Technisch-organisatorische Maßnahmen im Homeoffice

Die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) gelten auch im Homeoffice. Jedoch sind die technisch-organisatorischen Maßnahmen (TOM), die für den Schutz personenbezogener Daten erforderlich sind, andere als im gewohnten Büroumfeld. Im Artikel erfahren Sie welche organisatorischen und technischen Maßnahmen wichtig sind.

Inhaltsverzeichnis

Sie haben Fragen zum Thema Homeoffice?

Stellen Sie uns Ihre derzeit dringlichste Frage zum Betrieb von Homeoffice Arbeitsplätzen. 
Wir schenken Ihnen 15 Minuten unseres Praxiswissens aus über 20 Jahren.

Technisch-organisatorische Maßnahmen (TOM) nach DSGVO Art. 32

Die Anforderungen an den Datenschutz sind in der europäischen Datenschutzgrundverordnung (DSGVO bzw. DS-GVO) geregelt. Diese gelten überall wo personenbezogene Daten verarbeitet werden, unabhängig davon, ob ein Mitarbeiter im Büro oder im Homeoffice arbeitet. Wenn beispielsweise Mitarbeiter im Homeoffice auf Kundendaten zugreifen, muss der Arbeitgeber für Datenschutz und Datensicherheit sorgen. Betroffen sind häufig Unternehmensbereiche wie Marketing, Vertrieb, Kundenservice, Customer Care, aber auch Buchhaltung.

Der Arbeitgeber bleibt für den Schutz der Daten verantwortlich. So schreibt Art. 32 DSGVO Verantwortlichen und Auftragsverarbeitern zur Sicherheit der Verarbeitung personenbezogener Daten vor, dem Risiko angemessene Maßnahmen vorzusehen. Diese sollen dem jeweiligen Stand der Technik entsprechen und sich an Art, Zweck und Umfang der Verarbeitung orientieren.

Im Wortlaut heißt es in der DSGVO Art. 32: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; …“

Die Maßnahmen umfassen sowohl technische als auch organisatorische Maßnahmen und lassen sich in vier Aspekte zusammenfassen, die für die Sicherheit der Verarbeitung von Bedeutung sind:

  1. die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten,
  2. die Sicherstellung der Verfügbarkeit, Integrität und Vertraulichkeit der personenbezogenen Daten,
  3. die zeitnahe Wiederherstellbarkeit von personenbezogenen Daten nach einem Zwischenfall, z. B. Datenklau,
  4. die regelmäßige Überprüfung, ob die technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung auch wirksam sind.
Das Homeoffice erfordert besondere technisch-organisatorische Maßnahmen

Das zu erreichende Sicherheitsniveau der Maßnahmen hängt davon ab, wie groß jeweils die Risiken für die Rechte der betroffenen Personen sind. Dabei müssen besonders sensible Daten wie etwa Gesundheitsdaten, Bankdaten oder politische Überzeugungen noch stärker geschützt werden. Außerdem ist die Wahrscheinlichkeit einzubeziehen, mit der ein Risiko eintritt. Ist das Risiko hoch, dann müssen entsprechend gründlichere Maßnahmen zur Eindämmung des Risikos erfolgen.

Das BSI hat in seinem Lagebericht zur IT-Sicherheit deutlich gemacht, dass das Homeoffice ein besonderes Risiko für die Sicherheit von Daten darstellt.

Das Homeoffice ist ein beliebtes Ziel für Cyberangriffe und Datendiebstahl. Dieser Umstand muss bei der Planung und Umsetzung von technisch-organisatorischen Maßnahmen (TOM) hinreichend berücksichtigt werden. Es reicht also nicht das Datenschutzkonzept und IT-Sicherheitskonzept einfach auf das Arbeiten im Homeoffice zu übertragen, sondern es sollte dem Umstand und dem Risiko entsprechend angepasst werden.

§ 64 BDSG neu konkretisiert technisch-organisatorische Maßnahmen

Die DSGVO gibt keine näheren Hinweise darauf, wie technisch-organisatorische Maßnahmen im Einzelnen aussehen könnten. Diese Lücke schließt das Bundesdatenschutzgesetz (BDSG). Insofern erweitert und konkretisiert das BDSG die Datenschutzgrundverordnung. Die alte Fassung des BDSG (BDSG-alt) wurde durch die neue Fassung (BDSG-neu) ersetzt.

Im § 64 BDSG erfahren Datenverantwortliche und Auftragsverarbeiter, was im Einzelnen nötig ist, um die Anforderungen der DSGVO umzusetzen. Die aus dem alten BDSG bekannte Maßnahmenliste (§ 9 BDSG-alt) wurde dabei teilweise weiter konkretisiert.

Das § 64 BDSG neu enthält 14 Kontrollziele, die der Sicherstellung der vier Schutzziele der DSGVO dienen.

