Auch bei der Arbeit im Homeoffice oder im Rahmen des sogenannten mobilen Arbeitens muss auf einen datenschutzkonformen Umgang mit personenbezogenen Daten geachtet werden. Im Folgenden erhalten Sie einige Anregungen, was konkret zu berücksichtigen ist und welche Maßnahmen zu ergreifen sind. Bitte beachten Sie darüber hinaus – sofern vorhanden – etwaige interne Richtlinien zu diesen Themen. Ein bedachter und verantwortungsvoller Umgang hilft, die Gefahr von Datenschutzverletzungen auf ein Minimum zu reduzieren.
SICHERN SIE IHREN ARBEITSPLATZ VOR ZUGRIFFEN DRITTER
Beim Verlassen des Arbeitsplatzes dürfen keine Dokumente und Dateien mit personenbezogenen Daten offenliegend zurückgelassen werden. Sichern Sie aus diesem Grund die verwendeten Endgeräte per passwortgeschützten Sperrbildschirm, schließen Sie geöffnete Akten und verwahren Sie diese nach Möglichkeit in verschließbaren Aktenschränken oder abschließbaren Transportbehältern. Bei einer längeren Abwesenheitszeit sind zudem – sofern möglich – die jeweiligen Räumlichkeiten zu verschließen oder mobile Endgeräte mitzuführen.
SCHÜTZEN SIE PERSONENBEZOGENE DATEN VOR NEUGIERIGEN BLICKEN
Zum Schutz vor neugierigen Blicken sollte Ihr Arbeitsplatz so eingerichtet sein, dass Besucher, Mitreisende oder andere unbefugte Dritte – hierzu gehören grundsätzlich auch Familienangehörige und Mitbewohner – keine Einsicht auf Ihren Bildschirm oder etwaige Dokumente nehmen können. Ist dies aufgrund der örtlichen Gegebenheiten nicht möglich, können Blickschutzfolien einen gleichwertigen Effekt erzielen. Die Verwendung von Blickschutzfolien empfiehlt sich außerdem bei der Nutzung mobiler Endgeräte an öffentlichen Plätzen und in Verkehrsmitteln.
HANDELN SIE IN RAHMEN VON TELEFONATEN UMSICHTIG
Wenn Sie Telefonate durchführen, sollten Sie je nach Sensibilität des Gesprächsinhaltes stets darauf achten, dass sich in unmittelbarer Nähe zu Ihnen keine unbefugten Personen aufhalten. Unter Umständen ist es sinnvoll, das Telefongespräch zunächst zu unterbrechen und einen Rückruf zu einem späteren Zeitpunkt zu vereinbaren. Erteilen Sie darüber hinaus nach Möglichkeit nur im beschränkten Umfang Auskünfte am Telefon. Insbesondere im Rahmen des Social Engineerings verlangen oftmals angebliche Kunden, Kollegen oder Dienstleister umfangreiche Informationen zu geschäftlichen Interna. Vereinbaren Sie im Zweifelsfall auch hierbei gegebenenfalls einen Rückruf und überprüfen Sie die hierfür angegebene Telefonnummer mit möglicherweise Ihnen bereits bekannten Nummern.
NUTZEN SIE AUSSCHLIEßLICH SICHERE NETZWERKVERBINDUNGEN
Auch wenn die jeweils eingesetzten EDV-Geräte sich auf dem aktuellen technischen Stand befinden und über eine aktuelle Sicherheitssoftware verfügen, stellen ungesicherte Netzwerkverbindungen ein erhebliches Sicherheitsrisiko dar. Achten Sie deshalb insbesondere im Rahmen des mobilen Arbeitens auf die ausschließliche Nutzung gesicherter Netzwerkverbindungen. Sollten derartige Netzwerke nicht zur Verfügung stehen, kann unter Umständen auch das dienstliche Smartphone als persönlicher Hotspot verwendet werden.
TRENNEN SIE BERUFLICHES VON PRIVATEM
Die Trennung von beruflichen und privaten Angelegenheiten ist auch im Bereich des Datenschutzes unbedingt zu beherzigen. Dementsprechend sollten über den vom Arbeitgeber zur Verfügung gestellten Arbeitsmitteln, wie beispielsweise Endgeräte und Zugänge zu E-Mail-Postfächern, ausschließlich für geschäftliche Zwecke genutzt werden. Ebenso ist der Einsatz von privaten Geräten (z.B. externe Festplatten oder Drucker) und Zugängen für geschäftliche Zwecke zu unterlassen, sofern dies nicht ausdrücklich von der Geschäftsführung erlaubt wurde.
VERNICHTEN SIE DOKUMENTE UND HARDWARWE MIT PERSONENBEZOGENEN DATEN DATENSCHUTZGERECHT
Werden Dokumente oder Hardware mit personenbezogenen Daten nicht mehr benötigt, sind diese datenschutzkonform zu entsorgen. Dabei muss sichergestellt werden, dass die Möglichkeit eines weiteren Zugriffs oder einer Wiederherstellung ausgeschlossen werden kann. Eine einfache Entsorgung der jeweiligen Datenträger über den Hausmüll ist nicht ausreichend. Papierunterlagen sind zumindest zu schreddern (vgl. DIN 66399, DIN EN 15713), Festplatten fachgerecht, beispielsweise über einen speziellen Dienstleister, zu entsorgen. Beachten Sie zudem, dass moderne Multifunktionsgeräte zum Teil ebenso über Festplatten verfügen, die personenbezogene Daten enthalten können.
MELDUNG VON DATENSCHUTZVERLETZUNGEN
Die Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 und Art. 34 DS-GVO sind ebenfalls im Rahmen des Homeoffices oder des mobilen Arbeitens einschlägig. Sollte Ihnen trotz Beachtung der zuvor aufgeführten Maßnahmen eine Datenschutzverletzung unterlaufen sein oder haben Sie Kenntnis von einer solchen erlangt, wenden Sie sich bitte umgehend sowohl an Ihren Vorgesetzten als auch an Ihren Datenschutzbeauftragten. Diese untersuchen den Vorfall und entscheiden anschließend über das weitere Vorgehen.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
