Die Vorsorgemaßnahmen zur Eindämmung der Corona-Pandemie führten in nahezu allen Bereichen des täglichen Lebens zu Einschränkungen. Um die Kontakte zu anderen Menschen möglichst minimal zu halten, gehörte hierzu in sehr vielen Fällen auch das Arbeiten von Zuhause. Seitdem hat sich das Home-Office als Alternative zur Arbeit am regulären Arbeitsplatz weitgehend etabliert. In vielen Fällen ist es dabei kaum vermeidbar, dass auch personenbezogene Daten verarbeitet werden. Deshalb gelten auch für das Home-Office Regeln für ein datenschutzgerechtes Arbeiten, die unbedingt eingehalten werden müssen.

• Arbeitgeber:innen sollten Regelungen zum Datenschutz und zur Sicherheit im Home-Office treffen und den Beschäftigten verständlich und nachvollziehbar erläutern. Als Hilfestellung können die Hinweise in der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebenen Broschüre Home Office? – Aber sicher! und die vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) veröffentlichte Information Telearbeit und Mobiles Arbeiten herangezogen werden.

• In den Regelungen sollten die Kontaktdaten von Personen aufgeführt werden, die in datenschutzrechtlichen Zweifelsfällen oder bei informationstechnischen Problemen Hilfestellung geben. Es sollte auch erläutert werden, wie vorzugehen ist, wenn eine Verletzung des Schutzes personenbezogener Daten vermutet wird.

• Vor allem diejenigen Berufsgruppen, die mit besonders geschützten Daten arbeiten, beispielsweise im medizinischen Kontext oder bei psychologischen Beratungen, sollten in besonderer Weise auf die Einhaltung datenschutzrechtlicher Grundsätze achten. Die Nutzung von Plattformen etwa zur videogestützten Online-Beratung beinhaltet oft eine Vielzahl von Risiken, die sorgsam mit den Vorteilen abgewogen werden müssen.

• Papierunterlagen müssen sicher transportiert werden. Der Transport von sensiblen personenbezogenen Unterlagen in öffentlichen Verkehrsmitteln darf nur in verschlossenen Behältern vorgenommen werden. Besser ist, auf ein dienstliches oder auch privates Fahrzeug auszuweichen.

• Im Home-Office sollen personenbezogene Unterlagen so aufbewahrt werden, dass Unbefugte sie nicht einsehen können. Auch auf Ausdrucke auf einem von mehreren Personen genutzten Drucker ist zu achten. Solange kein separates, abschließbares Zimmer für das Home-Office zur Verfügung steht, gehören die Unterlagen nach Abschluss der Arbeiten zumindest in einen verschlossenen Schrank.

• Personenbezogene Unterlagen, die zu vernichten sind, sollen gesammelt, bei nächster Gelegenheit zur Arbeitsstelle mitgenommen und dort der üblichen Vernichtung zugeführt werden. Es kann auch ein heimischer Büro-Aktenvernichter verwendet werden, wenn er das Papier ausreichend klein zerteilt (Partikelschnitt P-4 empfohlen, bei Träger:innen von Berufsgeheimnissen P-5).

• Alle mobilen elektronischen Speicher (USB-Sticks, externe Festplatten), auf denen personenbezogene Daten gespeichert werden, sollen verschlüsselt werden. Alle üblichen Betriebssysteme bieten hierfür unmittelbar anwendbare Funktionen an. Bei Windows 10 heißt die Technik Bitlocker. Auch spezielle Software, beispielsweise Veracrypt, ist gut geeignet. Für Speicher, die Datensicherungen aufnehmen, kann auch auf die Verschlüsselungsfunktion der jeweiligen Sicherungssoftware zurückgegriffen werden, wenn sie dem Stand der Technik entspricht.

• Notebooks, Tablets und Smartphones benötigen einen starken Passwortschutz und verschlüsselten Speicher. Berufliche Daten über Beschäftige und Dritte, die über Kontaktdaten hinausgehen, dürfen auf privaten Geräten allenfalls kurzzeitig gespeichert werden. Besonders geschützte Daten gehören auf dienstliche Geräte.

