Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

26. Februar 2021

Datenschutzaudit mobiles Arbeiten und Homeoffice

Auch Datenschutzaudits sind per Videokonferenz durchführbar
Bild: iStock.com / South_agency
4,80 (5)
Virtuelle Begehung
Wie überwacht der DSB den Datenschutz im Homeoffice? Denn grundsätzlich ist ja bei einer Begehung z.B. das Grundrecht der Unverletzlichkeit der Wohnung zu beachten oder Hygienevorschriften. Wie so oft derzeit gilt auch hier: besser virtuell als gar nicht.

Immer mehr Büroarbeitsplätze werden zu mobilen Arbeitsplätzen. In vielen Fällen ohne hinreichende Vorbereitung und mit Notregelungen, die Unternehmen und Behörden mit heißer Nadel gestrickt haben. Dadurch sind Lücken beim Datenschutz und bei der Informationssicherheit entstanden. Gleichwohl sind Datenschutzbeauftragte (DSB) verpflichtet, die Einhaltung der Datenschutz-Grundverordnung (DSGVO) zu überwachen. Das ist keine fakultative Aufgabe, sondern verpflichtend.

Um den Datenschutz bei mobilem Arbeiten oder im Homeoffice gesetzeskonform überwachen zu können, müssen DSB die Unterschiede kennen. Eine Datenschutzüberwachung im Homeoffice erfolgt unter anderen Maßgaben als beim mobilen Arbeiten. DSB müssen also zunächst herausfinden, mit welcher Variante der Verantwortliche arbeitet.

Mobiles Arbeiten oder Homeoffice?

Mobiles Arbeiten und Homeoffice sind nicht identisch. Bei mobilem Arbeiten stellt der Arbeitgeber den beschäftigen Personen das erforderliche Equipment zur Verfügung, damit sie nicht auf einen festen Arbeitsplatz angewiesen sind. Beschäftigte Personen müssen dabei nicht zwingend von zu Hause arbeiten. Sie müssen lediglich erreichbar sein.

Im Homeoffice arbeiten Beschäftigte von einem fest eingerichteten Arbeitsplatz aus. Hier muss der Arbeitgeber dafür sorgen, dass dieser Arbeitsplatz denselben gesetzlichen Anforderungen genügt wie der betriebliche Arbeitsplatz. Die Arbeit muss demzufolge von einem festen, geprüften Arbeitsplatz aus erfolgen. Sobald der Arbeitgeber den Arbeitsplatz einrichtet, muss er die umfassenden Regelungen der Arbeitsstättenverordnung anwenden.

Möglicherweise ist den Verantwortlichen der Unterschied selbst nicht geläufig oder nur unscharf definiert. So können im Vorfeld Spezifikationen nötig sein.

Überblick verschaffen über geltende Regelungen

Ist geklärt, um welche Form es geht, geht es im nächsten Schritt darum, sich einen Überblick zu verschaffen, ob es zum Thema mobiles Arbeiten und / oder Arbeiten im Homeoffice bereits verbindliche Vorgaben gibt. Die Corona-Pandemie hat ja mobiles Arbeiten und Homeoffice nicht erst erfunden. Prüfen Sie, ob schon (ältere) Regelungen vorhanden und ob sie für die derzeitige Situation anwendbar sind.

Stoßen Sie auf vorhandene Regelungen, ist das in jedem Fall eine gute Prüfungsgrundlage. Gibt es noch keine Regelungen, ist jetzt der richtige Zeitpunkt, solche Regeln zu erarbeiten.

Möglicherweise unterschiedliche Regeln

Es kann aber sozusagen auch ein „Dazwischen“ geben: Das ist der Fall, wenn schon vor der Pandemie für eine begrenzte Anzahl von Arbeitsplätzen im Homeoffice oder für Arbeitsumgebungen für mobiles Arbeiten verbindliche Regelungen bestanden. Mit dem Lockdown waren jedoch plötzlich viel mehr Beschäftigte darauf angewiesen, mobil zu arbeiten. So entstanden z.T. neue, von den bisherigen Regelungen abweichende Vorgaben.

Was wird wirklich angewendet? Gibt es BVs?

Falls die Beschäftigten bereits Vorgaben bekommen haben, prüfen Sie zunächst, ob diese in der aktuellen Situation auch angewendet werden oder ob Sonderregelungen zum Einsatz kommen. Nicht immer sind Datenschutzbeauftragte in Absprachen mit beschäftigten Personen eingebunden. Vielleicht gibt es auch eine Betriebsvereinbarung (BV), die Ihnen als DSB noch nicht bekannt ist.

