Ein Mann sitzt am Laptop im Homeoffice, eine Katze und viele Ausdrucke liegen neben ihm.

Auch im Homeoffice ein Muss: Datenschutz. - Bild: AdobeStock/agcreativelab

| von Rehm Datenschutz

Homeoffice und Datenschutz

Veranstaltungen, Meetings sowie Dienstreisen werden abgesagt, Beschäftigte sollen zu Hause bleiben und – wenn möglich – von dort aus arbeiten. Das Corona-Virus zwingt immer mehr Unternehmen, ihre Beschäftigten im Homeoffice beziehungsweise jedenfalls außerhalb der betrieblichen Räumlichkeiten arbeiten zu lassen.

Aber wie kann auch im Homeoffice der Datenschutz und die IT-Sicherheit gewährleistet werden und muss ich mich darum als Arbeitgeber bzw. Verantwortlicher überhaupt kümmern?

Um letztere Frage klar zu beantworten: Ja, als Arbeitgeber muss sich Ihr Unternehmen auch um den Datenschutz und die IT-Sicherheit im Homeoffice kümmern. Die Tatsache, dass personenbezogene Daten nicht direkt am Ort des Betriebs, sondern im Homeoffice verarbeitet werden, ändert nichts an der Verantwortlichkeit Ihres Unternehmens  und dem damit einhergehenden Haftungsrisiko.

Nachdem im Homeoffice ein besonderes Gefährdungspotenzial für die Integrität, Vertraulichkeit und Verfügbarkeit von Daten besteht, muss diesem Risikopotenzial durch entsprechende Homeoffice-Vereinbarungen und Richtlinien Rechnung getragen werden, wie nicht zuletzt auch das BSI in einer kürzlich veröffentlichten Broschüre herausstellt.

Online Tools und Datenschutz

Die im Rahmen des Katastrophenfalls angeordneten Maßnahmen und ausgesprochenen Empfehlungen machen in deutlich größerem Umfang elektronische Kommunikation zwingend erforderlich. Da es in der Kürze der Zeit für Arbeitgeber schwierig werden könnte, hierfür die entsprechende Infrastruktur zur Verfügung zu stellen, möchten wir Sie darüber informieren, dass die für die öffentlichen Stellen in Bayern zuständige Aufsichtsbehörde, der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) vorübergehend die Verwendung von Privatgeräten sowie die Nutzung von Messengern und Clouddiensten unter gewissen Rahmenbedingungen akzeptiert.

Wie Sie die Herausforderung DSGVO meistern

Die DSGVO ist für Sie ein Buch mit sieben Siegeln? Sie brauchen Support? Die Experten von Rehm Datenschutz stehen Ihnen hier mit Rat und Tat zur Seite.

Rechtslage und Handlungsempfehlung Homeoffice

Eine klare gesetzliche Regelung für die datenschutzrechtliche Zulässigkeit von Telearbeit und Mobilem Arbeiten existiert nicht. Aus diesem Grund sollte einzelfallabhängig unter Berücksichtigung der Art der zu verarbeitenden Daten und ihres Verwendungszusammenhangs differenziert geprüft werden, ob die Wahrnehmung der jeweiligen Tätigkeiten im Rahmen von Telearbeit und Mobilem Arbeiten datenschutzrechtlich vertretbar ist.

Die Entscheidung muss als datenschutzrechtlich Verantwortlicher der Arbeitgeber treffen und technische und organisatorische Maßnahmen zur Risikominimierung ergreifen. Als Grundlage hierfür dient eine Vereinbarung zu Mobilem Arbeiten, welche die Beschäftigten idealerweise zur Umsetzung der folgenden Minimalanforderungen verpflichtet:

  • Verbot, Dritten Passwörter oder sonstige Zugangsmöglichkeiten zu betrieblichen Anwendungen mitzuteilen oder zugänglich zu machen
  • Verbot, Dritten (z. B. Familienmitgliedern, sonstigen Mitbewohnern, Besuchern) Zugriff auf die betriebliche EDV und/oder betriebliche Unterlagen zu gewähren;
  • Verbot, betriebliche Daten auf anderen als vom Arbeitgeber zugelassenen Speichermedien zu speichern (private Endgeräte, USB-Sticks, Computern;
  • Verbot der Verarbeitung dienstlicher Daten mit privaten Geräten (Abruf des dienstlichen E-Mail-Accounts mit einem privaten Computer, Smartphone)
  • Verbot der Deaktivierung oder Umgehung von Sicherheitsmaßnahmen oder der Vornahme technischer Veränderungen an denen durch den Arbeitgeber zur Verfügung gestellten Geräten. Software darf nur durch die IT-Abteilung installiert werden;
  • Sichere Vernichtung von Unterlagen mit vertraulichen Informationen (z. B. personenbezogenen Daten.)

