Viele Unternehmen bieten trotz ausgelaufener Homeoffice-Pflicht weiterhin die Option an, ganz oder teilweise im Homeoffice zu arbeiten. Die angemessene Gestaltung des Arbeitsplatzes zur Gewährleistung der Datensicherheit und des Datenschutzes ist in dabei besonders herausfordernd.
Homeoffice sorgt für weitere Sicherheitsrisiken
Unternehmen, Behörden oder andere Organisationen haben in der Regel eine ziemlich sichere IT-Infrastruktur, die sie passabel vor Hackerangriffen schützt. Doch mit der zunehmenden Umsiedlung von Arbeitsplätzen aus den Büros in die heimischen vier Wände ändert sich dies deutlich: Denn die Risiken für die Datensicherheit und den Datenschutz nehmen zu.
Die Gefahr von Cyber-Angriffen ist nach Angaben des TÜV-Verbandes gestiegen. Das ergab eine Forsa-Umfrage unter 1.507 Erwerbstätigen im Auftrag des Verbandes im Jahr 2022. Dabei berichteten 14 Prozent der Befragten von einem oder mehreren Vorfällen in der IT-Sicherheit in den vergangenen zwei Jahren. Die Dunkelziffer dürfte noch höher sein.
Anfälligkeit für Cyberangriffe und andere Datenpannen
Sobald Personen im Homeoffice arbeiten, findet ein Großteil der Kommunikation und des Datenaustausches außerhalb des firmeneigenen Netzes statt. Damit ändern sich auch die Kontrolle und der Einfluss durch die IT-Abteilung. Zum Beispiel was die IT-Sicherheit der genutzten Endgeräte anbelangt. Deshalb ist es notwendig, Störungen oder Unregelmäßigkeiten, die im Homeoffice auftreten, sofort zu melden. Es ist außerdem erforderlich, Beschäftigten den Zugriff auf das Firmennetzwerk ausschließlich über eine abhörsichere VPN-Lösung zu ermöglichen.
Zudem kommen verstärkt Kollaborations-, Kommunikations- und Videokonferenztools sowie Cloud-Dienste zum Einsatz. Oft werden diese eingeführt, ohne sie vorher gründlich und hinsichtlich der rechtlichen Bestimmungen zum Datenschutz zu überprüfen. Das bringt zusätzliche Gefahren für die Sicherheit mit sich. Etwa weil Anwender:innen oder sogar Administratoren/Administratorinnen vorhandene Schutzfunktionen unwissentlich nicht aktivieren oder abschalten.
Sicherheitsrisiken lassen sich jedoch nicht immer auf falsche Konfigurationen oder Bedienungsfehler der Nutzer:innen zurückzuführen. Auch die Softwareanwendungen selbst haben manchmal Mängel, die Hacker:innen für Attacken nutzen. Diese Schwachstellen werden in der Regel durch Softwareupdates behoben.
Problematik bestimmter Tools im Homeoffice
Es gibt einige Tools, die in Bezug auf den Datenschutz problematisch sind. Dazu gehören zum Beispiel Videokonferenzsysteme oder Messaging-Lösungen, die keine verlässliche Ende-zu-Ende-Verschlüsselung anbieten. In diesem Fall besteht die Gefahr, dass Gespräche oder Nachrichten von Dritten abgehört werden. Bei der Verarbeitung personenbezogenen Daten in Drittländern, d. h. außerhalb der EU bzw. des EWR gilt: Unternehmen prüfen vor dem Einsatz eines Programms sorgfältig, wie sie ein angemessenes Datenschutzniveau sicherstellen.
Notwendigkeit für besondere technisch-organisatorische Maßnahmen
Auch an Heimarbeitsplätzen ist es wichtig, personenbezogene Daten rechtskonform zu verarbeiten. Damit dies gelingt, passen Unternehmer:innen ihre technisch-organisatorischen Maßnahmen (TOM) entsprechend an. Für kleinere Unternehmen mit begrenzten Ressourcen empfiehlt es sich jedoch, unabhängige externe Experten und Expertinnen hinzuzuziehen. So umgehen Sie frühzeitig das Risiko von Bußgeldern oder eines Imageschadens.
