Darf der Arbeitgeber mich zuhause kontrollieren? Achtung beim Datenschutz im Homeoffice

Autor / Redakteur: Sarah Gandorfer / Dipl.-Ing. (FH) Andreas Donner

Das Homeoffice gilt als Einfallstor für Bösewichte, denn oftmals wurde der Heimarbeitsplatz schnell eingerichtet und die IT-Sicherheit blieb auf der Strecke. Dabei gibt es auch im Homeoffice Regeln zu beachten, gerade was den Datenschutz angeht.

Firmen zum Thema

Der Umzug ins heimische Büro kann mit Datenschutzproblemen verbunden sein.
Der Umzug ins heimische Büro kann mit Datenschutzproblemen verbunden sein.
(Bild: trekandphoto – adobe.stock.com)

Pandemie-bedingt arbeiten immer mehr Menschen vom heimischen Schreibtisch. Oftmals verlief die Verlagerung des Arbeitsplatzes sehr rasch, unter anderem weil Eltern wegen Schul- und Kindergartenschließungen plötzlich von daheim den Nachwuchs betreuen und gleichzeitig arbeiten mussten. Vielfach wurde in solchen Situationen improvisiert. Mittlerweile zeichnet sich ab, dass das Homeoffice längerfristig eine Rolle in der Arbeitswelt einnehmen wird.

Hinzu kommt die aktuelle Gesetzeslage, denn die besagt, dass überall dort, wo es möglich ist und die Tätigkeiten es zulassen, soll Homeoffice angeboten werden. „Die Coronakrise darf mittlerweile jedoch kein Grund mehr sein, die Anforderungen der EU-DSGVO zur Datenverarbeitung nicht einzuhalten, wenn von zuhause gearbeitet wird“, erklärt Mareike Vogt, Fachexpertin für Datenschutz TÜV Süd. „Unternehmen sollten ihre technischen und organisatorischen Maßnahmen entsprechend für eine rechtskonforme Verarbeitung von personenbezogenen Daten auch an Heimarbeitsplätzen anpassen. Kleinere Unternehmen mit wenig Ressourcen sollten dabei im Zweifel auch die Hilfe unabhängiger externer Experten nutzen, bevor sie das Risiko von Bußgeldern oder eines Imageschadens eingehen.“

Das ist zu beachten beim Datenschutz

Folgende Punkte zum Datenschutz sollten Unternehmen und Mitarbeitenden bei der Arbeit von zuhause aus im Blick haben:

  • Sichere IT-Infrastruktur: Dem Arbeitnehmer sollen betriebliche Arbeitsmittel zur Verfügung gestellt werden, mit denen er sich ins Unternehmensnetz einwählen kann. Ideal ist ein in sich geschlossenes Virtual Private Network (VPN). Falls im Einzelfall ein Mitarbeiter doch sein eigenes Gerät nutzen muss, um zu arbeiten, sollten auch hier entsprechende Maßnahmen getroffen werden.
  • Schulungen sensibilisieren gegen Phishing: Ungeschulte Mitarbeiter sind ein Tor für Cyberattacken wie Phishing. Deshalb müssen Mitarbeiter entsprechend über die Gefahren aus dem Netz aufgeklärt werden.
  • Vereinbarungen zum Homeoffice treffen: Mit Mitarbeitern, die von zuhause arbeiten, sollte eine Vereinbarung zur Arbeit im Homeoffice getroffen werden. Darin müssen zutreffende Pflichten und vereinbarte Schutzvorkehrungen dokumentiert werden. Um dies datenschutzrechtlich von Anfang an sicher zu gestalten, sollte eine solche Regelung am besten von Beginn an getroffen und unterschrieben oder dies schnellstmöglich nachgeholt werden. Neben allgemeinen Maßnahmen zum Schutz, kann in einer solchen Vereinbarung auch ein Kontrollrecht des Arbeitgebers über den bestehenden Heimarbeitsplatz vereinbart werden.
  • Private und geschäftliche Daten trennen: Private und geschäftlichen Daten sollten getrennt sein. Hier sollten ebenfalls am besten alle Maßnahmen individuell innerhalb einer getroffenen Vereinbarung dokumentiert werden.
  • Regeln für Auftragsdatenverarbeitung beachten: Verarbeitet ein Unternehmen für ein anderes im Auftrag personenbezogene Daten, muss beachtet werden, was innerhalb des Auftragsverarbeitungsvertrags vereinbart wurde. Die technischen und organisatorischen Maßnahmen dürfen auch in solchen Situationen nicht ausgehebelt werden.

Kontrolle im Homeoffice: Was ist erlaubt?

Persönliche Kontrollbesuche sind erlaubt, wenn der Besuch vorher abgesprochen und nicht bloß angekündigt wurde. Keylogger-Software, die jeden Tastaturanschlag speichert und den Bildschirm hin und wieder fotografiert ist ebenfalls nur erlaubt, wenn ein konkreter Anlass vorliegt und der Einsatz der Software kommuniziert wurde.

Zugriff auf geschäftlichen E-Mail-Verkehr darf der Chef immer einfordern. Sind E-Mails jedoch durch den Betreff deutlich als privat erkenntlich, dürfen diese auch bei Verbot der E-Mail-Privatnutzung nicht einfach so gelesen werden. Eine Kontrolle, ob private Mails verschickt wurden, ohne Einsicht, ist jedoch möglich.

Ebenso möglich ist es, den Browser-Verlauf des Dienst-Laptops auszuwerten – nicht jedoch des privaten Computers. Programme, wie beispielsweise Microsoft Teams zeigen zudem an, wer gerade online ist. In jedem Fall ist bei solchen Maßnahmen der Betriebsrat und der Datenschutzbeauftragte mit einzubeziehen.

(ID:47112696)

Über den Autor

 Sarah Gandorfer

Sarah Gandorfer

Redakteurin bei IT-BUSINESS