Zwar gilt § 64 BDSG-neu nur für die „Datenverarbeitung öffentlicher Stellen bei Straf- und Ordnungswidrigkeitsverfahren“, in der gängigen Praxis findet dieser Paragraph jedoch auch in Unternehmen Anwendung. Das BDSG-neu kann als wertvolle Orientierungshilfe zur Planung und Umsetzung von technisch-organisatorischen Maßnahmen herangezogen werden.

Grundsätzlich können Maßnahmen für die sichere Verarbeitung von Daten auf technischem oder organisatorischem Weg vorgenommen werden. Im Homeoffice sind viele der Maßnahmen allerdings schwer umzusetzen oder zu kontrollieren. Abhilfe schaffen dann technische Systeme wie Trusted Secure Desktop (TSD), die den Schutz vor einer Kompromittierung der Daten erhöhen und organisatorische Maßnahmen technisch unterstützen. So kann auch im Homeoffice die Datensicherheit erhöht werden.

TOM: Zutrittskontrolle

Damit Unbefugte keinen Zugang bzw. Zutritt (Zutrittskontrolle) zu einem Raum bekommen, in dem personenbezogene Daten verarbeitet werden, werden in Unternehmen üblicherweise Schlüsselsysteme, Alarmanlagen, Firmenausweise oder ein Empfang mit Pförtner eingesetzt. Im Fall des häuslichen Arbeitsplatzes wäre zu prüfen, ob ein separater Arbeitsraum zur Verfügung steht und ob der Arbeitsplatz aus Sicht des Datenschutzes geeignet ist, z.B. mithilfe einer Webcam-basierten Raumprüfung.

TOM: Zugangskontrolle

Weitere technische Maßnahmen dienen der Zugangskontrolle zum Arbeitsrechner und den Daten im Homeoffice. Hierzu zählen beispielsweise:

TOM: Datenträgerkontrolle

Auch die Sicherheit von Datenträgern ist wichtig. Personenbezogene Daten, die auf mobilen Datenträgern wie CDs, DVDs oder USB-Sticks gespeichert sind, sollten verschlüsselt werden. Auch die sichere Vernichtung von CDs und DVDs nach DIN 32757 mit anschließender Protokollierung ist für Auftragsverarbeiter unerlässlich. Auch organisatorische Maßnahmen wie die sichere Aufbewahrung in einem abschließbaren Schrank oder einem Tresor sind im Homeoffice möglich und sinnvoll.

TOM: Speicherkontrolle

Die Speicherkontrolle soll die unbefugte Eingabe, Änderung oder Löschung personenbezogenen Daten verhindern. Dies wird am besten sichergestellt, indem Berechtigungen differenziert für das Ändern, Löschen und Lesen von Daten im System festgelegt werden.

TOM: Zugriffskontrolle

Die Berechtigungen werden in CRM-Anwendungen üblicherweise für jeden Nutzer individuell vergeben. Die Verwaltung dieser Rechte nimmt der jeweilige Systemadministrator vor. Jeder Zugriff auf Anwendungen und Daten wird protokolliert. Die Nutzer legen sichere Passwörter unter Berücksichtigung einer Passwortrichtlinie fest.

Die Steuerung des Zugriffs auf IT-Systeme (Zugriffskontrolle), mit denen personenbezogene Daten verarbeitet werden, geschieht mit derselben Vorgehensweise. Administratoren verwalten die Berechtigungen auf die Systeme mit Hilfe einer Berechtigungsmatrix, die jedem Nutzer seinen individuellen Zugang zu den von ihm benötigten Daten gibt.

TOM: Benutzerkontrolle

Auch für die Benutzerkontrolle ist ein festgelegtes Rechtesystem für alle Nutzer notwendig. Dazu ist es nützlich, Benutzerprofile zu erstellen und anhand dieser regelmäßig zu kontrollieren, ob die Berechtigungen aktuell und korrekt zugeordnet sind. Scheidet ein Mitarbeiter aus, dann müssen seine Rechte gelöscht werden, wechselt er in einen anderen Bereich, werden sie angepasst. Über die sichere Nutzer-Authentifikation mithilfe einer Mehrfaktoren-Authentifikation wird sichergestellt, dass kein unbefugter Zugriff auf Systeme und Daten geschieht. Eine Benutzername-Passwort-Kombination als einzige Authentifikation ist nicht ratsam – schon gar nicht im Homeoffice. Trusted Secure Desktop authentifiziert Nutzer über eine manipulationssichere Video-Identifikation.

TOM: Übertragungskontrolle

Bei der elektronischen Übermittlung personenbezogener Daten muss gewährleistet sein, dass die Daten tatsächlich an die richtigen Empfänger gesendet werden. Dazu muss überprüft werden können, an welche Stellen die Daten übermittelt wurden. Im Homeoffice muss für die Übertragungskontrolle eine technische Lösung wie beispielsweise ein VPN-Tunnel mit Transportverschlüsselung eingerichtet werden.