Kurz: Mit Mitarbeitenden, die zeitweise zu Hause arbeiten, sind Vereinbarungen zu treffen. Diese enthalten im Einzelfall relevante Pflichten und Schutzvorkehrungen zur Arbeit im Homeoffice. Um sich datenschutzrechtlich abzusichern, ist es notwendig, diese Vereinbarungen bereits zu Beginn zu treffen und zu unterzeichnen.
Tipps für ein sicheres Homeoffice
Für die Arbeit aus dem Homeoffice bedarf es konkreter Rahmenbedingungen. Sie geben die Voraussetzungen und Verhaltensregeln für den Arbeitsplatz zu Hause vor.
Dazu gehören
– die organisatorischen Anweisungen: z. B. Das Schließen geöffneter Fenster oder Türen, wenn die Gefahr des Mithörens sensibler Firmengespräche besteht.
– die technischen Schutzmaßnahmen: z. B. Die Verfahren der Authentifizierung, um sich mit dem Firmennetzwerk zu verbinden.
Arbeitnehmer:in und Arbeitgeber:in vereinbaren dies bestenfalls einvernehmlich, schriftlich und möglichst genau.
Hier sind einige Tipps, die es für Beschäftigte im Homeoffice zu beachten gilt. (Die Liste erhebt keinen Anspruch auf Vollständigkeit.)
Vorgaben für den heimischen Arbeitsplatz festlegen
Ob Angestellten der Wechsel ins Homeoffice möglich ist, hängt zum Teil von räumlichen Vorgaben ab. Mitunter empfiehlt sich ein separates, abschließbares Arbeitszimmer. Dieses benötigt darüber hinaus abschließbare Schränke oder Schubladen, um Rechner, Speichermedien oder sonstige Unterlagen sicher aufzubewahren. Trifft das nicht zu und die Arbeit von zu Hause soll dennoch möglich sein, sind konkrete Vorgaben zu machen. Diese regeln die Vorgehensweise bei der Nutzung des Arbeitsplatzes.
Hinweis: Es besteht keine Pflicht für einen eigenen Arbeitsraum!
Ein abschließbares Büro zu Hause ist zwar der Idealfall, aber nicht vorgeschrieben. Wenn kein eigenes Zimmer vorhanden ist, werden Arbeitsunterlagen bestenfalls in einem abschließbaren Schrank oder Rollcontainer aufbewahrt.
Zudem empfiehlt es sich,
– alle Geräte beim Verlassen des Arbeitsplatzes mit einem sicheren Passwort zu sperren.
– Bildschirme so zu stellen, dass niemand unbemerkt mitliest.
– vertrauliche Telefonate und Videokonferenzen nicht auf dem Balkon oder der Terrasse führen.
– Dokumente nach dem Drucken nicht im Drucker liegengelassen.
Technische Sicherheitsmaßnahmen umsetzen
Die Maßnahmen beziehen sich auf
– die Gewährleistung der Sicherheit der genutzten Geräte und Anwendungen.
– die sichere Nutzung der Geräte durch die Anwender:innen.
– die Schnittstellen.
Es ist ratsam, dass der oder die Arbeitgeber:in einen Rechner zur Verfügung stellt, der sicher konfiguriert ist. Das umfasst z. B. einen aktuellen Virenschutz, eine Firewall und ein Tool zur Verschlüsselung.
Die verwendete Software hat der oder die Arbeitgeber:in am besten selbst installiert und eingerichtet. Denn für die hier genutzten Business-Versionen gelten meist entsprechend angepasste Lizenzbedingungen. Diese unterscheiden sich deutlich von den Versionen für Privatanwender:innen. Etwa was die besonderen Anforderungen bezüglich des Datenschutzes oder der Auftragsverarbeitung angeht.