Räumliche Beschreibung des jeweiligen Arbeitsplatzes beschaffen

Zwar ist durchaus denkbar, dass ein Besuch des Datenschutzbeauftragten im Homeoffice unter Einhaltung der Hygienevorschriften möglich ist. Es wird jedoch nicht immer eine willkommene oder überhaupt erlaubte Möglichkeit sein.

Holen Sie sich daher eine Beschreibung des Arbeitsplatzes ein, den Sie unter die Lupe nehmen möchten. Idealerweise bekommen Sie eine Skizze, aus der hervorgeht, ob der Mitarbeitende den Arbeitsraum verschließen kann und inwieweit Fenster vorhanden sind, durch die jemand von außen den Bildschirm einsehen oder feststellen kann, welche anderen Aktivitäten hier stattfinden.

Möglicherweise ist eine solche Beschreibung des Arbeitsplatzes ja auch schon Bestandteil des Umzugs zum mobilen Arbeiten oder ins Homeoffice. Dann liegt sie bereits vor.

Überblick über die Technik verschaffen

Rechner (Notebook, PC)

Ein wesentlicher Bestandteil ist die Prüfung, welche Technik zum Einsatz kommt. Lassen Sie sich beschreiben, ob es sich um dienstliche oder um private Geräte handelt.

Handelt es sich um dienstliche Systeme, ist zu prüfen, ob dieselben Anwendungsbedingungen gelten wie am Büroarbeitsplatz. Sofern es Unterschiede gibt, prüfen Sie, ob sie sich auf den Datenschutz auswirken können. Ist das der Fall, überlegen Sie, welche technischen und organisatorischen Maßnahmen diese Beeinträchtigungen ausgleichen können.

Handelt es sich um private Geräte, klären Sie die näheren Umstände. Hier sind v.a. die Vereinbarungen mit den Telearbeitern von Interesse. Zu klären ist mindestens, welche Möglichkeiten der Verantwortliche hat, im Zweifel auf die Daten zuzugreifen, auch bei unvorhergesehener Abwesenheit und insbesondere bei Kündigung.

Beim betrieblichen Arbeitsplatz im Büro wird eine Anbindung über das LAN bzw. WLAN mit der IT im Unternehmen sowie dem Internet hergestellt. Dort sind die erforderlichen Schnittstellen vorhanden. Zu prüfen ist jetzt, wie sich das beim mobilen Arbeiten verhält.

  • Sind die Router, die beim mobilen Arbeiten oder im Homeoffice verwendet werden, bekannt?
  • Ist v.a. bekannt, ob die Einstellungen hinreichend sicher sind?

Kann die interne IT auf den Router per Fernzugriff zugreifen, sollte geklärt werden, ob das seitens der IT bei der Einrichtung des mobilen Arbeitsplatzes stattgefunden hat, und wenn ja, mit welchem Ergebnis. Prüfen Sie insgesamt, welche Einstellungen beim Router vorhanden sind. Zu dokumentieren ist auch, ob die LAN- oder WLAN-Zugänge hinreichend mit Passwörtern oder Multifaktorauthentifizierung (MFA) geschützt sind und wer die Router sonst noch nutzt (Familie, WG-Mitbewohner usw.).

Gehen Sie die Router-Einstellungen anlässlich der Überprüfung zusammen mit der beschäftigten Person durch. Achten Sie dabei besonders darauf, inwieweit eine sichere Anbindung an die Systeme im Unternehmen möglich ist.

Die häufigsten Varianten der Geräteanbindung

Prüfen Sie, welche Variante vorliegt, ob möglicherweise mehrere Varianten im Einsatz sind und welche Regelungen vorhanden sind:

  • Remote Desktop: Der Rechner am Arbeitsplatz im Büro bleibt, ein zweiter (dienstliches oder privates Notebook, anderer Rechner) wird über Remote Desktop angebunden. Dies kann z.B. über Windows 10 Pro oder Enterprise erfolgen. Auch für andere Betriebssysteme wie Linux gibt es Lösungen.
  • VPN: Der Rechner ist vom Arbeitsplatz im Büro an den privaten Arbeitsplatz umgezogen. Nun greift der Beschäftigte mit VPN auf die IT-Infrastruktur des Unternehmens oder die Behörde zu.
  • Isolierte Lösung: Der Mitarbeiter arbeitet auf einer Gerätevariante, die von der IT des Unternehmens abgekoppelt ist. Datenübertragungen zur Sicherung werden so vorgenommen, wie das möglich erscheint.

Systeme für Telefon- und Videokonferenzen

Mobil beschäftigte Personen müssen für Meetings erreichbar sein. Das kann per Telefon- oder Videokonferenz erfolgen. Zu dokumentieren ist, mit welchen Systemen dies geschieht. Klären Sie, ob sich diese Systeme datenschutzkonform betreiben lassen. Bieten Sie ggf. unterstützend Schulungen an.

