Checkliste Datenschutz im Home-Office
Ob Corona nun vorüber ist oder nicht, darüber sollen sich andere streiten. Was jedoch in vielen Organisationen nicht vorüber ist, ist das Thema Home-Office. Zu Beginn der Pandemie von dem einen oder anderen Arbeitgeber möglicherweise nur als Workaround gedacht, ist das Home-Office gekommen, um zu bleiben. Da viele Organisationen auf das Thema überhaupt nicht vorbereitet waren (Stichwort Notfallmanagement Unterpunkte Pandemie und Personalausfall 🙂 ), musste es 2020 schnell gehen. Interimslösungen bzw. Notnägel wurden geschaffen, Hauptsache erst mal arbeitsfähig sein. Datenschutz und Informationssicherheit standen dabei nicht immer so im Fokus, wie es den technischen und organisatorischen Risiken durch Home-Office angemessen gewesen wäre. Umso wichtiger ist es nun, sich in der aktuellen Verschnaufpause dem Thema aus Sicht des Datenschutzes und der Informationssicherheit systematisch zu nähern. Dabei gilt es, möglicherweise schon vorhandene Schutzmaßnahmen und Aspekte zur Risikovermeidung auf Wirksamkeit zu prüfen, aber auch noch bestehende organisatorische und technische Schwachstellen zu identifizieren und zu beseitigen. Wir haben unseren Kunden im Zuge der gerade durchstartenden Pandemie im Frühjahr 2020 eine Checkliste Datenschutz im Home-Office erstellt und zur Verfügung gestellt. Damit konnte zumindest schon mal grob geprüft werden, ob die wichtigsten Aspekte in all dem Drunter und Drüber berücksichtigt wurden. Und wer uns kennt, der weiß, wir haben dabei nicht nur um das goldene Kalb Datenschutz getanzt, sondern das Thema gesamtorganisatorisch beleuchtet. Von daher sind in der Checkliste Datenschutz im Home-Office auch grundlegende Anforderungen der Informationssicherheit enthalten, die sinnigerweise keine Unterscheidung zwischen Personenbezug oder nicht machen, sondern generell das Schutzniveau für Informationen aller Art verbessern. Klar durfte dann auch das Thema Schulung und Sensibilisierung von Mitarbeitern nicht fehlen. Auch wenn es die eine oder andere Organisationsleitung oder Führungskraft nervt 😉
Systematik der Checkliste Datenschutz im Home-Office
Zu Beginn gab es nur eine Checkliste für alle uns in den Sinn gekommenen Prüfpunkte und Anforderungen aus Sicht des Datenschutzes und der Informationssicherheit. Prüfpunkte waren bzw. sind:
- Hardware-Einsatz (Gestellung oder BYOD)
- Anforderungen an den Arbeitsplatz zuhause
- Umgang mit Papierdokumenten
- Einsatz von Videokonferenzsystemen
- Generelle Anforderungen technische Sicherheit
- Nutzung von Cloud-Diensten z.B. Dateiablage oder Kollaborationstools
- Nutzung von Messengern
- Allgemeine organisatorische Anforderungen (Regelungen, Richtlinien, Schulung, Einweisung etc.)
Darin waren sowohl Anforderungen für Datenschutz im Home-Office auf Arbeitgeberseite, aber auch aus Sicht des Arbeitnehmers im eigenen Zuhause enthalten. Schnell haben wir erkannt, dass dies nicht praktikabel ist und aus einer Checkliste Datenschutz im Home-Office zwei separate Listen gebastelt. Es gibt daher nun die Checkliste Datenschutz im Home-Office aus Sicht
- des Arbeitgebers und
- des Arbeitnehmers.
Checkliste Home-Office für Arbeitgeber
Diese etwas umfangreichere Checkliste für den Arbeitgeber befasst sich intensiv mit den Anforderungen an und Voraussetzungen für technische und organisatorische Sicherheit, die der Arbeitgeber sicherstellen bzw. erst mal schaffen muss, damit im Home-Office datenschutzkonform und aus Sicht der Informationssicherheit “sicher” gearbeitet werden kann. Darin sind u.a. auch Punkte wie die Auftragsverarbeitung nach Art. 28 DSGVO für externe Cloud-Services und auch administrative Voreinstellungen auf Seiten der genutzten Techniken enthalten, die für den Arbeitnehmer bei seiner Tätigkeit im Home-Office jetzt eher weniger spannend bzw. von Interesse sind.
