Wie können Unternehmen sicherstellen, dass ihre Mitarbeitenden auch beim mobilen Arbeiten und im Homeoffice bearbeitete Personendaten ausreichend schützen und so die Compliance des Unternehmens wahren? Unsere Anleitung verschafft Klarheit!
Das Problem beim mobilen Arbeiten
Mobiles Arbeiten und Homeoffice sind mittlerweile feste Bestandteile der modernen Arbeitswelt. Viele Unternehmen schätzen die Flexibilität und Effizienz, die dezentrales Arbeiten mit sich bringt. Dabei wird jedoch häufig übersehen, dass der Datenschutz und die Datensicherheit auch ausserhalb der Geschäftsräume eingehalten werden müssen. Gerade beim Arbeiten von unterwegs oder aus dem privaten Umfeld steigt das Risiko unbefugter Zugriffe, Einsichtnahmen oder unbeabsichtigter Offenlegungen deutlich an.
Die Gefahr eines Datenmissbrauchs, die begrenzten Kontrollmöglichkeiten des Arbeitgebers und die räumliche Nähe zu unternehmensfremden Personen machen deutlich, dass mobiles Arbeiten datenschutzrechtlich vor allem eine Frage der sicheren Bearbeitung ist.
Mobiles Arbeiten umfasst alle Tätigkeiten ausserhalb der klassischen Unternehmensräumlichkeiten – sei es die Arbeit im Homeoffice, die Tätigkeit in Co-Working-Spaces oder das Arbeiten von unterwegs, etwa im Zug, im Café oder am Flughafen.
Gemeinsam ist allen Varianten, dass Daten die kontrollierte, gesicherte Unternehmensumgebung verlassen. Die datenschutzrechtliche Verantwortung des Unternehmens endet jedoch nicht an der Bürotür. Sowohl nach dem Schweizer Datenschutzgesetz (DSG) als auch nach der Datenschutz-Grundverordnung (DSGVO) bleibt der Arbeitgeber vollumfänglich verantwortlich für sämtliche Personendaten, die Mitarbeitende auch ausserhalb der Geschäftsräume bearbeiten. Diese rechtliche Verantwortlichkeit und die damit verbundenen Haftungsrisiken, insbesondere für Geschäftsführung und Unternehmensleitung, bestehen unabhängig davon, ob Mitarbeitende im Büro, zu Hause oder unterwegs arbeiten.
Tipps für mehr Datenschutz beim mobilen Arbeiten
Schriftliche Festlegung der Regeln
Um diesen Risiken zu begegnen, ist es unerlässlich, dass Unternehmen klare, transparente und verbindliche Regeln für das mobile Arbeiten festlegen. Diese sollten die Einhaltung des Datenschutzes und der Informationssicherheit unabhängig vom Arbeitsort gewährleisten. Dazu gehören Regelungen
- zum Umgang mit sensiblen Daten,
- zu zulässigen Arbeitsorten,
- zu technischen Sicherheitsmassnahmen,
- zum Verhalten in Anwesenheit Dritter und
- zur sicheren Aufbewahrung sowie Entsorgung von Unterlagen.
Empfehlenswert ist, all diese Vorgaben in einer schriftlichen Richtlinie oder einer Betriebsvereinbarung festzuhalten und deren Einhaltung mit den Mitarbeitenden zu vereinbaren. Dies dient nicht nur der Klarheit und der Schulung, sondern auch der Nachweisbarkeit gegenüber Aufsichtsbehörden und reduziert das Risiko von Haftungsfällen.
Sicherer Umgang mit Daten und Arbeitsmitteln
Ein sicherer Umgang mit Daten und Arbeitsmitteln ist beim mobilen Arbeiten und im Homeoffice unerlässlich, um den Schutz sensibler Informationen jederzeit zu gewährleisten. Dazu gehört zunächst, dass Zugangsdaten wie Passwörter oder PINs niemals an Dritte weitergegeben werden dürfen, auch nicht an Kolleginnen und Kollegen.
