Best Practices für Unternehmen

Die Arbeit im Homeoffice ist in vielen Unternehmen mittlerweile zum festen Bestandteil moderner Arbeitsmodelle geworden. Mit der Verlagerung der Datenverarbeitung in private Umgebungen gehen jedoch erhöhte datenschutzrechtliche Risiken einher. Ohne klare Vorgaben sowie geeignete technische und organisatorische Maßnahmen lässt sich ein angemessenes Schutzniveau regelmäßig nicht gewährleisten.

Unternehmen sind daher verpflichtet, auch im Homeoffice die Anforderungen der DSGVO konsequent umzusetzen, indem sie geeignete Rahmenbedingungen schaffen und klare Verhaltensregeln für Mitarbeitende festlegen.

E Learning Datenschutz im Homeoffice Ihr externer Datenschutzbeauftragter in Berlin | sofortdatenschutz.de

Schritt 1: Der Arbeitsplatz

Auch im Homeoffice muss sichergestellt sein, dass personenbezogene Daten vor unbefugtem Zugriff geschützt sind. Mitarbeitende müssen daher ihren Arbeitsplatz so einrichten, dass die Vertraulichkeit und Verfügbarkeit der Daten grundsätzlich in gleicher Weise gewährleistet ist wie im Büro.

Best Practices:

  • Der Arbeitsplatz sollte vom Mitarbeitenden so eingerichtet werden, dass unbefugte Personen weder Einblick auf den Bildschirm noch auf herumliegende Papierdokumente erhalten können.
  • Am Ende des Arbeitstages sollte der Mitarbeitende sicherstellen, dass der Schreibtisch aufgeräumt ist und keine personenbezogenen oder vertraulichen Unterlagen offen liegen bleiben (Clean-Desk-Policy).
  • Physische Unterlagen und Arbeitsgeräte sollten in abschließbaren Schränken oder in einem separaten Arbeitszimmer aufbewahrt werden, zu dem Dritte keinen Zugang haben.
  • Wenn der Arbeitsplatz von außen einsehbar ist, etwa durch ein Fenster zur Straße, können Sie Ihren Mitarbeitenden eine Sichtschutzfolie für ihr Notebook zur Verfügung stellen.
  • Arbeitsgeräte sollten beim Verlassen des Arbeitsplatzes immer gesperrt werden, damit Daten nicht von Dritten eingesehen oder unbeabsichtigt verändert oder gelöscht werden können, etwa durch Kinder oder Haustiere.
  • Mitarbeitende sollten für Gespräche (z.B. per Telefon oder Videokonferenz) eine geeignete Umgebung wählen, in der diese nicht von unbefugten Personen mitgehört werden können.

Schritt 2: Die eingesetzte Hardware

Der Einsatz dienstlicher Geräte im Homeoffice ist regelmäßig die sicherste Lösung. Sie lassen sich zentral verwalten, mit aktuellen Sicherheitsupdates versorgen und an interne Sicherheitsanforderungen anpassen.

Private Geräte bieten dieses Sicherheitsniveau in der Regel nicht. Sie verfügen oft nicht über notwendige Schutzmaßnahmen wie Festplattenverschlüsselung, zentrale Antivirenlösungen oder sichere Netzwerkkonfigurationen und erhöhen damit das Risiko von Datenverlusten oder unbefugten Zugriffen. Zudem besteht die Gefahr, dass private und berufliche Daten vermischt werden, was zusätzliche datenschutzrechtliche und sicherheitstechnische Probleme verursacht.

Best Practices:

  • Stellen Sie Ihren Mitarbeitenden dienstliche Notebooks sowie Smartphones oder Softphones zur Verfügung.
  • Beschränken Sie den Einsatz privater Geräte auf absolute Ausnahmefälle.
  • Wird ausnahmsweise ein privates Gerät genutzt, sollte der Zugriff auf Unternehmensressourcen über eine gesicherte Remoteverbindung auf einen Terminalserver erfolgen. Dabei werden die Daten nicht auf dem privaten Gerät verarbeitet oder gespeichert, sondern verbleiben im Unternehmensnetz und werden nur über die Verbindung angezeigt und bearbeitet.
  • Schließen Sie die private Nutzung dienstlich bereitgestellter Geräte aus.

Schritt 3: Der Umgang mit Papierdokumenten

Papierbasierte Prozesse lassen sich bisher nicht vollständig vermeiden. Im Homeoffice entstehen dabei zusätzliche Risiken, insbesondere beim Transport und bei der Aufbewahrung von Dokumenten.

