Home-Office Sicherheit durch professionelle Betriebsstrukturen

Viele Menschen arbeiten Pandemie-bedingt seit rund einem Jahr ganz oder teilweise im Home-Office – größtenteils als Provisorium. Remote Work Pionier und Praxisexperte, Thomas Dehler, beschreibt in diesem Artikel, wie Unternehmen Betriebsstrukturen professionalisieren können und sollten, um IT-Sicherheit und Datenschutz im Home-Office zu erreichen.

Inhaltsverzeichnis

Mit dem ersten Lockdown letzten Jahres haben zahlreiche Unternehmen ihren Beschäftigten erstmals das Arbeiten im Home-Office ermöglicht. Es sollte eine Notlösung werden, ein Provisorium auf Zeit, in der Hoffnung, dass baldige Normalität zurückkehrt und mit ihr die Beschäftigten wieder ins gewohnte Büro-Umfeld.

Heute, über ein Jahr später, ist klar: Die Arbeitswelt hat sich während der Pandemie zum „New Normal“ gewandelt. Sowohl Arbeitgeber als auch Arbeitnehmer haben die dezentrale Arbeitsorganisation kennen und schätzen gelernt – mit all ihren Vorzügen und Herausforderungen. Insoweit ist klar: Das Home-Office wird auch nach Corona im Trend liegen.

Unternehmen, die diese „neue Normalität“ bewusst ausblenden, verpassen die Chance, produktive, flexible und sichere Betriebsstrukturen umzusetzen. Gleichzeitig riskieren diese Unternehmen die IT-Sicherheit, die Datensicherheit und im Wettbewerb um qualifizierte Beschäftigte im Abseits zu landen.

Sie haben Fragen zum Thema Homeoffice?

Stellen Sie uns Ihre derzeit dringlichste Frage zum Betrieb von Homeoffice Arbeitsplätzen. 
Wir schenken Ihnen 15 Minuten unseres Praxiswissens aus über 20 Jahren.

Zur Terminvereinbarung
Fehlende Geschäftsrechner sind kein Grund Home-Office zu verweigern

Seit dem 27.1.2021 gilt die neue SARS-CoV-2-Arbeitsschutzverordnung, kurz Corona Arbeitsschutzverordnung (ASVO). Laut Bundesministerium für Arbeit und Soziales (BMAS) gilt diese Verordnung zunächst bis zum 30. Juni 2021. Demnach ist der Arbeitgeber „verpflichtet, den Beschäftigten zu ermöglichen, alle Tätigkeiten, die sich dafür eignen, in ihrer Wohnung (Home-Office) auszuführen“ oder zu begründen, weshalb kein Home-Office möglich ist.

Die „Nichtverfügbarkeit benötigter IT-Ausstattung“ stellt laut BMAS-Website hingegen nur eine „vorübergehende“ Begründung dar.

Anders formuliert: Fehlende Geschäftsrechner stellen keinen dauerhaften Ablehnungsgrund dar. Alternativ kann der Arbeitgeber den privaten PC des Beschäftigten für berufliche Zwecke erlauben und unter Einsatz von Security-Software wie TSD sogar sicher und DSGVO-konform.

Der private PC ist mit Sicherheit im Home-Office möglich
Infografik: Statistik zum Anteil der Homeoffice-Beschäftigten, die den privaten PC für berufliche Zwecke nutzen
Infografik: Statistik zum Anteil der Homeoffice-Beschäftigten, die den privaten PC für berufliche Zwecke nutzen

Unternehmen stellen ihren Home-Office-Beschäftigten meistens einen Geschäftsrechner zur Verfügung. Doch nicht in allen Unternehmen stehen entsprechende Ressourcen zur Verfügung, weshalb Unternehmen Beschäftigten die Nutzung des Privat-PC erlauben. Bring Your Own Device (kurz: BYOD) nennt sich diese Praxis, die durch die Pandemie neuen Auftrieb erlebt. Auf diese Weise können Beschäftigte schnell und einfach aus dem Büro Zuhause arbeiten.

Doch weder bringt der Einsatz von Geschäftsrechnern automatisch eine höhere Sicherheit, noch ist ein privater Rechner am Arbeitsplatz grundsätzlich unsicher. Vielmehr kommt es darauf an, ob die private und geschäftliche Nutzung auf dem Rechner klar voneinander getrennt sind.

Entsprechend sollten Unternehmen dafür sorgen, dass geschäftliche Daten nicht auf dem privaten PC gespeichert werden können und andererseits möglicherweise kompromittierte private Daten auf einem Geschäftsrechner nicht in die Unternehmens-IT gelangen.

Eine technische Trennung zwischen dienstlichen und privaten Daten ist aus Sicht der Datenschutz-Grundverordnung (DSGVO) sogar Pflicht. Es kommt somit darauf an, in welcher Form und Wirksamkeit die technischen und organisatorischen Verfahren zur Erreichung der Kontroll- und Schutzziele für diese Betriebsform modifiziert wurden.

Mit Trusted Secure Desktop (TSD) lassen sich Geschäftsrechner und der private PC sicher und DSGVO-konform im Homeoffice nutzen.

Home-Office Sicherheit durch Telearbeitsplatz

Bei der Arbeit im Home-Office sind Beschäftigte den größten Teil der Zeit auf sich selbst gestellt. Doch die Risiken für die Datensicherheit im Home-Office sind ungleich größer als am Arbeitsplatz in der Firma, wie das Bundesamt für Sicherheit (BSI) im Bericht zur IT-Sicherheitslage dargelegt hat. Die Sicherheitskonzepte, wie Sie in der Büroumgebung angewendet werden, sind für die Home-Office-Umgebung daher eher unzureichend.

