Sicherheit und Datenschutz im Home Office

Vertrauliche Unterlagen auf dem Küchentisch?

Von zu Hause aus arbeiten – kein morgendlicher Stau, und die Mittagspause in der Horizontalen auf dem Sofa verbringen. Für Angestellte und Freelancer ein Traum!

Das dachte sich kürzlich auch ein Beamter des US-amerikanischen Geheimdienstes NSA – und nahm vertrauliche Dokumente mit nach Hause, um sie dort auf seinem privaten Laptop zu bearbeiten. Leider war der Laptop mit einem Virus infiziert: Der Beamte hatte nämlich seinen Virenscanner deaktiviert und eine infizierte Raubkopie von MS Office heruntergeladen. Das Virus öffnete schließlich eine Hintertür im Betriebssystem, über die vertrauliche Geheimdienstmaterialien übers Netz zugänglich wurden. All das fiel auf, als der Beamte den Virenscanner wieder einschaltete. Vorläufiges Ende der Geschichte: Die NSA schiebt die Schuld auf den Hersteller des Virenscanners, die russische Firma Kaspersky.

Ob man wohl auch in Deutschland so uneingeschränkt auf die Loyalität seines Arbeitgebers hoffen kann, wenn man im Home Office Patzer bei der IT-Sicherheit oder dem Datenschutz begeht? Besser, man lässt es nicht darauf ankommen. Im folgenden Artikel schauen wir uns an, welche Vorschriften man beim Datenschutz im Home Office beachten muss.

Welche Daten müssen geschützt werden?

Die Datenschutzgesetze in Deutschland müssen dann beachtet werden, wenn man personenbezogene Daten verarbeitet. Für Firmen gilt allgemein das Bundesdatenschutzgesetz (BDSG). Es gibt daneben noch in jedem Bundesland ein Landesdatenschutzgesetz (LDSG), das aber hauptsächlich für öffentliche Stellen der Länder und Kommunen gilt.

Datenschutz im Home OfficeDas Bundesdatenschutzgesetz wird am 25. Mai 2018 aktualisiert, damit es der neuen europäischen Datenschutz-Grundverordnung (DSGVO) entspricht.

Nach der aktuellen wie auch der neuen Fassung des BDSG gilt aber:

Nur personenbezogene Daten unterliegen dem Datenschutz.

Personenbezogene Daten sind nach DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person“ beziehen. Identifizierbar bedeutet: Personenbezogene Daten sind auch solche, die keine Namen enthalten, aber sonstwie zugeordnet werden könnten – die beispielsweise Matrikel- oder Sozialversicherungsnummern enthalten, oder die eine Person durch die Kombination von Wohnort und Geburtsdatum bestimmbar machen.

Das BDSG gilt aber nur dann, wenn diese Daten ganz oder teilweise automatisiert verarbeitet oder gespeichert werden. Es gilt also nicht, wenn Ihr Eure Kundendatei mit Kugelschreiber in einem kleinen schwarzen Moleskine-Buch führt (obwohl wir uns in diesem Fall vielleicht mal über Skalierbarkeit unterhalten müssten).

Eine Ausnahme gibt es außerdem, wenn diese Verarbeitung oder Speicherung ausschließlich zu persönlichen oder familiären Zwecken erfolgt. Ein E-Mail-Verteiler, über den Ihr regelmäßige Updates über Euren Südostasien-Trip an Familie und Freunde schickt, fällt also nicht unter das BDSG.

Darüber hinaus – ganz unabhängig vom BDSG und anderen Gesetzen – gibt es aber Geheimhaltungsklauseln in Verträgen zwischen Auftragnehmer und Auftraggeber, die natürlich auch dazu führen, dass man gewisse Daten sorgfältig vertraulich behandeln muss.

Selbstständig oder angestellt?

Wichtig ist auch die Frage: Bist Du selbstständig oder angestellt?