Best Practices:

  • Papierdokumente sollten beim Transport zwischen Homeoffice und Büro in geeigneten, möglichst verschlossenen Mappen aufbewahrt werden.
  • Dokumente sollten auf dem Transportweg nicht unbeaufsichtigt gelassen werden. Sie sollten insbesondere nicht im Fahrzeug zurückgelassen werden, etwa bei kurzen Zwischenstopps wie beim Einkaufen.
  • Vertrauliche Unterlagen sollten nicht über den Hausmüll entsorgt werden. Die Vernichtung sollte im Büro oder zu Hause mit einem geeigneten Aktenvernichter erfolgen, der ein angemessenes Schutzniveau für vertrauliche Dokumente gewährleistet.
  • Wenn möglich, sollte im Homeoffice mit Kopien statt mit Originaldokumenten gearbeitet werden, um das Risiko einer Beschädigung oder eines Verlusts wichtiger Unterlagen zu minimieren.

Schritt 4: Die Nutzung von Videokonferenzsystemen

Videokonferenzlösungen sind fester Bestandteil der Zusammenarbeit im Homeoffice und sollten datenschutzkonform ausgewählt und eingesetzt werden.

Best Practices:

  • Schließen Sie mit dem Anbieter einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO ab. Verarbeitet der Dienstleister personenbezogene Daten außerhalb der EU, sollten geeignete Transfermechanismen vorgesehen sein, etwa Standardvertragsklauseln.
  • Sorgen Sie dafür, dass die Kommunikation durch eine geeignete Verschlüsselung abgesichert ist; bei sensiblen Inhalten sollte eine Ende-zu-Ende-Verschlüsselung eingesetzt werden.
  • Schützen Sie Konferenzen durch Passwörter oder individuelle Einladungslinks.
  • Stellen Sie sicher, dass Aufzeichnungen grundsätzlich unterbleiben, sofern keine klare rechtliche Grundlage (z.B. Einwilligung aller Teilnehmenden) besteht.
  • Deaktivieren Sie Funktionen wie Tracking, Telemetrie oder biometrische Auswertungen, soweit dies möglich ist.
  • Legen Sie klare Regeln für Screen Sharing sowie für die Nutzung und Löschung von Chat-Inhalten fest.
  • Beziehen Sie den Datenschutzbeauftragten sowie ggf. den Betriebsrat in die Auswahl und Einführung ein.

Schritt 5: Die IT-Sicherheit

Die Arbeit im Homeoffice bringt besondere Anforderungen an die IT-Sicherheit mit sich. Anders als im Büro greifen Mitarbeitende häufig über private Netzwerke und Geräte auf Unternehmenssysteme zu, wodurch sich zusätzliche Risiken ergeben.

Um ein angemessenes Schutzniveau zu gewährleisten, sollten technische Schutzmaßnahmen und klare organisatorische Vorgaben aufeinander abgestimmt sein. Ziel ist es, den Zugriff auf Daten zu kontrollieren, unbefugte Zugriffe zu verhindern und den sicheren Umgang mit Informationen auch außerhalb der Unternehmensumgebung sicherzustellen.

Best Practices:

  • Setzen Sie für den Zugriff auf Unternehmenssysteme ausschließlich verschlüsselte VPN-Verbindungen ein und beschränken Sie den Zugriff auf die für das Homeoffice tatsächlich erforderlichen Server, Dateiablagen und Anwendungen.
  • Setzen Sie für VPN-Zugriffe eine Zwei-Faktor-Authentifizierung ein.
  • Geben Sie vor, dass Daten ausschließlich auf Netzlaufwerken im Unternehmen gespeichert werden, die über die VPN-Verbindung erreichbar sind und nicht lokal auf den Endgeräten.
  • Geben Sie vor, dass das heimische WLAN mit einem starken Passwort zu sichern ist und öffentliche Netzwerke nur in Verbindung mit einer VPN-Verbindung genutzt werden dürfen.
  • Stellen Sie sicher, dass Endgeräte regelmäßig aktualisiert werden und über einen aktuellen Virenschutz verfügen.
  • Setzen Sie eine Festplattenverschlüsselung für Notebooks ein und sichern Sie diese durch PIN oder Passwort. Dienstliche Smartphones sollten ebenfalls vollverschlüsselt und mit einer PIN-Sperre gesichert sein.
  • Legen Sie klare Maßnahmen für den Verlust von Geräten fest, etwa die Möglichkeit einer Fernlöschung.
  • Regeln oder beschränken Sie die Nutzung von USB-Ports. So können beispielsweise Ports deaktiviert oder die Verwendung privater USB-Sticks untersagt werden.
  • Stellen Sie sicher, dass der IT-Support für Mitarbeitende im Homeoffice jederzeit erreichbar ist.

Schritt 6: Die Nutzung von Cloud-Diensten

Cloud-Dienste sind aus dem modernen Arbeitsalltag kaum noch wegzudenken und ermöglichen eine flexible Zusammenarbeit im Homeoffice. Gleichzeitig werden dabei personenbezogene Daten an externe Anbieter übertragen und außerhalb der eigenen IT-Infrastruktur verarbeitet.