Rechtslage und Handlungsempfehlung Online-Tools

Aus gegebenem Anlass stellen wir Ihnen die gängigen Videokonferenz-Tools Cisco Webex, GoToMeeting, Microsoft Teams und Zoom vor.

Cisco WebEx
Cisco Systems, Inc. ist ein amerikanischer Dienst für Videokonferenzen der unter anderem. das Tool Webex hier zur Verfügung stellt. Mit der kostenlosen Version können für bis zu 100 Teilnehmer an einer Video-Konferenz (=Meeting) teilnehmen. Ein Zeitlimit scheint es nicht zu geben. Innerhalb von 24 Stunden können unbegrenzt viele Meetings stattfinden. Webex ist EU-U.S. Privacy Shield zertifiziert und bietet die Möglichkeit einen AV-Vertrag abzuschließen. Ein Muster-AV-Vertrag kann hier eingesehen werden.

In der kostenfreien Version werden die Teilnehmer aufgefordert, einen Namen (das kann auch ein Fantasiename sein) sowie eine E-Mail-Adresse einzugeben, um an der Videokonferenz teilzunehmen. Es scheint möglich zu sein, eine Fantasie-E-Mail-Adresse anzugeben, denn das Beitreten zu einem Meeting ist auch ohne die Verifikation der angegeben E-Mail-Adresse möglich. Es werden Daten, wie IP-Adresse, MAC-Adresse, Cookies sowie sonstige Verkehrsdaten, die einen Personenbezug aufweisen könnten, verarbeitet. Darüber hinaus setzt Webex Dienstleister als Unterauftragsverarbeiter ein. Die Liste der Sub-Auftragsverarbeiter kann angefordert werden ist, jedoch nicht öffentlich abrufbar und konnte daher nicht geprüft werden.

GoTo Meeting
LogMeIn, Inc. ist ein US-Dienst für Videokonferenzen der unter anderem das Tool „GoToMeeting“ hier zur Verfügung stellt. Eine kostenlose Version steht nicht zur Verfügung. Es können bis zu 250 Personen an einem Meeting teilnehmen. LogMeIn, Inc. ist EU-U.S. Privacy Shield zertifiziert und bietet die Möglichkeit einen AV-Vertrag abzuschließen. Ein Muster AV-Vertrag kann hier eingesehen werden.

Die EU-Standardvertragsklauseln bilden Anlage 1 zum AV-Vertrag. Im Kunden-Konto-Bereich ist ein vor-unterzeichneter Entwurf hinterlegt. Es werden sonstige Daten, wie IP-Adresse, MAC-Adresse, Cookies sowie sonstige Verkehrsdaten, die Personenbezug aufweisen könnten, verarbeitet. Darüber hinaus setzt LogMeIn, Inc. Dienstleister als Unterauftragsverarbeiter ein. Die Liste der Sub-Auftragsverarbeiter kann angefordert werden. Die öffentlich einsehbare Liste müsste bei entsprechender Entscheidung entsprechend geprüft werden.

Microsoft Teams
Microsoft Teams ist eine Plattform, die Chats, Besprechungen, Notizen und Anhänge kombiniert und Teil des Office 365-Pakets ist. Maßgeblich für die Nutzung sind die die Bestimmungen für Online-Dienste (OST, Stand 8. Januar 2020). Es können bis zu 250 Personen an einer Besprechung teilnehmen.

Microsoft ist EU-U.S. Privacy Shield zertifiziert und bietet ebenfalls die Möglichkeit einen AV-Vertrag abzuschließen. Die EU-Standardvertragsklauseln sind im Anhang 3 zu den OST abgebildet. Es werden auf jeden Fall sonstige Daten, wie IP-Adresse, MAC-Adresse, Cookies sowie sonstige Verkehrsdaten, die Personenbezug aufweisen könnten, verarbeitet.

Eine Liste der von Microsoft eingesetzten Sub-Auftragsverarbeiter wird jedenfalls online nicht vorgehalten, wenngleich der Einsatz selbst in den OST Erwähnung findet. 

Zoom Besprechungen & Chat

Zoom Video Communications, Inc. ist ein US-Dienst für Videokonferenzen der unter anderem auch das Tool „Zoom“ zur Verfügung stellt. Mit der kostenlosen Version können bis zu 100 Teilnehmer an einer Video-Konferenz (=Meeting) teilnehmen.

