Homeoffice: IT-Sicherheit und Datenschutz beachten

Unternehmen, die der IT-Sicherheit und dem Datenschutz nur wenig Beachtung schenken, handeln fahrlässig und können für ein solches Verhalten haftbar gemacht werden, mit weitreichenden finanziellen und rechtlichen Folgen für das Unternehmen und sogar für die handelnden Personen selbst.

IT-Sicherheit, Geheim- und Datenschutz, sind Themen, mit denen sich Unternehmen vielerorts in Zeiten der Coronapandemie besonders beschäftigen müssen, wenn Mitarbeiter von zu Hause aus auf Firmennetzwerke und Daten zugreifen. Dabei ist gleich zu Beginn eine wichtige Unterscheidung hinsichtlich der Verantwortlichkeit und der Ausgestaltung von Homeoffice-Plätzen zu treffen, nämlich zwischen einem Telearbeitsplatz und dem, was landläufig als Homeoffice bezeichnet wird. Bei einem Telearbeitsplatz richtet der Arbeitgeber diesen Platz beim Arbeitnehmer ein und trägt für die Einhaltung der arbeitsschutzrechtlichen Regeln die alleinige Verantwortung. Bei einer (vorübergehenden) Tätigkeit im Homeoffice ist der Arbeitgeber lediglich zur detaillierten Information über den Arbeitsschutz angehalten. Davon unabhängig trägt der Arbeitgeber die Verantwortung für die Sicherheit des Datenzugriffs von außerhalb der regulären Arbeitsstätte.

Sehr häufig sind Endgeräte, die Arbeitnehmer nutzen dürfen, per VPN-Zugang mit dem Firmennetzwerk verbunden und Festplatten verschlüsselt. Was oftmals nicht in die Einzelfallbetrachtung des Arbeitnehmerarbeitsplatzes bei einer Tätigkeit im Homeoffice mit einfließt, sind Peripheriegeräte wie Scanner oder Drucker. Da diese mittlerweile oft über ein Heimnetzwerk miteinander verbunden sind, besteht hier das Risiko eines Einfallstors von außen. Ebenso steht die Frage im Raum, wie der heimische Router abgesichert ist. Auch hier können sich im Gegensatz zu einem Firmennetzwerk andere und höhere Risiken ergeben. Bei Multifunktionsgeräten etwa ist nicht nur die Verbindung des Drucker/Scanners mit dem heimischen (Firmen)rechner unter Umständen problematisch, sondern auch die Geräte und die Speicherung von Daten selbst, etwa, wenn Ausdrucke oder Scans virtuell im Drucker/Scanner verbleiben und dort abgegriffen werden könnten. Was passiert, wenn das Gerät entsorgt oder verkauft wird? Sind dann alle Daten des Vorbesitzers auch „rückstandsfrei“ gelöscht? Gerade sensible Dokumente, wie solche, die unter den Geheimschutz fallen, müssen in ausgedruckter Form besonders gesichert sein, in einem abschließbaren Aktenschrank etwa. Das Thema Papier und Ausdruck ist daher für Mitarbeite im Homeoffice nicht zu unterschätzen, zumal dann, wenn kein eigentliches Arbeitszimmer vorhanden ist und die Arbeit dort erledigt werden muss, so auch andere Zugriff auf solche Daten haben könnten. Der Arbeitgeber ist hier angehalten, seine Mitarbeiter für diese Fälle zu sensibilisieren und nach Möglichkeit, Lösungen anzubieten, wie verschließbare Rollschränke und ähnliches.

Das Diebstahlsrisiko bezüglich der Mobilgeräte zu Hause ist gerade ohne verschließbares Arbeitszimmer nicht zu unterschätzen und sollte neben der Festplattenverschlüsselung auch durch physische Sicherungen (zum Beispiel Kensington-Schloss) gefixt werden. Bei einem ausgewiesenen Telearbeitsplatz sind diese Maßnahmen dagegen ohnehin alle arbeitgeberseitig zu organisieren und bereitzustellen. Arbeitgeber tun gut daran, die wichtigen Punkte in Homeoffice-Richtlinien niederzulegen, auch im Sinne des Risikomanagements, damit alles dokumentiert ist, um eventuellen haftungsrechtlichen Fragen vorzubeugen.