Home-Office Empfehlungen der Datenschutzbehörden im Überblick

In den letzten Monaten haben Datenschutzbehörden von Bund und Ländern zahlreiche Empfehlungen zum Thema Datenschutz im Home-Office veröffentlicht. Dr. Matthias Jantsch, Datenschutz-Berater bei der Veritas Group, hat sich einen Überblick über diese verschafft und in diesem Gastbeitrag zusammengefasst.

Während der Pandemie haben die meisten Unternehmen ihre Beschäftigten ohne konkrete Konzepte oder Richtlinien ins Home-Office entsendet – mit Risiken und Gefahren für den Datenschutz und die Datensicherheit. Die Datenschutzbehörden des Bundes und der Länder haben diesen Missstand schnell erkannt und Empfehlungen und Richtlinien veröffentlicht. Arbeitgeber und Arbeitnehmer erhalten dadurch eine Hilfestellung und Orientierung über wichtige technische und organisatorische Maßnahmen (TOM) für die Einhaltung des Datenschutzes im Home-Office.

In diesem Artikel werden die wichtigsten Inhalte der verschiedenen Veröffentlichungen zusammengefasst und verlinkt. Folgende Bundesländer wurden analysiert:

Inhaltsverzeichnis

Das Bayerische Landesamt für Datenschutzaufsicht mit „datenschutzrechtlichen Regelungen bei Homeoffice“

Das Bayerische Landesamt für Datenschutzaufsicht hat im PDF „Datenschutzrechtliche Regelungen bei Homeoffice“ eine dreiseitige Checkliste mit Best-Practice-Prüfkriterien veröffentlicht.

Dabei gehen die Bayern auf die folgenden Themen ein:

  • Gestaltung der Arbeitsumgebung
  • Genutzte Hardware (privat/firmeneigen)
  • Umgang mit Papierdokumenten
  • Internetanbindung (VPN)
  • Verwendung von Hardware und Software.

Im Unterschied zu anderen Datenschutzlandesbehörden geht diese Publikation sehr ausführlich auf die Anforderungen bei der Nutzung von Videokonferenzsystemen ein. Zusätzlich werden für die Verwendung von Cloud- und Messengerdiensten Empfehlungen ausgesprochen. Abschließend zählen die Bayern allgemeine organisatorische Regelungen für das Home-Office auf. Die Themen Smart-Home-Geräte mit Sprachassistenten und „Ausdrucken von Dokumenten im Home-Office“ klammert die bayerische Datenschutzbehörde aus. Die bayerische Checkliste ist thematisch übersichtlich gegliedert und deckt viele Punkte inhaltlich ab ohne sich in Details zu verlieren. Die „Datenschutzrechtliche Regelungen bei Homeoffice“ eignen sich sehr gut, um Punkt für Punkt alle möglichen Maßnahmen durchzugehen.

Die Berliner Datenschutzbeauftragte veröffentlicht „Mindestanforderungen an ein datenschutzgerechtes Home-Office“

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat „Mindestanforderungen an ein datenschutzgerechtes „Home-Office“ veröffentlicht, die zwingend eingehalten werden müssen. Im fünfseitigen PDF werden folgenden Punkte behandelt:

  • Umgang mit Papierunterlagen
  • Anforderungen an die Informationstechnik hinsichtlich Datenspeicher
  • Geräte, Netze und Sicherheit, sowie Kommunikationstechnik

Im Unterschied zu anderen Orientierungshilfen weist die Berliner Datenschutzbeauftragte auf die Gefahr des Ausdruckens an einem Drucker hin, der von mehreren Personen benutzt wird. Unter dem Punkt Kommunikationstechnik wird der Aspekt Telefonie umfangreich ausgeführt. Dabei wird auf Messengerdienste und Videotelefonie und -konferenzen eingegangen. Das Thema Cloud-Dienste fehlt in den Mindestanforderungen an den Datenschutz, genauso die Zwei-Faktor-Authentifizierung.

Das Dokument ist insgesamt übersichtlich strukturiert, jedoch gehen die aufgeführten Mindestanforderungen inhaltlich wenig in die Tiefe

Die Empfehlungen der Brandenburger Datenschutzbeauftragten sind oberflächlich

In der 2-seitigen Übersicht gibt die Brandenburger Datenschutzbeauftragte generelle Empfehlungen zur Telearbeit und Home-Office. Das PDF beschränkt sich auf die beispielhafte Beschreibung von Empfehlungen wie die sichere Vernichtung nicht mehr benötigter Papierakten, die Installation von Updates und Sicherheitssoftware und die verschlüsselte Internetverbindung.

Als Orientierungshilfe zur umfassenden Berücksichtigung des Datenschutzes im Home-Office ist dieses Dokument nicht zu empfehlen, da es zu oberflächig ist und zu wenige inhaltliche Punkte berücksichtigt.