TOM: Transportkontrolle

Die Transportkontrolle sorgt dafür, dass beim Transport von Datenträgern die Integrität und Vertraulichkeit der personenbezogenen Daten geschützt wird. Im Homeoffice sollte nach Möglichkeit vermieden werden, diese Daten zu transportieren. Das ist im Normalfall auch nicht nötig, es sei denn, dass der PC oder Laptop selbst transportiert wird. Hier wird die Sicherheit jedoch durch die Speicherkontrolle und die Zugriffskontrolle bereits gewährleistet.

TOM: Eingabekontrolle

Mit der Eingabekontrolle wird der Nachweis erbracht, wer welche Daten wann im System eingegeben oder verändert hat. Dies muss nachträglich überprüfbar sein, was durch eine Protokollierung sämtlicher Änderungen an Daten oder Anwendungen geschehen kann. Die Protokolldaten müssen ebenfalls gegen Veränderung oder Verlust gesichert werden. Im Homeoffice arbeitet in der Regel nur eine Person am jeweiligen Gerät, so dass es kaum Aufwand erfordert, dies nachzuverfolgen und die Eingabekontrolle mit technischen Mitteln gut lösbar ist.

TOM: Datenintegrität und Wiederherstellbarkeit von Daten

Auch Datenintegrität und die Wiederherstellbarkeit von Daten im Störungsfall ist im Homeoffice normalerweise kein Problem, sofern die Arbeit nicht lokal gespeichert wird, sondern auf dem Server geschieht. Voraussetzung ist, dass eine regelmäßige Datensicherung vom Unternehmen durchgeführt wird. Fehlfunktionen des Systems dürfen auch im Homeoffice nicht dazu führen, dass es zu einer Beschädigung von gespeicherten Daten kommt. Die Zuverlässigkeit des Systems ist auch im häuslichen Arbeitszimmer wichtig. Dass alle Funktionen zur Verfügung stehen, ist schließlich Voraussetzung für die Arbeit am Laptop. Alle Schutzprogramme gegen Malware, notwendige Updates und benötigte Programme müssen ständig aktuell sein und funktionieren.

TOM: Auftragskontrolle

Werden Auftragsverarbeiter (AV) für ein Unternehmen tätig, dann müssen auch sie sämtliche technischen und organisatorischen Maßnahmen (TOM) treffen, die notwendig sind, um personenbezogene Daten zu schützen. Die Datenschutzgrundverordnung schreibt Verantwortlichen und Auftragsverarbeitern in DSGVO Art. 32 zur Sicherheit der Verarbeitung personenbezogener Daten vor, dem Risiko angemessene Maßnahmen vorzusehen. Nicht zuletzt gilt für Auftragsverarbeiter, dass die Verarbeitung personenbezogener Daten nur nach den Weisungen des Auftraggebers geschehen darf. Eine Auftragskontrolle ist daher Pflicht.

Art. 28 DSGVO fordert von Unternehmen nur mit Auftragsverarbeitern zusammenarbeiten, „… die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“

Praxisbeispiel:
Viele Auftragsverarbeiter zu denen auch Call-Center und Customer-Care-Center zählen, haben während der Pandemie Homeoffice als provisorische Notlösung eingeführt. Anders die zur AYE Media Group zählende asf mit 1.300 Mitarbeitern. Binnen 3 Wochen wurden mithilfe von Trusted Secure Desktop sichere und datenschutzkonforme Homeoffice-Strukturen geschaffen.

TOM: Verfügbarkeitskontrolle und Trennbarkeit

Außerdem müssen die Daten vor Zerstörung und anderen Gefährdungen geschützt werden, die zum Verlust führen können. Die Verfügbarkeitskontrolle muss daher durch Maßnahmen wie Klimatisierung, Brandschutz, Backups usw. sichergestellt werden. Auch die Trennbarkeit von personenbezogenen Daten, die zu unterschiedlichen Zwecken erhoben wurden, muss in der Auftragsverarbeitung gewahrt sein.

Wir möchten darauf hinweisen, dass wir keine Rechtsberatung anbieten und der vorliegende Artikel lediglich ein Informationsangebot darstellt. Wir übernehmen keine Gewähr auf Vollständigkeit und Richtigkeit. Des Weiteren haben wir im Artikel aus Gründen der Einfachheit die männliche Schreibweise der „Mitarbeiter“ gewählt. Gemeint sind selbstverständlich Mitarbeiterinnen und Mitarbeiter gleichermaßen. Gleichberechtigung und Vielfalt sind uns wichtig!

Newsletter

Profitieren Sie von unserer Expertise auf den Gebieten Datenschutz & Datensicherheit rund um das Homeoffice und abonnieren Sie jetzt unseren Newsletter. Dürfen wir Sie in unsere Versandliste aufnehmen?

Mit "Senden" bestätigen Sie, dass Sie mindestens 18 Jahre alt sind und erteilen Ihr Einverständnis, dass die von Ihnen eingegebenen Daten, wie hier und in der Datenschutzerklärung erläutert, gespeichert und verarbeitet werden.