Immer mehr Büroarbeitsplätze werden zu mobilen Arbeitsplätzen. In vielen Fällen ohne hinreichende Vorbereitung und mit Notregelungen, die Unternehmen und Behörden mit heißer Nadel gestrickt haben. Dadurch sind Lücken beim Datenschutz und bei der Informationssicherheit entstanden. Gleichwohl sind Datenschutzbeauftragte (DSB) verpflichtet, die Einhaltung der Datenschutz-Grundverordnung (DSGVO) zu überwachen. Das ist keine fakultative Aufgabe, sondern verpflichtend.
Um den Datenschutz bei mobilem Arbeiten oder im Homeoffice gesetzeskonform überwachen zu können, müssen DSB die Unterschiede kennen. Eine Datenschutzüberwachung im Homeoffice erfolgt unter anderen Maßgaben als beim mobilen Arbeiten. DSB müssen also zunächst herausfinden, mit welcher Variante der Verantwortliche arbeitet.
Mobiles Arbeiten oder Homeoffice?
Mobiles Arbeiten und Homeoffice sind nicht identisch. Bei mobilem Arbeiten stellt der Arbeitgeber den beschäftigen Personen das erforderliche Equipment zur Verfügung, damit sie nicht auf einen festen Arbeitsplatz angewiesen sind. Beschäftigte Personen müssen dabei nicht zwingend von zu Hause arbeiten. Sie müssen lediglich erreichbar sein.
Im Homeoffice arbeiten Beschäftigte von einem fest eingerichteten Arbeitsplatz aus. Hier muss der Arbeitgeber dafür sorgen, dass dieser Arbeitsplatz denselben gesetzlichen Anforderungen genügt wie der betriebliche Arbeitsplatz. Die Arbeit muss demzufolge von einem festen, geprüften Arbeitsplatz aus erfolgen. Sobald der Arbeitgeber den Arbeitsplatz einrichtet, muss er die umfassenden Regelungen der Arbeitsstättenverordnung anwenden.
Möglicherweise ist den Verantwortlichen der Unterschied selbst nicht geläufig oder nur unscharf definiert. So können im Vorfeld Spezifikationen nötig sein.
Überblick verschaffen über geltende Regelungen
Ist geklärt, um welche Form es geht, geht es im nächsten Schritt darum, sich einen Überblick zu verschaffen, ob es zum Thema mobiles Arbeiten und / oder Arbeiten im Homeoffice bereits verbindliche Vorgaben gibt. Die Corona-Pandemie hat ja mobiles Arbeiten und Homeoffice nicht erst erfunden. Prüfen Sie, ob schon (ältere) Regelungen vorhanden und ob sie für die derzeitige Situation anwendbar sind.
Stoßen Sie auf vorhandene Regelungen, ist das in jedem Fall eine gute Prüfungsgrundlage. Gibt es noch keine Regelungen, ist jetzt der richtige Zeitpunkt, solche Regeln zu erarbeiten.
Möglicherweise unterschiedliche Regeln
Es kann aber sozusagen auch ein „Dazwischen“ geben: Das ist der Fall, wenn schon vor der Pandemie für eine begrenzte Anzahl von Arbeitsplätzen im Homeoffice oder für Arbeitsumgebungen für mobiles Arbeiten verbindliche Regelungen bestanden. Mit dem Lockdown waren jedoch plötzlich viel mehr Beschäftigte darauf angewiesen, mobil zu arbeiten. So entstanden z.T. neue, von den bisherigen Regelungen abweichende Vorgaben.
Was wird wirklich angewendet? Gibt es BVs?
Falls die Beschäftigten bereits Vorgaben bekommen haben, prüfen Sie zunächst, ob diese in der aktuellen Situation auch angewendet werden oder ob Sonderregelungen zum Einsatz kommen. Nicht immer sind Datenschutzbeauftragte in Absprachen mit beschäftigten Personen eingebunden. Vielleicht gibt es auch eine Betriebsvereinbarung (BV), die Ihnen als DSB noch nicht bekannt ist.