Niedersachsen mit Hilfestellung zum Datenschutz im Home-Office

Die 4-seitige Hilfestellung der Landesbeauftragten für den Datenschutz (LfD) Niedersachsen unterteilt sich in drei Gliederungspunkte:

  1. Analyse vor Einführung des Home-Office
  2. Datenschutz zu Hause – so geht es
  3. Technische und organisatorische Maßnahmen (TOM)

Im ersten Teil werden generelle Empfehlungen zur Regelung der Telearbeit thematisiert. Diese betreffen die Aspekte der individualvertraglichen Vereinbarung und dass kein generelles Zugangsrecht zu Wohnungen von Beschäftigten besteht.

Im zweiten Teil der Hilfestellung wird u.a. darauf hingewiesen, dass keine privaten Tastaturen als Hardware angeschlossen werden sollen. Auch auf die Abschaltung bzw. Entfernung von digitalen Sprachassistenten wird hingewiesen. Im letzten Gliederungspunkt technische und organisatorische Maßnahmen (TOM) wird empfohlen keine privaten Drucker zu nutzen.

Auf Cloudlösungen wird nicht eingegangen, auf Telefon- und Videokonferenzen, sowie Messenger-Dienste nur allgemein. Inhaltlich werden alle wesentlichen Punkte genannt. Hervorzuheben ist hier auch die Verlinkung zu weiterführenden Quellen und Richtlinien anderer Bundes- und Landesbehörden. Die niedersächsische Hilfestellung für Datenschutz im Home-Office überzeugt durch die übersichtlichen und inhaltlich umfassenden Textpassagen.

Der Datenschützer in Rheinland-Pfalz gibt Hinweise zum Datenschutz im Home-Office

Die 6-seitige Hilfestellung aus Rheinland-Pfalz mit dem Titel „Hinweise zum Datenschutz im Homeoffice“ gliedert sich in sieben Punkte und geht dabei u.a. auf folgende Themen ein:

  • Gestaltung des Arbeitsplatzes im Home-Office
  • Tipps zum Umgang mit IT-Geräten, Datenträgern, Netzwerkzugang
  • Telefon
  • E-Mail
  • Messenger-Dienste
  • Telefon-/ Videokonferenzsysteme
  • Meldepflicht von Datenschutzverstößen

Im letzten Punkt Quellen und weiterführende Information wird auf Links u.a. von anderen Datenschutzbehörden verwiesen.

Das PDF-Dokument „Hinweise zum Datenschutz“ umfasst die wichtigsten Themen. Die Punkte Messenger-Dienste, Telefon-/Videokonferenzsysteme sind -im Gegensatz zur Telefonie- sehr knappgehalten. Im Unterschied zu Handlungsempfehlungen anderer Datenschutzbehörden wird in dieser Publikation sowohl die Verbindung mit dem Netzwerk mit einem Kabel als auch mit einem verschlüsselten WLAN empfohlen. Auch der Datenschützer in Rheinland-Pfalz schließt sich dem allgemeinen Tenor an, keine Druckaufträge an allgemein zugängliche Drucker abzuschicken.

Leider wird auch in dieser Veröffentlichung nicht auf Cloudlösungen oder digitale Sprachassistenten eingegangen. Hilfreich ist in diesem Dokument ähnlich wie bei der niedersächsischen Veröffentlichung die Verlinkung zu weiterführenden Webseiten und Dokumenten.

Sachsen-Anhalt gibt Empfehlungen für KMU in „Heimarbeit“

In der etwas sperrig klingenden Publikation „Empfehlungen für KMU zur Verarbeitung personenbezogener Daten in Heimarbeit“, gibt der Landesbeauftragte für Datenschutz in Sachsen-Anhalt Empfehlungen auf 2 Seiten.

Es wird empfohlen im Home-Office alias Heimarbeit nach Möglichkeit nur Tätigkeiten ohne Verarbeitung personenbezogener Daten ausführen zu lassen. Von der Verwendung privater Geräte rät der Datenschützer in Sachsen-Anhalt ab, da der Arbeitgeber nach Art. 32 DSGVO Maßnahmen zum Schutz personenbezogener Daten ergreifen muss, jedoch auf private Geräte in der Regel überhaupt keinen Einfluss ausüben könne. Die Nutzung von Cloud-Speichern ist laut der Empfehlung unkritisch: „Es spricht nichts dagegen, wenn mit einem dienstlichen Gerät über eine verschlüsselte Verbindung (z. B. VPN oder per HTTPS im Webbrowser oder per transportverschlüsselter App) auf einen datenschutzkonformen dienstlichen Cloud-Speicher zugegriffen wird“. Auch Fernzugriffe (Remotezugriffe) sind unkritisch. Jedoch wird empfohlen, für den Remotezugriff nur die Dienste bereitzustellen, die auch von außen für die Heimarbeit genutzt werden sollen.