Als Selbstständige bist Du selbst gegenüber dem Kunden für den Datenschutz Deiner Kundendaten zuständig. Du triffst eigene Entscheidungen und bist für die Konsequenzen dieser Entscheidungen dann auch verantwortlich und haftbar. Als Freelancer macht es also keinen Unterschied, ob die Arbeit im Home Office oder in einem extra dafür angemieteten Büro stattfindet: Du musst in jedem Fall selbstverwantwortlich dafür sorgen, dass Deine Kundendaten sicher sind.

Datenschutz im Home OfficeAls Angestellte dagegen bist Du zwar deiner Firma gegenüber verantwortlich, die Firma aber wiederum dem Kunden gegenüber. Das heißt, Du musst Dich als Angestellte nach den Vorgaben Deiner Vorgesetzten richten, was den Umgang mit vertraulichen Daten angeht.

Tatsächlich sind für viele Arbeitgeber Datenschutzbedenken ein wichtiger Grund, um Angestellten das Home Office zu verbieten. Mit ein bisschen technischem und organisatorischem Aufwand lassen sich die Datenschutzprobleme aber in vielen Fällen lösen.

Im Home Office müssen im Vergleich zur Arbeit im Büro des Arbeitgebers zwei Dinge zusätzlich geregelt werden:

  • Dass die Daten auf dem Weg vom Arbeitgeber in Dein Home Office sicher sind und
  • dass die Daten in Deinem Home Office sicher sind.

Je nachdem, ob Du die Daten online oder offline verarbeitest, kommen dazu unterschiedliche Maßnahmen in Frage. In der Fachliteratur werden solche Datenschutzmaßnahmen als Technisch-organisatorische Maßnahmen (TOM) bezeichnet. Dein Arbeitgeber muss im Zweifelsfall nachweisen, dass solche TOM auch in Deinem Home Office angewendet werden.

Datenschutz offline

Transport: Wenn Du vertrauliche Unterlagen von Deinem Arbeitsplatz mit nach Hause nimmst, musst Du Dir zwar nicht gerade die Aktentasche ans Handgelenk ketten – solltest aber sicherstellen, dass Du sie nicht in der Bahn liegenlässt. (Oder vielleicht wären Handschellen doch eine gute Idee – dann kann man seinen Regenschirm auch noch einhaken und lässt gar nichts mehr in der Bahn liegen.)

Aufbewahrung: Wenn Du nicht allein wohnst – oder wenn Du allein wohnst, aber gelegentlich Besuch bekommst – ist der Küchentisch für vertrauliche Unterlagen tabu. Es sollte ein separates, abschließbares Arbeitszimmer geben, und in diesem einen abschließbaren Schrank. Das ist der richtige Aufbewahrungsort für sensible Unterlagen.

Datenschutz online

Transport: Die Daten vom Firmenserver oder Intranet zu Deinem Arbeitslaptop sollten Ende-zu-Ende-verschlüsselt übertragen werden, also etwa über eine VPN-Verbindung oder per S/MIME- oder PGP-verschlüsselter E-Mail.

Aufbewahrung und Verarbeitung: Bei der Datenverarbeitung sollten geschäftliche und private Daten sorgfältig getrennt werden – möglichst mit zwei separaten Laptops, auf jeden Fall aber mit getrennten E-Mail-Accounts. Der Laptop sollte außerdem natürlich mit einem Passwort zugangsgesichert sein (das gilt auch für die Deaktivierung des Bildschirmschoners), und optimalerweise eine verschlüsselte Festplatte haben.

Weiterführende Informationen

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat eine Broschüre zum Thema Telearbeit (Behördensprech für Home Office) herausgegeben: „Telearbeit – Ein Datenschutz-Wegweiser“. Hier findet Ihr auch Informationen zu sogenannten besonders schutzwürdigen Daten, für die die Datenschutzvorschriften besonders streng ausgelegt werden müssen.


Dieser Artikel stellt keine Rechtsberatung dar. Er dient dazu, Euch aufzuzeigen, an welchen Stellen es haken könnte und an welchen Stellen Ihr somit im Zweifelsfall besser einen Anwalt aufsuchen solltet.

Habt Ihr eigene Erfahrungen zum Thema? Teilt sie doch mit uns in den Kommentaren!

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*