Räumliche Beschreibung des jeweiligen Arbeitsplatzes beschaffen
Zwar ist durchaus denkbar, dass ein Besuch des Datenschutzbeauftragten im Homeoffice unter Einhaltung der Hygienevorschriften möglich ist. Es wird jedoch nicht immer eine willkommene oder überhaupt erlaubte Möglichkeit sein.
Holen Sie sich daher eine Beschreibung des Arbeitsplatzes ein, den Sie unter die Lupe nehmen möchten. Idealerweise bekommen Sie eine Skizze, aus der hervorgeht, ob der Mitarbeitende den Arbeitsraum verschließen kann und inwieweit Fenster vorhanden sind, durch die jemand von außen den Bildschirm einsehen oder feststellen kann, welche anderen Aktivitäten hier stattfinden.
Möglicherweise ist eine solche Beschreibung des Arbeitsplatzes ja auch schon Bestandteil des Umzugs zum mobilen Arbeiten oder ins Homeoffice. Dann liegt sie bereits vor.
Überblick über die Technik verschaffen
Rechner (Notebook, PC)
Ein wesentlicher Bestandteil ist die Prüfung, welche Technik zum Einsatz kommt. Lassen Sie sich beschreiben, ob es sich um dienstliche oder um private Geräte handelt.
Handelt es sich um dienstliche Systeme, ist zu prüfen, ob dieselben Anwendungsbedingungen gelten wie am Büroarbeitsplatz. Sofern es Unterschiede gibt, prüfen Sie, ob sie sich auf den Datenschutz auswirken können. Ist das der Fall, überlegen Sie, welche technischen und organisatorischen Maßnahmen diese Beeinträchtigungen ausgleichen können.
Handelt es sich um private Geräte, klären Sie die näheren Umstände. Hier sind v.a. die Vereinbarungen mit den Telearbeitern von Interesse. Zu klären ist mindestens, welche Möglichkeiten der Verantwortliche hat, im Zweifel auf die Daten zuzugreifen, auch bei unvorhergesehener Abwesenheit und insbesondere bei Kündigung.
Beim betrieblichen Arbeitsplatz im Büro wird eine Anbindung über das LAN bzw. WLAN mit der IT im Unternehmen sowie dem Internet hergestellt. Dort sind die erforderlichen Schnittstellen vorhanden. Zu prüfen ist jetzt, wie sich das beim mobilen Arbeiten verhält.
- Sind die Router, die beim mobilen Arbeiten oder im Homeoffice verwendet werden, bekannt?
- Ist v.a. bekannt, ob die Einstellungen hinreichend sicher sind?
Kann die interne IT auf den Router per Fernzugriff zugreifen, sollte geklärt werden, ob das seitens der IT bei der Einrichtung des mobilen Arbeitsplatzes stattgefunden hat, und wenn ja, mit welchem Ergebnis. Prüfen Sie insgesamt, welche Einstellungen beim Router vorhanden sind. Zu dokumentieren ist auch, ob die LAN- oder WLAN-Zugänge hinreichend mit Passwörtern oder Multifaktorauthentifizierung (MFA) geschützt sind und wer die Router sonst noch nutzt (Familie, WG-Mitbewohner usw.).
Gehen Sie die Router-Einstellungen anlässlich der Überprüfung zusammen mit der beschäftigten Person durch. Achten Sie dabei besonders darauf, inwieweit eine sichere Anbindung an die Systeme im Unternehmen möglich ist.
Die häufigsten Varianten der Geräteanbindung
Prüfen Sie, welche Variante vorliegt, ob möglicherweise mehrere Varianten im Einsatz sind und welche Regelungen vorhanden sind:
- Remote Desktop: Der Rechner am Arbeitsplatz im Büro bleibt, ein zweiter (dienstliches oder privates Notebook, anderer Rechner) wird über Remote Desktop angebunden. Dies kann z.B. über Windows 10 Pro oder Enterprise erfolgen. Auch für andere Betriebssysteme wie Linux gibt es Lösungen.
