Das Home Office ist in Zeiten des Corona-Virus in aller Munde. Die praktikable Umsetzung des häuslichen Arbeitsplatzes geht auch mit der Digitalisierung einher, dabei ist die IT-Sicherheit und der Datenschutz nicht außer Acht zu lassen.
Welche Regeln sollten bei der Arbeit im Home Office beachtet werden?
Neben den bekannten Regeln und Vorgaben zur IT-Nutzung im Unternehmen gelten für die Arbeit im Home Office weitere Regeln. Hierzu zählen insbesondere:
- Es gilt das Prinzip der Datensparsamkeit. Halten Sie den häuslichen Arbeitsplatz sauber („Clean-Desk“) und nehmen Sie, sofern zugelassen, nur die Unterlagen mit, die absolut notwendig sind.
- Achten Sie beim Transport von Akten, Datenträgern und anderen Unterlagen auf deren Vertraulichkeit. Die Unterlagen dürfen beim Transport und am Heimarbeitsplatz nicht von jedermann offen einsehbar sein.
- Falls die Mitnahme von Akten in Papierform zwingend notwendig ist und vom Unternehmen zugelassen wurde, berücksichtigen Sie bitte, dass im Unternehmen niemand mehr auf die Akten zugreifen kann. Möglicherweise ist eine Digitalisierung der Daten sinnvoller.
- Die Entsorgung von Unterlagen in Papierform muss den Anforderungen des Datenschutzes genügen. In vielen Fällen ist eine Entsorgung über häuslichen Papiermüll nicht zulässig. Weiterhin müssen Dokumente, die personenbezogene Daten beinhalten oder dem üblichen Betriebs- und Geschäftsgeheimnis unterliegen, vor der Entsorgung geschreddert werden. Die Norm DIN66399 gibt hierfür Vorgaben, ein Schredder mit reinem Streifenschnitt ist nicht ausreichend.
- Beachten Sie auch im Home Office die vertrauten Regeln und Vorgaben zur IT-Nutzung.
- Die Arbeitsumgebung sollte den Vertraulichkeitsanforderungen der jeweiligen Tätigkeit genügen. Achten Sie also darauf, wer den Bildschirm einsehen kann. Auch das mögliche Abhören von Telefonaten (z.B. auf dem Balkon, auf der Terrasse) zählen hierzu.
- Bewerten Sie, sofern zulässig, stets die Notwendigkeit etwaiger Ausdrucke. Weniger Drucken führt zu mehr Datenschutz und schont die Umwelt.
- Speichern Sie Daten nicht lokal auf dem Notebook bzw. PC, sondern stets auf die Netzlaufwerke bzw. in den Anwendungen, die das Unternehmen betreibt. Nur auf diese Weise werden die Daten gesichert.
- Vermeiden Sie das Speichern betrieblicher Daten auf privater Hardware (z.B. USB-Stick)
- Achten Sie darauf, dass sich betriebliche und private Daten / Dokumente nicht vermischen
- Leiten Sie keine geschäftlichen E-Mails auf private Postfächer weiter
- Verwenden Sie ausschließlich IT-Werkzeuge / -Tools (z.B. Videokonferenzen, Chat), deren Verwendung im beruflichen Kontext zulässig und vom Unternehmen bzw. der IT-Abteilung im Unternehmen freigegeben ist
Zögern Sie nicht, sich zur Klärung von Fragen an die IT-Abteilung, den Datenschutzbeauftragten oder den Informationssicherheitsbeauftragten oder Ihren Vorgesetzten zu wenden.
Welche Werkzeuge können eingesetzt werden?
Bei der Umsetzung eines reibungslosen Dokumenten- und Datentransfers, wird die Frage aufkommen, welches Mittel eingesetzt werden soll und darf. Hierbei kann zum Beispiel mittels VPN-Tunnel auf die Infrastruktur des Unternehmens zugegriffen werden.
Allerdings kann auch ein Einsatz von Cloud-Anbietern als praktikabel angesehen werden, da die Anbieter des Öfteren auch gleich Anwendungen z. B. für Online-Meetings bereitstellen. Dabei stellt sich momentan oft die Frage eines datenschutzrechtlichen Einsatzes von Microsoft Office 365. Nach Kritik im Sommer 2019 – zum Beispiel des Hessischen Beauftragten für Datenschutz und Informationsfreiheit – hat Microsoft mittlerweile massiv in Puncto Datenschutz nachgebessert und hat sein Vertragswerk, die Online Services Terms (OST), in Kooperation mit dem niederländischen Ministerium für Justiz und Sicherheit angepasst und erweitert.
Eine Zusatzvereinbarung für Berufsgeheimnisträger i. S. d. des § 203 StGB bietet Microsoft für seine Onlinedienste ebenfalls an, sodass ein Einsatz im Bereich der Berufsgeheimnisträger dem nicht entgegensteht. Demnach ist der Dienst Office 365 auch für den Einsatz durch Steuerberater, Wirtschaftsprüfer, Rechtsanwälte und andere Berufsgruppen nutzbar.
