Logo der activeMind AG

Kostenloser DownloadDatenschutz und Informationssicherheit bei mobiler Arbeit (Checkliste)

Der mobile Arbeitsplatz wird zur Normalität: Immer mehr Unternehmen erlauben ihren Mitarbeitern, Teile ihrer beruflichen Tätigkeit von zu Hause oder von einem anderen Ort außerhalb des Büros aus zu erledigen – die sogenannte Telearbeit.

Für die Arbeit außerhalb der Geschäftsräume sollte die Geschäftsführung jedoch eindeutige und transparente Regeln aufstellen, um die Rechte und Pflichten beider Seiten klarzustellen. Dies betrifft insbesondere den einzuhaltenden Datenschutz und Vorgaben zur Informationssicherheit – egal wo und auf welchem Endgerät die Mitarbeiter tätig werden.

Es ist sehr zu empfehlen, die Einhaltung dieser Regelungen durch beide Parteien schriftlich zu vereinbaren, vor allem um unnötige Missverständnisse und Haftungsfälle zu vermeiden. Unsere kostenlose Checkliste zum Datenschutz beim Arbeiten im Home-Office und von unterwegs gibt Ihnen eine empfehlenswerte Struktur vor. So übersehen Sie bei der Umsetzung der notwendigen Datenschutzmaßnahmen hinsichtlich der mobilen Arbeit Ihrer Mitarbeiter keine wichtigen Punkte.

Datenschutz beim mobilen Arbeiten

Heutzutage gehören Home-Office-Tage immer öfter zum Unternehmensalltag. Gründe für ein solch flexibles Arbeitsmodell finden sich viele, etwa die Steigerung der Mitarbeitermotivation und Effizienz, die Verbesserung der Work-Life-Balance, die Entlastung der Arbeitnehmer oder die Familienfreundlichkeit.

Auch die Nutzung mobiler Endgeräte des Unternehmens wie Laptops oder Smartphones von unterwegs aus (beispielsweise in der Bahn oder beim Kunden) wird durch die zunehmende Verbreitung solcher Geräte in immer mehr Unternehmen zur Selbstverständlichkeit.

Doch die datenschutzrechtliche Verantwortlichkeit endet nicht an der Unternehmenstür! Auch bei der mobilen Arbeit müssen die Voraussetzungen zur Einhaltung der bestehenden datenschutzrechtlichen Bestimmungen gegeben sein. Die Verantwortlichkeit des Unternehmens und damit ggf. auch die persönliche Haftung der Geschäftsführung bleiben bestehen.

Die EU-Datenschutz-Grundverordnung (DSGVO) enthält keine konkrete Vorgaben für die technischen und organisatorische Maßnahmen (TOM) und listet nur einige Maßnahmen auf, wie z. B. Pseudonymisierung oder Verschlüsselung. Gleichzeitig stellt die DSGVO aber klar, dass diese Aufzählung nicht abschließend ist und es im Ergebnis darauf ankommt, dass die jeweils tatsächlich getroffenen Maßnahmen „ein dem Risiko entsprechendes Schutzniveau“ gewährleisten müssen.

Wir empfehlen deshalb, sich bei der Auswahl der geeigneten technischen und organisatorischen Maßnahmen generell und auch bei der Telearbeit an den Maßnahmenkatalogen der ISO 27001 (nativ) oder an ISO 27001 auf Basis IT-Grundschutz (BSI-Grundschutz) zu orientieren. Hierbei gilt: Die darin enthaltenen Anforderungen sollten – sofern relevant – stets umgesetzt werden, d.h. zu jedem Themenbereich sollten Maßnahmen getroffen werden, egal wo die Daten verarbeitet werden.

Die Auswahl der konkreten Maßnahmen sollte sich nach dem konkreten Risiko der Verarbeitung am jeweiligen Ort richten (die DSGVO stellt bei der Risikobewertung auf Art, Umfang, Umstände und Zwecke der Verarbeitung sowie auf die tatsächliche Eintrittswahrscheinlichkeit eines Risikos ab).

Der ISO 27001 Maßnahmenkatalog enthält Maßnahmen zu folgenden Themen:

  1. Organisation der Informationssicherheit
  2. Personalsicherheit
  3. Asset Management
  4. Zugriffskontrolle
  5. Kryptogrammen
  6. Physische und Umgebungssicherheit
  7. Betriebssicherheit
  8. Kommunikationssicherheit
  9. Compliance

Als Ausgangspunkt zur Umsetzung der notwendigen Maßnahmen dienen zunächst die Erstellung grundlegender Regelungen und die Bereitstellung der technischen Infrastruktur. Bei den Regelungen geht es beispielsweise darum, festzulegen, welche Daten das Unternehmen niemals verlassen und auf welche Art die Daten übermittelt werden dürfen oder um technische Belange, wie z. B. die Einrichtung einer VPN-Verbindung und die Befugnis zur Nutzung derselben.

Arbeit auf dienstlichen Endgeräten

Aus Datenschutzgründen ist es empfehlenswert, Mitarbeitern für die mobile Arbeit dienstliche Endgeräte zur Verfügung zu stellen, den Einsatz privater Geräte zu verbieten und dies, soweit möglich, auch technisch zu unterbinden.

Auf diese Weise können Vorgaben z. B. zu regelmäßigen Updates oder zur Einrichtung eines Virenschutzes und einer Firewall gemacht und durchgesetzt werden. Auch sollte über eine Festplattenverschlüsselung bei mobilen Endgeräten nachgedacht werden, so dass die Daten bei Verlust des Geräts vor dem Zugriff Unbefugter geschützt sind.

Neben den Maßnahmen, die noch im Unternehmen umgesetzt werden können, sind in der häuslichen Arbeitsstätte des Mitarbeiters weitere Vorkehrungen und Anweisungen erforderlich.

Datensicherung bei der mobilen Arbeit

Daten außerhalb der gesicherten Arbeitsstätte zu verarbeiten, birgt das Risiko eines Datenverlustes, insbesondere wenn keine Vorgaben zur regelmäßigen Datensicherung existieren. Werden Arbeitsergebnisse lokal gespeichert, fließen die Daten nicht mehr in die Datensicherung des Unternehmens ein. Es ist deswegen äußerst empfehlenswert, die Systeme des Unternehmens zu nutzen und keine lokale Speicherung zu erlauben.

Grundlegende Datenschutz-Kenntnisse für das mobile Arbeiten

Da Mitarbeiter in der häuslichen Arbeitsstätte und auch beim Arbeiten unterwegs den Schutz von Daten und Informationen gegenüber Dritten (z. B. Familienangehörigen) zu gewährleisten haben, sollten sie bezüglich datenschutzrechtlicher Belange besonders geschult und sensibilisiert sein, um einen Blick für den Schutz der Daten zu entwickeln. So müssen Mitarbeiter Maßnahmen kennen, um vertrauliche Daten und Informationen vor Einsicht und Zugriff Dritter zu schützen, wie z. B. die Ausrichtung des Monitors, die Verwendung eines Blickschutzfilters oder die Einrichtung eines automatischen, passwortgeschützten Bildschirmschoners.

Nicht vernachlässigen sollten Sie auch Regelungen zum Umgang mit gedruckten Dokumenten, z.B., dass diese nach deren Nutzung zu schreddern sind und keinesfalls als Schmier- noch Malpapier für Kinder zweckentfremdet werden sollten.

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.