Prüfen, ob und wie sich die üblichen Aktivitäten fortsetzen lassen

Lassen sich Vereinbarungen zum weisungsgebundenen Arbeiten und zur Vertraulichkeit einhalten?

Lassen sich im Homeoffice oder beim mobilen Arbeiten Vereinbarungen zum weisungsgebundenen Arbeiten, wie sie nach Art. 32 Abs. 4 DSGVO und Art. 24 DSGVO grundsätzlich erforderlich sind, überhaupt umsetzen?

Es kann beispielsweise sein, dass bei bestimmten Tätigkeiten die Daten die Räumlichkeiten des Verantwortlichen nicht verlassen dürfen, etwa bei medizinischer Dokumentation. Wie verhält es sich damit bei mobilem Arbeiten bzw. im Homeoffice? Sollten noch keine Regelungen vorhanden, aber erforderlich sein, dann empfehlen Sie, diese so rasch wie möglich zu erstellen, und beraten Sie dabei.

Sind Auftragsverarbeitungsverträge noch umsetzbar?

Ist der Verantwortliche als Auftragsverarbeiter tätig, prüfen Sie, ob sich alle vertraglich geregelten Bedingungen auch beim mobilen Arbeiten bzw. im Homeoffice eins zu eins zuverlässig einhalten lassen.

Wie finden Schulungen im Homeoffice statt?

Unterweisungen zum Thema Datenschutz und zu anderen zentralen Themen wie Informationssicherheit müssen auch in Zeiten stattfinden, in denen beschäftigte Personen mobil arbeiten oder im Homeoffice sind. Zu beachten ist, dass es sich um gesetzliche Pflichtschulungen handelt, Durchführung und Teilnahme also verbindlich sind.

Schulungen lassen sich beispielsweise über E-Learnings realisieren. Hier weisen die Mitarbeitenden per Abschlusstest und Teilnahmezertifikat nach, dass sie die Schulung komplett durchlaufen haben (sieh etwa https://shop.weka.de/mitarbeiterschulung-grundlagen-des-datenschutzes-cbt).

Über entsprechende Videokonferenzsysteme lassen sich Schulungen sogar sozusagen in Präsenz durchführen. Videokonferenzsysteme ermöglichen es, im Protokoll über die Sitzung festzustellen, wer sich mit einer bestimmten E-Mail-Adresse von wann bis wann zugeschaltet hatte.

Auf Ihrem „Audit-Zettel“ muss also auch stehen, zu prüfen, ob die Unterweisungen auch bei mobilem Arbeiten stattgefunden haben – sofern Sie als DSB sie nicht selbst organisiert haben.

Drucken, Scannen erforderlich?

Normalerweise müssen die Kolleginnen und Kollegen beim mobilen Arbeiten oder im Homeoffice nicht drucken. Deswegen gehen viele Verantwortliche davon aus, dass beschäftigte Personen dort keinen Drucker bzw. keine Druckmöglichkeit benötigen.

Die Lebenserfahrung lehrt anderes. Ist dann kein betrieblicher Drucker eingerichtet, greifen Anwender häufig zu privaten Geräten. Gehen Sie also grundsätzlich von der Möglichkeit aus, dass geschäftliche Prozesse bei mobilem Arbeiten auf privaten Druckern landen.

Eine Möglichkeit ist, Unterlagen, die gedruckt werden sollen, an einen Drucker im Unternehmen zu senden. Hierzu muss eine Person, die die Unterlage im Unternehmen in Empfang nehmen soll, informiert sein. Sie muss auch wissen, was mit dem Ausdruck zu geschehen hat. Prüfen Sie auch diesen Vorgang und dokumentieren Sie die Ergebnisse.

Aktenvernichtung prüfen

Gehen Sie davon aus, dass Beschäftigte auch bei mobilem Arbeiten oder im Homeoffice ausgedruckte Unterlagen oder andere Papierunterlagen sicher entsorgen müssen. Dazu können Partikel-Schredder am Arbeitsplatz beitragen.

Eine andere Variante der sicheren Aktenvernichtung ist, die zu vernichtenden Unterlagen mit ins Unternehmen zu bringen. Das ist mit dem Risiko verbunden, dass diese in der Öffentlichkeit transportiert werden. Fragen Sie im Rahmen Ihres Audits nach, ob das mit dem öffentlichen Nahverkehr oder mit dem eigenen Fahrzeug geschieht. Entsprechend sind Sicherheitsvorkehrungen zu definieren – und beim nächsten Audit zu überprüfen, ob die Mitarbeitenden sie tatsächlich einhalten.

Wie ist das Telefonieren geregelt?