• Derartige Daten oder personenbezogene Daten in großem Umfang sollten nicht auf Geräten im Home-Office, sondern direkt auf Servern im Unternehmen bzw. in der Arbeitsstelle gespeichert werden. Dafür empfiehlt sich die Arbeit direkt auf diesen Servern über einen geschützten Fernzugriff.

• Die Speicherung können auch zuverlässige Dienstleister:innen übernehmen, wenn sie datenschutzgerecht beauftragt wurden. Die Dienstleister:innen sollten die Daten in der Europäischen Union (EU) oder in einem ähnlich sicher geltenden Land speichern und auch dort ihren Sitz haben. Auch hier ist eine Verschlüsselung vorzusehen. Bei besonders geschützten Daten sollte das Unternehmen bzw. die Behörde allein über den Schlüssel zur Entschlüsselung verfügen. Liegt der Schlüssel in der Hand der bzw. des Beschäftigten, sollte dieser beim Unternehmen bzw. bei der Behörde hinterlegt werden.

• Soweit private Geräte zum Einsatz kommen, sollen private und berufliche Daten voneinander getrennt werden. Auf Computern sollten je ein Konto für private und für berufliche Zwecke eingerichtet werden. Für Smartphones und Tablets stellen die Betriebssystemhersteller:innen entsprechende Techniken zur Verfügung. Wem die Einrichtung zu kompliziert erscheint, der verwendet am besten separate Geräte.

• Besonders geschützte personenbezogene Daten (etwa Daten zur Gesundheit, zu politischen oder weltanschaulichen Ansichten, zur Gewerkschaftszugehörigkeit oder zur sexuellen Orientierung) dürfen nur auf dienstlichen Geräten verarbeitet werden.

• Bildschirme müssen so aufgestellt werden, dass sie nicht durch Unbefugte eingesehen werden können. Es sind regelmäßig Datensicherungen vorzunehmen.

• Der private Internetanschluss kann mitverwendet werden. Das im Home-Office genutzte WLAN muss mit einem nicht-erratbaren Passwort (mit den Verfahren WPA2 oder besser: WPA3) verschlüsselt werden. Der verwendete Computer soll über ein Virtuelles Privates Netz (VPN) mit dem Unternehmens- bzw. Behördennetz verbunden werden. Das muss von demjenigen Router unterstützt werden, mit dem das Unternehmen bzw. die Behörde an das Internet angeschlossen wird. Kleine Unternehmen können entsprechende Funktionen ihrer Router nutzen.

• Es sollten keine Zugriffe von außen auf die Arbeitsgeräte und das Netzwerk in der zur Arbeit genutzten Wohnung zugelassen werden. Die Router, die den Internetanschluss bereitstellen, verfügen in der Regel über eine einfache Firewall, die solche Zugriffe unterbindet.

• Beim Öffnen von Links und Dokumenten in unerwarteten Nachrichten ist besondere Vorsicht geboten. Viele Schutzmaßnahmen, die innerhalb des Netzwerks des Unternehmens bzw. der Behörde greifen, stehen zuhause nicht zur Verfügung. Programme zur Bekämpfung von Schadsoftware (Anti-Viren-Programme) sind auf allen Computern Pflicht, reichen jedoch nicht aus, um alle Angriffe zu erkennen. Dies hat sich besonders deutlich bei der letzten Welle von Infektionen durch Erpressungstrojaner gezeigt. Deswegen bedarf es eines gesunden Misstrauens der Beschäftigten.

• Private und dienstliche Datenträger sind zu trennen. Dienstliche Computer und Smartphones sollten nur mit dienstlichen Datenträgern verbunden werden und umgekehrt. Daten aus dem Home-Office sollen über eine sichere Netzverbindung in das Büro übermittelt werden, nicht über Datenträger.

• Auf dienstlichen Geräten kann Raum für die private Nutzung eingeräumt werden. Welche Beschränkungen diesem Raum auferlegt werden müssen, hängt vom Schutzbedarf der beruflich verarbeiteten Daten ab.