- VPN: Der Rechner ist vom Arbeitsplatz im Büro an den privaten Arbeitsplatz umgezogen. Nun greift der Beschäftigte mit VPN auf die IT-Infrastruktur des Unternehmens oder die Behörde zu.
- Isolierte Lösung: Der Mitarbeiter arbeitet auf einer Gerätevariante, die von der IT des Unternehmens abgekoppelt ist. Datenübertragungen zur Sicherung werden so vorgenommen, wie das möglich erscheint.
Systeme für Telefon- und Videokonferenzen
Mobil beschäftigte Personen müssen für Meetings erreichbar sein. Das kann per Telefon- oder Videokonferenz erfolgen. Zu dokumentieren ist, mit welchen Systemen dies geschieht. Klären Sie, ob sich diese Systeme datenschutzkonform betreiben lassen. Bieten Sie ggf. unterstützend Schulungen an.
Prüfen, ob und wie sich die üblichen Aktivitäten fortsetzen lassen
Lassen sich Vereinbarungen zum weisungsgebundenen Arbeiten und zur Vertraulichkeit einhalten?
Lassen sich im Homeoffice oder beim mobilen Arbeiten Vereinbarungen zum weisungsgebundenen Arbeiten, wie sie nach Art. 32 Abs. 4 DSGVO und Art. 24 DSGVO grundsätzlich erforderlich sind, überhaupt umsetzen?
Es kann beispielsweise sein, dass bei bestimmten Tätigkeiten die Daten die Räumlichkeiten des Verantwortlichen nicht verlassen dürfen, etwa bei medizinischer Dokumentation. Wie verhält es sich damit bei mobilem Arbeiten bzw. im Homeoffice? Sollten noch keine Regelungen vorhanden, aber erforderlich sein, dann empfehlen Sie, diese so rasch wie möglich zu erstellen, und beraten Sie dabei.
Sind Auftragsverarbeitungsverträge noch umsetzbar?
Ist der Verantwortliche als Auftragsverarbeiter tätig, prüfen Sie, ob sich alle vertraglich geregelten Bedingungen auch beim mobilen Arbeiten bzw. im Homeoffice eins zu eins zuverlässig einhalten lassen.
Wie finden Schulungen im Homeoffice statt?
Unterweisungen zum Thema Datenschutz und zu anderen zentralen Themen wie Informationssicherheit müssen auch in Zeiten stattfinden, in denen beschäftigte Personen mobil arbeiten oder im Homeoffice sind. Zu beachten ist, dass es sich um gesetzliche Pflichtschulungen handelt, Durchführung und Teilnahme also verbindlich sind.
Schulungen lassen sich beispielsweise über E-Learnings realisieren. Hier weisen die Mitarbeitenden per Abschlusstest und Teilnahmezertifikat nach, dass sie die Schulung komplett durchlaufen haben (sieh etwa https://shop.weka.de/mitarbeiterschulung-grundlagen-des-datenschutzes-cbt).
Über entsprechende Videokonferenzsysteme lassen sich Schulungen sogar sozusagen in Präsenz durchführen. Videokonferenzsysteme ermöglichen es, im Protokoll über die Sitzung festzustellen, wer sich mit einer bestimmten E-Mail-Adresse von wann bis wann zugeschaltet hatte.
Auf Ihrem „Audit-Zettel“ muss also auch stehen, zu prüfen, ob die Unterweisungen auch bei mobilem Arbeiten stattgefunden haben – sofern Sie als DSB sie nicht selbst organisiert haben.
Drucken, Scannen erforderlich?