Personen, die mobil arbeiten oder im Homeoffice tätig sind, müssen telefonisch erreichbar sein und selbst telefonieren können. Das setzt voraus, die eingehenden Anrufe am Büroarbeitsplatz auf den mobilen Arbeitsplatz umzuleiten und die Rufnummer per VoIP einzurichten, sodass die Mitarbeitenden auch von unterwegs mit der bekannten Telefonnummer telefonieren können.

Die Alternative, dass die Kolleginnen und Kollegen mit privaten Geräten telefonieren, erfordert gesonderte rechtliche Regelungen. Außerdem ist zu klären, wie den Geschäftspartnern mitgeteilt wird, dass Anrufe ab sofort von einer anderen Telefonnummer aus eingehen können.

Das eigentliche Datenschutzaudit des Arbeitsplatzes

Vorbereitung

Es bietet sich an, zur Vorbereitung des virtuellen Audits im Rahmen einer Videokonferenz mit allen betroffenen beschäftigten Personen zu klären, wie und wann die virtuelle Begehung geschieht. Verschicken Sie vorab einen Fragebogen mit den Themen, die Sie überprüfen. Lassen Sie sich den Fragebogen vor dem eigentlichen Überwachungstermin ausgefüllt zurücksenden.

Ablauf des Datenschutzaudits

Das Audit läuft idealerweise ebenfalls über ein Videokonferenzsystem. Konzentrieren Sie sich für die virtuelle Begehung darauf, Fragen zu stellen.

Fordern Sie die Kollegin oder den Kollegen auf, zu erzählen, wie sie oder er den Arbeitsalltag empfindet und wo es Schwierigkeiten gibt. Fragen Sie dann gezielt nach, etwa inwieweit andere Personen, die im Haushalt leben, gemeinsam Schnittstellen wie Router nutzen.

In der Regel dauert eine virtuelle Begehung zehn bis 30 Minuten. Sie ist angemessen zu dokumentieren.

Achtung
Eine Möglichkeit, ein Audit virtuell durchzuführen, ist, dass ein Beschäftigter, der mobil oder im Homeoffice arbeitet, mit eingeschalteter Smartphone-Kamera im virtuellen Audit durch die Räumlichkeiten geht und dem Auditor zeigt, wie er die Vorgaben einhält.

Dieses Vorgehen ist meist nicht empfehlenswert. Denn dabei kann es sich um einen unerlaubten Eingriff in die Privatsphäre handeln. Prüfen Sie auf jeden Fall, ob die zu erwartenden Erkenntnisse das Risiko rechtfertigen, sollten Sie tatsächlich eine solche Begehung durchführen wollen.

Bewertung vornehmen mit Ergebnis

Die Dokumentation mit einer Bewertung, die Sie z.B. in Excel vornehmen, sollte ergeben, wie viel Prozent der geforderten Sicherheitsmaßnahmen der Beschäftigte bzw. der Arbeitgeber tatsächlich umgesetzt und erreicht hat. Das hat den Vorteil, dass einigermaßen objektive Untersuchungsergebnisse vorliegen. Und das, obwohl Sie nicht vor Ort waren.

Am Ende steht ein Ergebnis in Form eines Prozentwerts. Stimmen Sie das Ergebnis mit der beschäftigten Person ab. Besprechen Sie es zudem mit den Vorgesetzten und der Geschäftsleitung.

Dokumentieren Sie erkannte Abweichungen oder Empfehlungen. Wirken Sie darauf hin, dass diese Abweichungen zu Veränderungen führen. Erfolgt eine weitere virtuelle Begehung des mobilen Arbeitsplatzes, sind Ihre Anmerkungen Grundlage der erneuten Überprüfung.

Wichtige Fragen fürs Datenschutzaudit im HomeofficeFazit: Auch so sind Datenschutzaudits möglich

Die Überwachungsaufgabe, die die DSGVO den Datenschutzbeauftragten auferlegt, müssen sie auch bei mobilem Arbeiten oder im Homeoffice erfüllen. Selbst wenn keine reale Begehung möglich ist: Mit wenigen Abstrichen führen auch virtuelle Begehungen zu aufschlussreichen Ergebnissen.

Finden sich Schwachstellen, sind Verantwortlicher und Beschäftigte gefragt, sie zu schließen. Überprüfen Sie in einem erneuten Audit, ob das wirklich passiert ist.

Eberhard Häcker

Eberhard Häcker
Verfasst von
Eberhard Häcker
Eberhard Häcker
Eberhard Häcker ist seit vielen Jahren als externer Datenschutz­beauftragter tätig. Seit 2005 ist Eberhard Häcker selbstständig mit Schwerpunkt Datenschutzberatung.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.