Datensicherheit im Homeoffice
Was haben Google, der Bundestag und das Kammergericht gemeinsam? – All diese Institutionen wurden bereits Opfer von Cybercrime-Attacken. Für sich genommen ist das Thema mithin nicht allzu neu.
Angesichts der steigenden Anzahl von Arbeitnehmern im Homeoffice könnten solche Angriffe jedoch populärer denn je werden. Denn oftmals stellen gerade die privaten Computersysteme eklatante Sicherheitslücken dar.
Was muss man im Homeoffice beachten?
Sobald im Homeoffice mit personenbezogenen Daten gearbeitet wird, ist hinsichtlich der Datensicherheit auf die Anforderungen der DSGVO bzw. des BDSG abzustellen. Maßgeblich ist insoweit der Art. 32 DSGVO. Dieser gibt vor, dass auch bei der Heimarbeit die erforderlichen Sicherheitsmaßnahmen umzusetzen sind. Insofern muss jedoch berücksichtigt werden, dass die Kontrollmöglichkeiten außerhalb des Büros eingeschränkt sind.
Abhilfe kann ein VPN-System schaffen. Dafür müsste zunächst die dafür verwendete IT-Anlage selbst datenschutzkonform unterhalten werden. Weiterhin muss der Arbeitgeber sicherstellen, dass keine Dateien von dem Büro-Server auf die lokale Festplatte im Homeoffice gelangen. Im Ergebnis wird somit nur die graphische Oberfläche auf den entsprechenden Bildschirm des Arbeitsnehmers übertragen, sodass grundsätzlich nicht mehr, aber auch nicht weniger Sicherheitslücken bestehen, als wenn die jeweilige Person im Büro arbeiten würde. Allerdings sind auch bei diesem System noch weitere Details – wie etwa ein abschließbares Arbeitszimmer etc. – zu beachten.
Ohne die gerade erläuterte, serverbasierte Lösung muss die gesamte (private) Umgebung im Homeoffice datenschutzrechtkonform (insbesondere iSd. Art. 32 DSGVO) ausgestaltet werden. In diesem Rahmen sollte vor allem auf Folgendes geachtet werden:
- Verschlüsselte Datenübertragung,
- sichere Aufbewahrung von Passwörtern,
- Sichtschutzelemente für den Bildschirm,
- automatische Bildschirmsperrung,
- regelmäßige Softwareupdates (insbesondere bei Anti-Viren-Software) sowie
- abschließbare Schränke bzw. Arbeitsräume.
Vertragliche Maßnahmen
Als Arbeitgeber ist man zunächst gut beraten, wenn man sich die oben genannten Maßnahmen vertraglich zusichern lässt. Sofern eine serverbasierte Lösung ausscheidet, ist es zudem empfehlenswert, den datenschutzkonformen Transport von Daten zu regeln.
Des Weiteren sollte der Arbeitgeber prüfen, ob eine ausreichende Versicherung für Cyberrisiken vorhanden ist. Von dieser sollten nicht nur die Haftpflichtschäden, sondern auch die eigenen Schäden durch Cyberattacken abgedeckt werden.