Normalerweise müssen die Kolleginnen und Kollegen beim mobilen Arbeiten oder im Homeoffice nicht drucken. Deswegen gehen viele Verantwortliche davon aus, dass beschäftigte Personen dort keinen Drucker bzw. keine Druckmöglichkeit benötigen.
Die Lebenserfahrung lehrt anderes. Ist dann kein betrieblicher Drucker eingerichtet, greifen Anwender häufig zu privaten Geräten. Gehen Sie also grundsätzlich von der Möglichkeit aus, dass geschäftliche Prozesse bei mobilem Arbeiten auf privaten Druckern landen.
Eine Möglichkeit ist, Unterlagen, die gedruckt werden sollen, an einen Drucker im Unternehmen zu senden. Hierzu muss eine Person, die die Unterlage im Unternehmen in Empfang nehmen soll, informiert sein. Sie muss auch wissen, was mit dem Ausdruck zu geschehen hat. Prüfen Sie auch diesen Vorgang und dokumentieren Sie die Ergebnisse.
Aktenvernichtung prüfen
Gehen Sie davon aus, dass Beschäftigte auch bei mobilem Arbeiten oder im Homeoffice ausgedruckte Unterlagen oder andere Papierunterlagen sicher entsorgen müssen. Dazu können Partikel-Schredder am Arbeitsplatz beitragen.
Eine andere Variante der sicheren Aktenvernichtung ist, die zu vernichtenden Unterlagen mit ins Unternehmen zu bringen. Das ist mit dem Risiko verbunden, dass diese in der Öffentlichkeit transportiert werden. Fragen Sie im Rahmen Ihres Audits nach, ob das mit dem öffentlichen Nahverkehr oder mit dem eigenen Fahrzeug geschieht. Entsprechend sind Sicherheitsvorkehrungen zu definieren – und beim nächsten Audit zu überprüfen, ob die Mitarbeitenden sie tatsächlich einhalten.
Wie ist das Telefonieren geregelt?
Personen, die mobil arbeiten oder im Homeoffice tätig sind, müssen telefonisch erreichbar sein und selbst telefonieren können. Das setzt voraus, die eingehenden Anrufe am Büroarbeitsplatz auf den mobilen Arbeitsplatz umzuleiten und die Rufnummer per VoIP einzurichten, sodass die Mitarbeitenden auch von unterwegs mit der bekannten Telefonnummer telefonieren können.
Die Alternative, dass die Kolleginnen und Kollegen mit privaten Geräten telefonieren, erfordert gesonderte rechtliche Regelungen. Außerdem ist zu klären, wie den Geschäftspartnern mitgeteilt wird, dass Anrufe ab sofort von einer anderen Telefonnummer aus eingehen können.
Das eigentliche Datenschutzaudit des Arbeitsplatzes
Vorbereitung
Es bietet sich an, zur Vorbereitung des virtuellen Audits im Rahmen einer Videokonferenz mit allen betroffenen beschäftigten Personen zu klären, wie und wann die virtuelle Begehung geschieht. Verschicken Sie vorab einen Fragebogen mit den Themen, die Sie überprüfen. Lassen Sie sich den Fragebogen vor dem eigentlichen Überwachungstermin ausgefüllt zurücksenden.
Ablauf des Datenschutzaudits
Das Audit läuft idealerweise ebenfalls über ein Videokonferenzsystem. Konzentrieren Sie sich für die virtuelle Begehung darauf, Fragen zu stellen.
Fordern Sie die Kollegin oder den Kollegen auf, zu erzählen, wie sie oder er den Arbeitsalltag empfindet und wo es Schwierigkeiten gibt. Fragen Sie dann gezielt nach, etwa inwieweit andere Personen, die im Haushalt leben, gemeinsam Schnittstellen wie Router nutzen.
In der Regel dauert eine virtuelle Begehung zehn bis 30 Minuten. Sie ist angemessen zu dokumentieren.
Fazit: Auch so sind Datenschutzaudits möglich