In der Zusammenfassung werden stichpunktartig weitere wichtige Aspekte genannt, auf die nicht explizit im Text eingegangen wurde. Im Unterschied zu anderen Empfehlungen wird das Thema Cloud-Dienste in einem eigenen Punkt behandelt. Die Themen E-Mail, Messengerdienste und Videokonferenzen kommen inhaltlich zu kurz. Eine tiefergehende Behandlung der einzelnen Aspekte wäre wünschenswert.

In Schleswig-Holstein plötzlich im Homeoffice – und nun?

Die 4-seitige Publikation des Landes Schleswig-Holstein mit dem Titel „Plötzlich im Homeoffice – und nun?“ richtet sich primär an Arbeitnehmer. Im Unterschied zu den Veröffentlichungen anderer Landesdatenschutzbehörden ist sie nicht thematisch, sondern nach den zu berücksichtigen Arbeitsschritten im Home-Office gegliedert.

Es werden übersichtlich die wichtigsten Punkte, angefangen vom Umzug vom Büro in das Home-Office, über die Einrichtung des Arbeitsplatzes, die Klärung mit Vorgesetzten und im Kollegium, sowie die Beachtung von verschiedenen Grundsätzen im Home-Office aufgezählt. Im letzten Punkt wird darauf eingegangen, dass die Anforderungen zunächst nach mündlicher und schriftlicher Anweisung erfolgen, aber bei länger anhaltendem Zustand in einem schriftlichen Konzept beschrieben werden sollen.

Beim Drucken von zu Hause solle darauf geachtet werden, dass Druckaufträge nicht aus Versehen in das Unternehmensgebäude geschickt werden. Ein Hinweis, der sich in keiner anderen Empfehlung wiederfindet, betrifft die Auftragsverarbeiter: Es solle geprüft werden, dass im Auftragsverarbeitungsvertrag Home-Office nicht ausgeschlossen ist.

Die Home-Office-Empfehlung aus Schleswig-Holstein richtet sich in erster Linie an die Beschäftigten selbst und umfasst die wichtigsten Punkte. Zusätzlich wird auf die Problematik des Telefonierens mit dem privaten Telefon, sowie die Speicherung und Löschung dienstlicher Daten auf dem eigenen Gerät eingegangen. Die Themen E-Mail und Videokonferenzen sind in dieser Veröffentlichung nicht abgedeckt.

Was empfiehlt der Bundesbeauftragte für Datenschutz?

Auch der Bundesbeauftragte für Datenschutz hat eine Empfehlung herausgegeben, die 24 Seiten umfasst und sich als „Datenschutz-Wegweiser“ versteht. In der Veröffentlichung werden die Begriffe „Telearbeit“ und „mobiles Arbeiten“ ausführlich erklärt und auf die Vereinbarkeit mit dem Datenschutz eingegangen.

Was das BSI und der Bundesbeauftragte für Datenschutz empfehlen können Sie hier nachlesen.

Fazit: Keine Datenschutzbehörde liefert vollständige Veröffentlichungen

Die Empfehlungen der Datenschutzbehörden ähneln sich – auch im negativen Sinne, denn keine der Veröffentlichung deckt alle Punkte vollständig ab. Die Tiefe und der Umfang variieren teilweise erheblich.

Unterschiedliche Ansichten bestehen u.a. ob Dokumente zu Hause überhaupt ausgedruckt werden sollten und bzgl. der Vernichtung von Dokumenten (nur in der Firma oder auch zu Hause). Die meisten Empfehlungen gehen nicht oder kaum auf elektronische Sprachassistenten, Cloudlösungen und Videokonferenzen ein.

Inhaltlich knapp und trotzdem umfassend ist die Empfehlung des Landes Niedersachsen, sowie die Checkliste aus Bayern. Informativ und ansprechend ist auch die Empfehlung des Bundesbeauftragten für Datenschutz und Informationstechnik, sowie die Arbeitshilfe für Arbeitnehmer des Landesdatenzentrums Schleswig-Holstein.

Über den Autor

Dr. Matthias Jantsch ist DEKRA zertifizierter Datenschutzauditor und Datenschutzberater bei der Veritas Management Group. Veritas berät Unternehmen rund um die Themen Informationssicherheit, Datenschutz, Compliance sowie IT-Sicherheit. Sie erreichen Dr. Jantsch unter m.jantsch@veritas-group.de

Die Analyse wurde am 30.9.2020 durchgeführt.

TSD-Dossier-Datenschutz-im-Homeoffice-PDF

Holen Sie sich das kostenlose PDF-Dossier zum Thema Homeoffice!

Das Dossier beleuchtet verschiedene Aspekte von Homeoffice und enthält Praxisbeispiele, Tipps und Trends. Es geht um Vorteile, Risiken, Organisation, Datenschutz und Datensicherheit.