Rollen- und Rechtekonzept festlegen
Im Homeoffice beschränkt sich die Nutzung betrieblicher Daten auf das absolut notwendige Maß. Das heißt Beschäftigte greifen ausschließlich auf diejenigen Daten zu, die sie für ihre Arbeit tatsächlich benötigen. Für bestimmte sensible Daten empfiehlt es sich, ein Rollen- und Rechtekonzept festzulegen. Zum Beispiel, um einen Zugriff vom Homeoffice aus grundsätzlich zu verhindern.
Zum Thema Datenschutz sensibilisieren
Das Thema Datenschutz spielt im Homeoffice ebenfalls eine bedeutende Rolle. Aus diesem Grund ist es notwendig, Mitarbeitende regelmäßig über Vorgaben und Schutzmaßnahmen zu informieren und zu schulen. Arbeitgeber:innen halten die Kenntnisnahme und die Teilnahme an Kursen im besten Fall schriftlich fest.
Strenge Datenschutzregeln zu Hause beachten
Aufgabe der Beschäftigten ist es, dafür zu sorgen, dass Dritte (Familienangehörige, Mitbewohner:innen und sonstige Personen) keinen Zugriff auf dienstlich genutzte Rechner haben. Das gilt vor allem während der Pausenzeiten und nach Feierabend.
Um dies zu gewährleisten, sind die Geräte durch verschlüsselte Festplatten und sichere Kennwörter zu schützen. Bei kurzfristiger Abwesenheit schaffen Bildschirmsperren Abhilfe. Blickschutzfolien helfen dabei, dass unberechtigte Dritte keine Inhalte auf dem betrieblichen Endgerät einsehen oder mitlesen.
Optimal ist, in einem Raum zu arbeiten, der für Dritte nicht frei zugänglich ist.
WLAN-Sicherheit garantieren
In der Regel ist der WLAN-Anschluss am privaten Router die wichtigste Schnittstelle. Diese ist durch aktuelle WPA-Varianten standardmäßig bereits gut geschützt. Wer auf Nummer sicher gehen möchte, verbindet sich per VPN (Virtual Private Network) mit dem Netzwerk der Firma.
Passwort- und Authentifizierungssicherheit garantieren
Einer der wichtigsten Grundsätze besteht darin, ausreichend sichere Kennwörter zu verwenden. Um diese Vorgabe zu erfüllen, legt die IT-Abteilung eine Passwortrichtlinie fest.
Eine Zwei-Faktor-Authentifizierung bietet zusätzlichen Schutz. Sie erfordert neben dem Passwort auch einen weiteren Identitätsnachweis, um auf den Rechner zuzugreifen. Das kann zum Beispiel ein Einmalkennwort in einer sogenannten Authentifizierungsapp (Google Authenticator) sein.
WICHTIG: Passwörter nicht notieren und in der Nähe des Rechners aufbewahren.
Daten und Festplatten verschlüsseln
Es empfiehlt sich, lokal vorhandene oder gespeicherte Daten mithilfe einer in der Festplatte integrierten Verschlüsselung zu sichern. Unter Windows funktioniert dies mit BitLocker und auf Apple-Geräten mit FileVault.
Bei besonders sensiblen Dateien ist auch ein einzelner Schutz dieser mithilfe von Passwörtern möglich.
Privates und Geschäftliches auseinanderhalten
Private und geschäftliche Daten sind generell voneinander zu trennen. Um dies zu gewährleisten, stellt der oder die Arbeitgeber:in den Mitarbeitenden Rechner bereit. Damit greifen sie auf das Firmennetzwerk zu, welches in der Regel ein geschlossenes VPN ist. Mobile Endgeräte werden zudem ausschließlich für berufliche Zwecke verwendet.
In Ausnahmefällen nutzen die Mitarbeitenden ihre eigene Hardware für die Arbeit. Dann ist darauf zu achten, dass
- Lösungen zum Einsatz kommen, die private und dienstliche Daten trennen.