• Arbeitgeber:innen dürfen jedoch keinen Zugriff auf private Geräte ihrer Beschäftigten nehmen. Zulässig ist es, die Verwendung privater Geräte für dienstliche Zwecke (zur Verarbeitung nicht besonders geschützter Daten) an einfache, sicherheitsrelevante Bedingungen (zum Beispiel eine aktuelle Version des Betriebssystems) zu knüpfen und die Einhaltung dieser Bedingungen ohne Zugriff auf personenbezogene Daten zu überprüfen.

• Es ist zu empfehlen, dienstlich gestellte Telefone zu verwenden.

• Wer mit Dritten in deren beruflicher Tätigkeit in Kontakt steht, kann – in von den Arbeitgeber:innen gesetzten Grenzen – deren Kontaktdaten auch in einem privaten Gerät speichern. Sofern diese Kontaktdaten nicht öffentlich zugänglich sind und im Telefonbuch gespeichert werden, ist Sorge zu tragen, dass auf das Telefonbuch nicht durch Dritte, etwa durch auf dem Gerät installierte Apps, zugegriffen werden kann.

• Kontaktdaten von Privatpersonen, bei denen bereits der Umstand, dass Kontakt besteht, sensibel zu behandeln ist, gehören jedoch ausschließlich auf Dienstgeräte.

• Telefone speichern üblicherweise Angaben über die geführten Telefongespräche. Diese sind in regelmäßigen Abständen zu löschen.

• Es können alle Messenger verwendet werden, die eine Ende-zu-Ende-Verschlüsselung nach dem Stand der Technik bieten und deren Betreiber:innen keine Angaben über die gesendeten und empfangenen Nachrichten oder die Nutzung der App für eigene Zwecke verarbeiten (diese Anforderungen erfüllt WhatsApp beispielsweise nicht). Werden diese Umstände aus den Datenschutzerklärungen der oder des Betreibenden nicht deutlich, ist deren oder dessen Dienst voraussichtlich für die Nutzung nicht geeignet.

• Arbeitgeber:innen können die Verwendung eines Messengers auf einem privaten Gerät nicht verlangen, der zwangsweise Zugriff auf das Telefonbuch des Geräts nimmt.

• Die Übermittlung besonders geschützter Daten mit einem Messenger ist nur unter eingeschränkten Bedingungen zulässig.

• Videotelefonie und Videokonferenzen sollen über verschlüsselte Kanäle abgewickelt werden. Dies betrifft sowohl die Vermittlung als auch die Übertragung der Ton- und Bilddaten. Bei der Videotelefonie soll dies eine Ende-zu-Ende-Verschlüsselung bewirken.

• Die Bereitstellung des Videokonferenzdiensts können zuverlässige Dienstleister:innen übernehmen, wenn diese datenschutzgerecht beauftragt wurden und die Betreiber:innen keine Angaben über die Beschäftigten und deren Kommunikation oder die Nutzung der Software für eigene Zwecke verarbeiten. Die Dienstleister:innen sollten die Daten in der EU oder in einem als vergleichbar sicher geltenden Land speichern und auch dort ihren Sitz haben.

• Da eine Ende-zu-Ende-Verschlüsselung bei einer Videokonferenz mit mehr als zwei Teilnehmer:innen vielfach nicht möglich ist, wird empfohlen, ausschließlich auf Anbieter:innen in der EU, der Europäischen Freihandelsassoziation (EFTA) oder der Schweiz zurückzugreifen, wenn innerhalb der Videokonferenz besonders geschützte Daten besprochen werden sollen. Träger:innen von Berufsgeheimnissen dürfen nur Dienstleister:innen einsetzen, die bei einem Vertraulichkeitsbruch strafrechtlich belangt werden können.

• Am besten – wenn auch oft nicht mit verhältnismäßigem Aufwand zu leisten – ist die Bereitstellung eines eigenen Diensts mit öffentlich verfügbarer Software. Alternativ sollte überlegt werden, ob anstelle einer Videokonferenz auch eine Telefonkonferenz ausreichen könnte, um die gewünschte Abstimmung untereinander herbeizuführen. Diese kann sehr viel leichter datenschutzgerecht durchgeführt werden.