Darüber hinaus sollten Arbeitsgeräte bei jeder, selbst kurzen, Abwesenheit durch eine Bildschirmsperre geschützt werden.
Ebenso wichtig ist der sichere Transport von Datenträgern und Unterlagen, etwa vom Büro nach Hause oder an andere mobile Arbeitsorte. Technische Hilfsmittel wie Blickschutzfolien oder eine klug gewählte Bildschirmposition helfen dabei, neugierige Blicke zu vermeiden und vertrauliche Informationen vor unbefugter Einsichtnahme zu schützen.
Dokumente sollten stets so aufbewahrt werden, dass keine unbefugte Einsicht möglich ist. Auch die Entsorgung sensibler Dokumente darf ausschliesslich datenschutzkonform, beispielsweise in dafür vorgesehenen Sicherheitsbehältern im Büro erfolgen und keinesfalls im privaten Hausmüll. Idealerweise wird im Homeoffice gar nicht erst gedruckt.
Auch im Homeoffice gilt die Clean-Desk-Policy: Nach Feierabend dürfen keine vertraulichen Dokumente offen herumliegen. Sie sollten idealerweise in einem abschliessbaren Schrank oder zumindest in einer Ablage verwahrt werden, die für Haushaltsmitglieder, insbesondere Kinder oder Besuch, nicht zugänglich ist.
Auch mündliche Informationen sind zu schützen. So sollten berufliche Telefonate nur in Umgebungen geführt werden, in denen keine Dritten mithören können – sei es im häuslichen Umfeld oder auf Reisen, etwa im Zug.
Sicherer Umgang mit der IT-Infrastruktur
Ebenso wichtig ist der sichere Umgang mit der IT-Infrastruktur. Mitarbeitende sollten ausschliesslich geschützte private WLAN-Netzwerke mit einem starken Passwort nutzen. Öffentliche WLANs sind grundsätzlich zu vermeiden, es sei denn, es wird ein VPN eingesetzt.
Betriebssystem, Software und Virenschutz müssen regelmässig aktualisiert werden. Der Versand sensibler Daten sollte stets verschlüsselt erfolgen und generell sollten alle Kommunikationswege technisch abgesichert sein, um Vertraulichkeit, Integrität und Verfügbarkeit der Daten sicherzustellen.
Aus datenschutzrechtlicher Sicht empfiehlt es sich, Mitarbeitenden grundsätzlich dienstliche Geräte bereitzustellen und die Nutzung privater Geräte zu untersagen oder technisch einzuschränken. Nur so kann das Unternehmen sicherstellen, dass Sicherheitsupdates, Virenschutz, Firewalls oder Festplattenverschlüsselung zuverlässig umgesetzt werden. Gerade bei mobilen Endgeräten wie Laptops oder Smartphones ist eine vollständige Verschlüsselung unverzichtbar, um Daten bei Verlust oder Diebstahl vor unbefugtem Zugriff ausreichend zu schützen.
Mitarbeitende sensibilisieren
Da der Arbeitgeber keine unmittelbare Kontrolle über die häusliche Arbeitsumgebung hat, kommt der Sensibilisierung der Mitarbeitenden eine zentrale Bedeutung zu. Sie müssen geschult werden, die besonderen Risiken der mobilen Arbeit zu erkennen und angemessen darauf reagieren zu können.
Die Rolle der Sprachassistenten
Ein besonderes Risiko geht von Sprachassistenten wie Alexa, Siri oder Google Assistant aus. Diese Systeme hören permanent mit, um Sprachbefehle erkennen zu können, und übermitteln Teile der Aufzeichnungen in die Cloud, wo sie bearbeitet und teilweise ausgewertet werden. Es ist vielfach unklar, welche Daten dabei genau erfasst, gespeichert oder weitergegeben werden. Zudem können Sprachassistenten unbeabsichtigt aktiviert werden, etwa bei ähnlich klingenden Worten. Das kann dazu führen, dass vertrauliche Gespräche, Personendaten oder sogar Kundengespräche aufgezeichnet werden – ein besonders hohes Risiko für Berufsgruppen mit Geheimhaltungspflichten.