Dadurch entstehen zusätzliche datenschutzrechtliche Anforderungen, insbesondere im Hinblick auf die Kontrolle über die Datenverarbeitung, die Sicherheit der Systeme und mögliche Datenübermittlungen in Drittstaaten. Um ein angemessenes Schutzniveau sicherzustellen, ist es daher erforderlich, den Einsatz von Cloud-Diensten klar zu regeln und die damit verbundenen Risiken gezielt zu steuern.

Best Practices:

  • Stellen Sie sicher, dass nur freigegebene Cloud-Dienste genutzt werden (Whitelist).
  • Schließen Sie mit dem Anbieter einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO ab. Verarbeitet der Dienstleister personenbezogene Daten außerhalb der EU, sollten geeignete Transfermechanismen vorgesehen sein, etwa Standardvertragsklauseln.
  • Die Übertragung sowie die Speicherung von Daten beim Anbieter sollten jeweils durch geeignete Verschlüsselungsverfahren nach aktuellem Stand der Technik gesichert sein.
  • Stellen Sie sicher, dass Daten bei Vertragsende vollständig gelöscht werden und lassen Sie sich dies durch eine schriftliche Löschbestätigung des Anbieters nachweisen.
  • Verwenden Sie starke Passwörter für alle Zugänge und setzen Sie bei Cloud-Anwendungen mit vielen oder sensiblen Daten eine Zwei-Faktor-Authentifizierung für alle Nutzer ein; für administrative Konten sollte diese in jedem Fall verpflichtend sein.
  • Sensibilisieren Sie Ihre Mitarbeitenden fortlaufend für aktuelle Phishing-Risiken, insbesondere anhand praxisnaher Beispiele wie gefälschter E-Mails, manipulierten Login-Seiten oder Angriffen auf Cloud-Zugänge.

Schritt 7: Die Nutzung von Messenger-Diensten

Messenger-Dienste werden auch im beruflichen Kontext zunehmend genutzt, etwa für schnelle Abstimmungen im Team. Dabei werden jedoch regelmäßig personenbezogene Daten über externe Anbieter verarbeitet. Der Einsatz sollte daher klar geregelt und auf datenschutzkonforme Lösungen beschränkt werden.

Best Practices:

  • Setzen Sie für die Unternehmenskommunikation nur Messenger-Dienste ein, die eine sichere Kommunikation durch Transport- und Ende-zu-Ende-Verschlüsselung gewährleisten.
  • Stellen Sie sicher, dass Kommunikationsdaten, insbesondere Metadaten, nicht für Werbung oder Profiling durch den Anbieter genutzt werden.
  • Steuern Sie den Zugriff auf Kontaktdaten technisch, etwa durch den Einsatz von Mobile-Device-Management-Lösungen.

Schritt 8: Die organisatorischen Regelungen

Zuletzt sollten neben technischen Maßnahmen auch klare organisatorische Regeln festgelegt werden. Sie dienen dazu, einheitliche Abläufe im Umgang mit Daten zu schaffen, Verantwortlichkeiten festzulegen und sicherzustellen, dass die vorgegebenen Schutzmaßnahmen im Arbeitsalltag tatsächlich eingehalten werden.

Best Practices:

  • Behalten Sie einen Überblick über die im Homeoffice tätigen Mitarbeitenden sowie die eingesetzten Geräte.
  • Informieren und schulen Sie Ihre Mitarbeitenden regelmäßig zu den geltenden Homeoffice-Regelungen.
  • Holen Sie eine schriftliche Verpflichtung zur Einhaltung der Vorgaben ein.
  • Untersagen Sie die Weiterleitung dienstlicher E-Mails an private Accounts.
  • Beschränken Sie den Ausdruck vertraulicher Dokumente auf sichere Büroumgebungen.

Fazit:

Für ein datenschutzkonformes Arbeiten im Homeoffice steht eine Vielzahl geeigneter technischer und organisatorischer Maßnahmen zur Verfügung. Entscheidend ist eine konsequente und praxisnahe Umsetzung im Arbeitsalltag. Nur wenn klare Vorgaben bestehen und von den Mitarbeitenden eingehalten werden, lassen sich Datenschutzrisiken wirksam minimieren und ein angemessenes Schutzniveau dauerhaft sicherstellen.

Gerne unterstützen wir Sie bei der Erstellung oder Überprüfung Ihrer Homeoffice-Regelungen sowie bei der Umsetzung geeigneter technischer und organisatorischer Maßnahmen.

Sofortdatenschutz – Kontaktaufnahme

*“ zeigt erforderliche Felder an

Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Wir verarbeiten Ihre personenbezogenen Daten zur Bearbeitung Ihrer Anfrage. Weitere Informationen finden Sie in unserer Datenschutzinformation .

Inhalt