Dabei kann das Home-Office theoretisch überall sein. Doch unabhängig davon, wo sich das Home-Office befindet: Im Fall, dass personenbezogene Daten wie z. B. Kundendaten verarbeitet werden, bleiben Arbeitgeber und Auftraggeber in der Pflicht, die Maßgaben der DSGVO einzuhalten.

In der logischen Konsequenz sprechen Unternehmen, die sichere Betriebsstrukturen anstreben, nicht mehr vom „Home-Office“ oder vom mobilen Arbeitsplatz, sondern vom festen „Telearbeitsplatz“ mit entsprechender Vereinbarung.

Die rechtlichen Anforderungen, die sich an einen Telearbeitsplatz richten oder aus der Datenschutz-Grundverordnung (DSGVO) ergeben, sind relativ hoch. Christian Willert von der Berliner Rechtsanwaltskanzlei HÄRTING hat hierzu eine Checkliste veröffentlicht.

Das eBook "Homeoffice"

eBook zum Thema Datenschutz und Datensicherheit im Homeoffice

Holen Sie sich das kostenfreie eBook mit all unseren Beiträgen im PDF-Format. Mit über 50 Seiten Wissen zu Datenschutz und Datensicherheit im Homeoffice.
Jetzt kostenfrei herunterladen
Technisch-organisatorische Maßnahmen für mehr Sicherheit im Home-Office

Die eigentliche Herausforderung betrifft die Umsetzung des Vereinbarten. Sowohl der Datenschutz (nach DSGVO) als auch die IT-Sicherheit haben den Anspruch mögliche IT-Sicherheitsrisiken auf ein Minimum zu reduzieren bzw. zu vermeiden. An der Stelle sind geeignete technische und organisatorische Maßnahmen (TOM) nötig, die mindestens folgende Aspekte abdecken:

  • den Raum, in dem der Home-Office-Beschäftigte arbeitet
  • die eindeutige Identitätsfeststellung des Beschäftigten
  • die Hardware, die der Beschäftigte im Home-Office verwendet
  • die verschlüsselte Internetverbindung (VPN), die der Beschäftigte im Home-Office nutzt
  • die Zugriffsrechte und Berechtigungen des Beschäftigten
  • die Security Awareness des Beschäftigten
Sicherheit vom Home-Office Arbeitsplatz sollte geprüft werden

In der Praxisrealität kommen Auftraggeber und Auftragsverarbeiter (OSPs) ihren gesetzlich vorgeschriebenen Kontrollpflichten kaum nach. Es bleibt in der Regel bei der Vereinbarung und beim blinden Vertrauen, dass das Vereinbarte umgesetzt wird. Vor dem Trend der zunehmenden Virtualisierung und Dezentralisierung von Arbeitsplätzen – auch nach der Pandemie – ein Kardinalsfehler.

Für eine Überprüfung des Arbeitsortes sind nicht zwingend vor Ort Besuche nötig bzw. im Fall von Home-Office schwierig zu realisieren. Alternativ bieten sich Webcam-basierte Raumprüfungen (Workplace-Check) an, die in Zusammenarbeit und Abstimmung mit dem Home-Office-Beschäftigten erfolgen, wodurch eine hohe Akzeptanz gewährleistet ist.

Die Zeit für Provisorien ist vorbei. Sichere und verlässliche Betriebsstrukturen für „Home-Office“-Strukturen sind möglich!

Grafik: Cover der Zeitschrift Teletalk 02/21
Cover der Zeitschrift Teletalk 02/21

Diesen Artikel können Sie als Gastbeitrag für den deutschen Call-Center Verband (CCV) im Fachmagazin für Customer Care & Servicemanagement „TeleTalk“ (Ausgabe 2/2021) nachlesen.

Portrait: Thomas Dehler
Thomas Dehler
Über Thomas Dehler

Thomas Dehler ist Gründer und Geschäftsführer der GEFTA mbH, die Unternehmen bei der Professionalisierung von dezentralen Arbeitsstrukturen begleitet. Als Praxisexperte für Remote Home gibt es seine Erfahrung aus über 20 Jahren weiter.

Wir möchten darauf hinweisen, dass wir keine Rechtsberatung anbieten und der vorliegende Artikel lediglich ein Informationsangebot darstellt. Wir übernehmen keine Gewähr auf Vollständigkeit und Richtigkeit. Des Weiteren haben wir im Artikel aus Gründen der Einfachheit die männliche Schreibweise der „Mitarbeiter“ gewählt. Gemeint sind selbstverständlich Mitarbeiterinnen und Mitarbeiter gleichermaßen. Gleichberechtigung und Vielfalt sind uns wichtig!

Newsletter

Profitieren Sie von unserer Expertise auf den Gebieten Datenschutz & Datensicherheit rund um das Homeoffice und abonnieren Sie jetzt unseren Newsletter. Dürfen wir Sie in unsere Versandliste aufnehmen?

Mit "Senden" bestätigen Sie, dass Sie mindestens 18 Jahre alt sind und erteilen Ihr Einverständnis, dass die von Ihnen eingegebenen Daten, wie hier und in der Datenschutzerklärung erläutert, gespeichert und verarbeitet werden.