Mittels der Checkliste Datenschutz im Home-Office kann schnell und einfach durch den Arbeitgeber geprüft werden, ob
- die wichtigsten (technischen) Voraussetzungen für sicheres Arbeiten im Home-Office geschaffen sind,
- die rechtlichen Anforderungen aus Sicht der DSGVO (wie Auftragsverarbeitung) berücksichtigt sind,
- alles ordentlich geregelt, dokumentiert und für alle Beteiligten leicht verständlich beschrieben ist sowie
- die Mitarbeiter ausreichend eingewiesen und sensibilisiert sind.
Wo ein Haken in der Checkliste fehlt, besteht im Zweifel noch Handlungsbedarf. Auch jetzt noch, 2 Jahre später 😉
ChecklisteHome-Office für Arbeitnehmer
Diese deutlich kürzere Checkliste befasst sich mit den Aspekten, die im Home-Office auf Seiten des Arbeitnehmers erfüllt sein sollten. Mittels der Prüfpunkte kann der Mitarbeiter checken, ob er “ready to go” ist im Home-Office und auch auf seiner Seite die Voraussetzungen für einen sicheren und datenschutzkonformen Einsatz im Home-Office gewährleistet sind. Möglicherweise ergeben die Prüfpunkte jedoch auch, dass noch es noch an gewissen Unterstützungsmaßnahmen seitens des Arbeitgebers fehlt. Diese können anhand der Checkliste identifiziert, protokolliert und an den Arbeitgeber mit der Bitte um Erledigung gesendet werden. Gleichzeitig dient die Checkliste für Arbeitnehmer als kleine Gedankenstütze für die notwendigen Sicherheitsmaßnahmen im Home-Office, die der Arbeitnehmer nicht nur einmalig, sondern über die ganze Zeit im Home-Office sicherstellen sollte.
Weiterer Benefit der Checklisten
Neben der Selbstüberprüfung, ob an alles Wichtige und Notwendige für einen sicheren und datenschutzkonformen Einsatz im Home-Office gedacht wurde, ist die Zweiteilung auch noch für etwas anderes gut. Clevere Kunden von uns haben die Checkliste Datenschutz im Home-Office für Arbeitnehmer von Ihren Mitarbeitern frühzeitig ausfüllen lassen, um festzustellen, was generell vom Arbeitgeber geschaffen / gestellt werden muss, damit Home-Office überhaupt erst sicher möglich ist. Im zweiten Schritt haben sie sich nach dem Rollout der Home-Offices über die Checkliste für Arbeitnehmer durch den Mitarbeiter noch mal protokollieren lassen, dass jetzt soweit alles zuhause im Home Office “passt”. Das Ganze natürlich erst mal nach entsprechender Einweisung und Schulung. Versteht sich von selbst 🙂
Vorteil: Als Arbeitgeber bzw. verantwortliche Stelle kann man damit gleich sehr schön belegen, seinen Sorgfaltspflichten auch außerhalb der eigenen Räumlichkeiten Genüge getan zu haben.
Download der Checkliste Datenschutz im Home-Office
Wer uns etwas näher kennt, weiß von unserer Ausbildungstätigkeit an der Bayerischen Verwaltungsschule für Informationssicherheitsbeauftragte. Im Nachgang sind alle Teilnehmer herzlich eingeladen am kostenfreien ISB Praxis-Forum als Austauschplattform im Alltag von Informationssicherheitsbeauftragten teilzunehmen. Da kam die Frage auf, ob es nicht für das Thema Home-Office geeignete Prüflisten gäbe oder ob man diese gemeinsam entwickeln wolle. Was liegt also näher, als die schon vorhandenen Checklisten aus unserem Fundus in leicht überarbeiteter Version für alle zur Verfügung zu stellen, bevor sich jeder einzeln die Mühe macht. Zeit ist zu wertvoll.
Unsere Bitte: Die beiden Checklisten erheben keinen Anspruch auf Vollständigkeit oder Korrektheit. Wer also Anregungen und Ergänzungen zur Weiterentwicklung oder Korrektur hat, immer her damit. Und es gilt “fair use”. Diese Vorlage kann daher gerne in der Praxis von Organisationen genutzt und verändert werden. Wir möchten jedoch nicht, dass sie ohne unsere Zustimmung auf anderen Internetseiten als Muster zum Download angeboten wird oder sich irgendwann in einem Fachbuch wiederfindet. Haftung: Die Checklisten stellen lediglich einen Vorschlag dar. Es wird keine Haftung für Schäden durch die Verwendung übernommen.
Checkliste Datenschutz im Home-Office für Arbeitgeber
Checkliste Datenschutz im Home-Office für Arbeitnehmer