Daher sollten Sprachassistenten auf allen mobilen Geräten konsequent deaktiviert und smarte Lautsprecher aus dem Arbeitsbereich entfernt oder abgeschaltet werden. Gleiches gilt für privat genutzte Sprachassistenten, die im Homeoffice nicht mithören dürfen.
Orientierung an etablierten Standards
Für die Auswahl geeigneter Sicherheitsmassnahmen können Unternehmen sich an etablierten Standards orientieren, etwa an der ISO 27001 oder an den Vorgaben des BSI-Grundschutzes. Diese enthalten praxisnahe, international anerkannte Massnahmenkataloge zu allen relevanten Themenbereichen der Informationssicherheit, darunter organisatorische Sicherheit, Zugriffskontrolle, Kryptografie, Netzwerk- und Kommunikationssicherheit oder Compliance.
Die Anforderungen gelten unabhängig vom Arbeitsort; entscheidend ist das Risiko der jeweiligen Datenbearbeitung. Nach dem DSG wie auch nach der DSGVO basiert die Risikobewertung auf Art, Umfang, Umständen und Zweck der Bearbeitung sowie auf der Wahrscheinlichkeit eines möglichen Schadens für betroffene Personen.
Datenschutz beim Arbeiten aus dem Ausland
Immer mehr Unternehmen bieten ihren Mitarbeitenden an, auch aus dem Ausland zu arbeiten. In diesem Zusammenhang stellt sich die Frage, wann dies eine Datenübermittlung ins Ausland bedeutet. Dabei greifen Mitarbeitende von einer Ferienwohnung oder als Grenzgänger vom Wohnort aus auf die Server des Unternehmens in der Schweiz zu. Nur solange dieser Zugriff über ein Virtual Private Network (VPN) erfolgt, die Personendaten also genauso wie im Schweizer Büro bearbeitet werden und keine unbefugten Dritten im Ausland Zugriff auf die Daten haben, gilt dies nach dem DSG nicht als Datenübermittlung ins Ausland.
In allen anderen Fällen liegt hingegen eine Datenübermittlung ins Ausland vor, so dass das Unternehmen sicherstellen muss, dass im Zielland ein angemessenes Datenschutzniveau besteht oder geeignete Schutzmassnahmen gemäss Art. 16 Abs. 1 DSG (z.B. Standardvertragsklauseln, Binding Corporate Rules) implementiert werden, bevor Personendaten übertragen werden dürfen. Andernfalls könnte die Übermittlung rechtswidrig sein und zu Haftungsrisiken sowie Bussgeldern führen.
Fazit
Datenschutz und Informationssicherheit enden nicht an der Bürotür – ebenso wenig die Verantwortung dafür. Unternehmen müssen gewährleisten, dass Schutzmassnahmen im Homeoffice oder unterwegs genauso sorgfältig eingehalten werden wie am Unternehmenssitz.
Je bewusster Beschäftigte ihre Arbeitsumgebung gestalten und je konsequenter sie die grundlegenden Sicherheitsmassnahmen befolgen, desto besser lassen sich Datenschutz und Datensicherheit auch ausserhalb der geschützten Büroräume gewährleisten.
Ein umfassendes Konzept für mobiles Arbeiten sollte daher klare Richtlinien, eine solide technische Infrastruktur, die Schulung aller Mitarbeitenden und eine angemessene Dokumentation der Massnahmen vereinen. Nur so lassen sich die gesetzlichen Anforderungen nach dem DSG (und ggfs. DSGVO) erfüllen, Risiken minimieren und Personendaten zuverlässig schützen – egal, wo gearbeitet wird.