Stets Status der Projekte in Kollaboration mit den Vorgesetzten und Kollegen im Blick zu halten, macht auch den Einsatz von Projektmanagementwerkzeugen wichtig. Dabei ist bei Anbietern, wie zum Beispiel Teamwork oder Stackfield, darauf zu achten, dass entweder eine Auftragsverarbeitungsvereinbarung, ein sogenannter Angemessenheitsbeschluss oder geeignete Garantien zur Übermittlung von personenbezogenen Daten geboten werden. Bei einigen Anbieter – wie auch bei Teamwork – können Übermittlungen bei einem Vertragsabschluss auf Servern innerhalb der EU begrenzt werden; dies ist selbstredend immer vorzuziehen. Die Lösung Stackfield wird in Deutschland gehostet.
Wir selber nutzen folgende Cloud-Dienste:
| Dienst | Bewertung / Kurzinformation |
| Microsoft Office 365 | Die Lösung kann aus Datenschutzsicht verwendet werden. Neuerdings ist auch ein Hosting in Deutschland möglich, bislang erfolgte das Hosting für europäische Kunden in Irland und den Niederlanden. Die Lösung enthält auch SharePoint Online zur Ablage von Dokumenten und die Anwendung Teams, über die einfach Onlinemeetings abgehalten werden können. Auch die Lösung „Skype for Business“ ist enthalten. Die kostenlose Variante von Skype ist bei betrieblicher Nutzung nicht datenschutzkonform einsetzbar. Der Abschluss einer Vereinbarung zu speziellen berufsrechtlichen Schweigepflichten ist möglich. |
| Placetel | Placetel setzen wir bei der comdatis als Telefonanlage ein. Die Lösung ist beim Anbieter gehostet und bietet uns die Möglichkeit, unabhängig vom Ort stets über die Festnetznummer erreichbar zu sein. Ein Softphone auf dem Notebook oder eine App auf dem Smartphone sowie eine Internetverbindung genügen. |
| ambiFOX | Eine Lösung der ambiFOX GmbH aus Ahaus nutzen wir für unseren E-Mail-Server. Die ambiFOX betreibt für uns seit mittlerweile 6 Jahren einen Microsoft Exchange Server. |
In den letzten Wochen haben wir weiterhin viele Dienste bewertet bzw. haben Erfahrungswerte mit weiteren Diensten sammeln können. Hier eine kurze Übersicht weiterer Dienste:
| Dienst | Bewertung |
| xworks.365 | xworks.365 ist ein Dienst der mediaBEAM GmbH aus Ahaus. Die Lösung bietet z.B. die Organisation von Projekten in Teamräumen, ein Onlineoffice zur gemeinsamen Bearbeitung von Dokumenten einschl. Speicherplatz und weiteren Funktionen. Dokumente können für Externe per Link freigegeben werden. Die Lösung wird in einem nach der ISO/IEC 27001 zertifizierten Rechenzentrum in Ahaus betrieben. |
| zoom | Zoom ist ein Anbieter einer Onlinemeeting-Lösung in den USA. Der Anbieter bietet ein „Data Processing Agreement“ (DPA) nach EU-Standardvertragsklauseln. Der Abschluss einer berufsrechtlichen Verschwiegenheitsverpflichtung (relevant z.B. für Steuerberater und Rechtsanwälte) wird leider nicht angeboten. |
| dox2go | Ein cloudbasiertes Dokumenten-Management-System (DMS) steht mit dox2go zur Verfügung. Anbieter der Lösung ist die Paperless Solutions GmbH aus Köln. |
| foxdox | Ein cloudbasiertes Dokumenten-Management-System (DMS) steht mit foxdox zur Verfügung. Anbieter der Lösung ist die d.velop AG aus Gescher. Auch die Lösung d.3 der d.velop AG wird als Cloudlösung angeboten. |
| Stackfield | Stackfield ist eine in Deutschland entwickelte und gehostete Lösung zur Zusammenarbeit und Kollaboration. Neben einem Speicher für Daten, einer Chatfunktion steht eine umfangreiche Aufgabenverwaltung zur Verfügung. |
| AMAGNO | AMAGNO aus Oldenburg bietet seine Dokumenten-Management-Lösung (DMS) auch als gehostete Lösung an. |
Was müssen Auftragsverarbeiter zusätzlich beachten?
Vorab sollte sorgsam geprüft werden, ob personenbezogene Daten im Auftrag eines Kunden im neugeschaffenem Home Office verarbeitet werden sollen. Dabei ist wichtig, dass das Unternehmen die vereinbarten Auftragsverarbeitungsverträge (Art. 28 Abs. 3 DSGVO) auf eventuelle Pflichten zum Einsatz eines Home Offices prüft. Gegebenenfalls ist auch eine Freigabe des Auftraggebers einzuholen.
IT-Sicherheit
In vielen Unternehmen gibt es Richtlinien oder Betriebsvereinbarungen zum Umgang mit der IT sowie Telekommunikationstechnik. Die darin definierten Regeln gelten auch am häuslichen Arbeitsplatz.