Die Gruppenbesprechungen werden jedoch nach 40 Minuten abgeschaltet. Dabei ist ein Teilnehmer eine eingeladene Person in einem Meeting, das von jemandem mit einer Moderatorenlizenz geplant wurde. Ein Teilnehmer benötigt kein Zoom-Konto, um einem Meeting beizutreten. Teilnehmer können einem Meeting per Telefon, Desktop, Mobiltelefon und Tablet beitreten. Die kostenpflichtige Pro-Version hat ein Zeitlimit von 24 Stunden. Zoom ist EU-U.S. Privacy Shield zertifiziert und bietet die Möglichkeit einen AV-Vertrag sowie EU-Standardvertragsklauseln abzuschließen.

Als Teilnehmer wird man zu einer Angabe personenbezogener Daten nicht gezwungen. Es ist aber auf ausschließlich freiwilliger Basis möglich einen „Namen“ beziehungsweise. ein „Nick-Name“ einzugeben. Darüber hinaus werden auch sonstige Daten, wie IP-Adresse, MAC-Adresse, Cookies, sonstige Verkehrsdaten, die Personenbezug aufweisen könnten, verarbeitet. Die Datenverarbeitung ist mit Abschluss des AV-Vertrags datenschutzrechtlich abgesichert. Der Transfer von Verkehrsdaten kann nicht unterbunden werden.

Handlungsempfehlung

Prüfen Sie, ob Ihre Mitarbeiter für die besonderen Gefährdungspotentiale im Homeoffice sensibilisiert wurden und verbindliche Richtlinien oder Arbeitsanweisungen bezüglich der Datensicherheit im Homeoffice in Ihrem Unternehmen vorhanden sind. Eine entsprechende Richtlinie oder Arbeitsanweisung für die Beschäftigten sollte nach der Praxishilfe der GDD folgende Punkte abdecken:

  • Starten Sie die Videokonferenzsoftware nicht automatisch beim Hochfahren des Computers, sofern die Einstellungen selbst vornehmen können.
  • Schalten Sie beim Betreten eines VC-Raums das Mikrofon automatisch stumm.
  • Überprüfen Sie vorab Ihr eigenes Videobild, ob es Objekte enthält, die nicht gesehen werden sollten.
  • Wählen Sie Ihre Meeting-ID bzw. Meeting-URL möglichst kryptisch und keinesfalls sprechend (beispielsweise: Ihr Name oder Ihre Telefonnummer), sofern möglich.
  • Vergeben Sie ein Passwort zum Betreten des Meeting-Raums
  • Geben Sie die Zugangsdaten zu dem Meeting nur an die geplanten Teilnehmer.
  • Beobachten Sie als Veranstalter des Meetings die Teilnehmer. Reagieren Sie sofort, wenn ein nicht eingeladener Teilnehmer erscheint.
  • Halten Sie die Videokonferenzsoftware (oder den Browser, mit dem Sie an der Videokonferenz teilnehmen) aktuell.
  • Im Falle beabsichtigter Aufzeichnungen einer Videokonferenz sind die Teilnehmer vorab darüber zu informieren. Aus diesem Grund müssen Teilnehmer zunächst stummgeschalten und die Kamera ausgeschaltet sein. Die Information kann folgendermaßen lauten: „Die Videokonferenz wird in Bild und Ton aufgezeichnet, um sie später online zur Verfügung stellen zu können. Soweit Sie mit Ihrer Aufzeichnung nicht einverstanden sind, schalten Sie Kamera und Mikrofon nicht ein. Fragen können Sie in diesem Fall über Chat stellen.“
  • Wenn Sie parallel zur Videokonferenz in der Software einen Chat-Kanal benutzen, sollten Sie sich nur so äußern, dass eine versehentliche Veröffentlichung des Chats keinen Schaden für Sie oder unser Unternehmen anrichtet.
  • Klären Sie vor der Einladung zu einem Meeting, ob die zu erwartenden Inhalte der Konferenz für das Medium geeignet sind! Klären sie insbesondere bei Gesprächen aus dem Personalbereich (z.B. Vorstellungsgespräche, Mitarbeitergespräche), ob dies zulässig ist.

Sie brauchen Unterstützung beim Thema Datenschutz?

Wenn Sie Unterstützung benötigen, steht die Rehm Datenschutz GmbH gerne hilfsbereit zur Verfügung. Sie können sich direkt an Gabriela Strack wenden.