ziel der Grundverordnung ist es, die personenbezogenen Daten der EU-Bürger zu schützen. In der Praxis heißt das, dass Maßnahmen zur Risikominimierung ergriffen werden müssen.
Im Falle eines Rechtsbruchs ist der Arbeitgeber zu belangen, das heißt, es ist in seinem Interesse, dass die Mitarbeiter im Homeoffice diverse technische und organisatorische Maßnahmen im Sinne des Art. 32 DSGVO und Art. 24 der DSGVO ergreifen, um personenbezogene Daten zu schützen.

Artikel 24 DSGVO

Artikel 24 verpflichtet den Verantwortlichen, unter Berücksichtigung aller Umstände, geeignete technische und organisatorische Maßnahmen zu ergreifen, um sicherzustellen, dass die Verarbeitung unter Einhaltung der Grundverordnung erfolgt.
In der Praxis kann das heißen, dass der Vorgesetzte den Arbeitsplatz des Mitarbeiters überprüfen können muss. Dies muss vertraglich festgelegt werden.
Zudem sollte eine Dienstvereinbarung mit datenschutzrechtlichen Grundsätzen im Heimarbeitsplatz des Mitarbeiters verfügbar sein, die sämtliche Problembereiche abdeckt.
Wichtig ist auch, betriebliche und private Nutzung strikt voneinander zu trennen, um der Sicherung von personenbezogenen Daten vorzubeugen. Aus diesem Grund sollte normalerweise keine private Hardware für den geschäftlichen Bereich Anwendung finden, sondern extra betrieblich bereitgestellte.

Art. 32 DSGVO

„Sicherheit der Verarbeitung“ lautet die Überschrift des Art. 32. Hier werden dem Verantwortlichen und dem Auftragsverarbeiter, also dem Mitarbeiter, gewisse Maßnahmen sogar vorgegeben.
Demnach muss im Homeoffice eine Verschlüsselung von mobilen Datenträgern erfolgen, um einen unerlaubten Zugriff auf die darauf befindlichen personenbezogenen Daten zu verhindern. Außerdem ist es ideal, mit möglichst wenig Medien zu arbeiten, was im Homeoffice meist wesentlich besser möglich ist als auf der Arbeit.
Im Idealfall werden keine öffentlichen Verbindungen genutzt und wenn doch, dann nur unter Einsatz eines VPN mit Verschlüsselung.
Zudem spielt die physische Sicherung der Datenträger eine große Rolle. Diese sollten möglichst gut vor Diebstahl geschützt werden und nur gesperrt und verschlüsselt transportiert werden.
Besonders wichtig ist das bei mobiler Arbeit, wobei hier auch verstärkt darauf geachtet werden sollte, dass die Arbeit auf dem PC etc. nicht aufgezeichnet werden kann.
Auch der Zugriff auf die Datenträger sollte durch eine Zwei-Faktor-Authentifizierung erfolgen, um Hackern oder lokalen Zugriffen zuvorzukommen.

Risiken im Homeoffice

Diese Maßnahmen dienen der Sicherheit der personenbezogenen Daten der Bürger. Sie sollten ausreichen, um unbefugten Zugang zu verhindern oder sich zumindest rechtlich abzusichern und damit auch vor dem Kunden nicht das Gesicht zu verlieren.
Doch welche Risiken gibt es überhaupt im Homeoffice?

Wovor sollte man sich und seine Mitarbeiter schützen?

Zunächst einmal, zugegeben, in den meisten Berufen eher unwahrscheinlich, ist Spionage ein Risiko, dem im Homeoffice vorgebeugt werden muss. Dies kann theoretisch lokal geschehen, wird in der Praxis jedoch eher über ein unbefugtes Eindringen in das Netzwerk erfolgen.
Eine Fehlplanung kann zur Manipulation von Hard- und Software führen und ist dabei unbedingt zur vermeiden. Auch ein Verstoß des eigenen Ehepartners, der versehentlich personenbezogene Daten einsieht, stellt bereits einen Verstoß dar. Für den Arbeitgeber ist es im Homeoffice schwerer zu überprüfen, ob Verstöße vorliegen, womit auch ein Risiko des Missbrauchs durch Mitarbeiter herrscht.
Ausfall und fehlerhafter Nutzung von Hardware muss auch vorgegriffen werden und unterliegt im Zweifelsfall dem Vorgesetzten.
Es gibt unzählige weitere Risiken, die im Homeoffice zu beachten sind. Um sich und das Unternehmen präventiv gegen all diese Verstoß-Möglichkeiten abzusichern, lohnt es sich einen externen Datenschutz heranzuziehen, dessen Aufgabe es ist, Unternehmen zu beraten und vor möglichen Verstößen gegen die DSGVO zu schützen. Diese können nämlich, wie wir gesehen haben, Unternehmen teuer zu stehen kommen, was durch die Beispiele von Amazon und WhatsApp deutlich wird.
Ein externer Datenschutzbeauftragter berät Mitarbeiter, Kunden und Vorgesetzte, bei der Koexistenz von wirtschaftlichen Interessen und der Wahrung des Gesetzes.

Die Immerce GmbH ist die Internet Agentur im Allgäu und programmiert seit über 10 Jahren leistungsstarke Webshops auf Magento und Shopware Basis und betreibt für ihre Kunden Suchmaschinenoptimierung. Seit 2018 ist mit der Einführung der DSGVO der Geschäftsbereich betreuen wir unsere Kunden zusätzlich in den Bereichen Datenschutz & IT-Sicherheit.

Kontakt
Immerce GmbH
Frank Müns
Kemptener Straße 9
87509 Immenstadt
08323-209 99 43
muens@immerce.de
https://www.immerce-consulting.de