- geeignete technische Schutzmaßnahmen ergriffen werden.
- in der Vereinbarung eine gesonderte Regelung (Bring-Your-Own-Device) dazu existiert.
Es ist außerdem notwendig, heimische und berufliche Technik und IT zu trennen, z. B.:
- Wenn drahtlose Schnittstellen, wie z. B. Bluetooth nicht erforderlich sind, werden sie deaktiviert.
- Wenn es erlaubt bleibt, USB-Speichermedien oder andere externe Speicherkarten zu verwenden, werden zusätzliche Bestimmungen getroffen.
Für Personen, die zwischen Büro und Homeoffice mit Datenträgern oder einem Notebook pendeln, gilt: Vertrauliche Daten werden nur verschlüsselt transportiert. Obendrein ist es ratsam, die Festplatte des Laptops zu verschlüsseln.
Vorgaben zum Umgang mit beruflicher Kommunikation machen
Auch im Homeoffice sind klare Vorgaben zur Kommunikation notwendig. Etwa, wenn es darum geht, die Weiterleitung von beruflichen E-Mails an private E-Mail-Konten zu verbieten. Oder wenn es sich um ein Verbot der Speicherung beruflicher Daten auf privaten Cloud-Diensten (auch automatische Back-ups) dreht. Es ist kritisch, den privaten Drucker für den Ausdruck geschäftlicher Unterlagen zu nutzen. Denn dabei werden vertrauliche Betriebsinterna im Druckerspeicher gespeichert.
Strenge Regeln für ausgedruckte Unterlagen festlegen
Vertrauliche digitale Daten werden durch eine Verschlüsselung und ihr Zugang durch Passwörter oder andere Sicherheitshürden geschützt. Ausdrucke in Papierform liegen hingegen oft ungeschützt auf dem Schreibtisch. Doch auch für sie gelten strenge Regeln, wenn sie schützenswerte Daten enthalten. Daher gilt: Keinesfalls im Hausmüll oder Altpapier entsorgen!
Besser einen Aktenvernichter nutzen oder die Papierdokumente an einem sicheren Ort sammeln und beim nächsten Bürobesuch entsorgen. So oder so ist es für den Datenschutz und die Umwelt besser gar nicht zu drucken.
Ein Aktenvernichter als Teil des Datenschutzkonzepts
Im Rahmen der DSGVO ist es erforderlich, die Altablage regelmäßig zu überarbeiten. Das bedeutet auch alte Papierunterlagen ordnungsgemäß zu vernichten.
Abhilfe schafft hier ein Aktenvernichter mit entsprechender Sicherheitsstufe P-4, der die Bestimmungen des Datenschutzes erfüllt.
Dieses Gerät eignet sich für Papierdokumente, die sensible Daten wie Bilanzen, Gehaltsabrechnungen, Personaldaten und Rechnungsunterlagen enthalten.
Fazit
Auch ohne Pflicht bleibt Homeoffice für viele erhalten. Doch die Umstellung birgt neue Risiken für die IT- und Datensicherheit von Unternehmen. Die Gefahr von Cyber-Attacken ist laut einer Forsa-Umfrage deutlich gestiegen. Der Grund dafür ist, dass die Arbeit von zu Hause aus anfälliger für Sicherheitsvorfälle ist. Daher ist es wichtig, sowohl technische als auch organisatorische Maßnahmen zu ergreifen und umzusetzen. Dafür bedarf es der Zusammenarbeit zwischen Arbeitgeber:innen und Arbeitnehmer:innen. Nur so ist die Gewährleistung der IT- und Datensicherheit im Homeoffice möglich.
Um die Risiken zu minimieren, helfen unter anderem folgende Tipps:
– Vorgaben und Verhaltensregeln festlegen
– Maßnahmen für die Sicherheit umsetzen
– Mitarbeitende schulen und sensibilisieren
– sichere Passwörter und Verbindungen nutzen
– Daten und Festplatten verschlüsseln
– Privates und Geschäftliches trennen