Homeoffice und Datenschutz

    Infolge der Corona-Krise haben viele Arbeitgeber mehr oder weniger Knall auf Fall für Teile ihrer Belegschaft Homeoffice angeordnet. Für eine planmässige Übergabe fehlte jedoch häufig die dafür notwendige Zeit. Nachdem sich nun bei vielen das Homeoffice einigermassen eingelebt hat, lohnt sich ein Blick auf die wichtigsten Datenschutzregeln.

    Schützenswerte Daten

    Personendaten wie Kunden, Lieferanten- und Mitarbeiterdaten sind auch bei Homeoffice vor Dritten zu schützen.

    Arbeitsplatz

    Auch der Homeoffice-Arbeitsplatz sollte sich wenn immer möglich in einem separaten und verschliessbaren Raum befinden. Es gelten die gleichen Regeln wie im Büro:

    • Passwortschutz für den Home-PC
    • Datenträger nach Gebrauch wegsperren
    • Unterlagen nicht herumliegen lassen
    • Gedruckte Dokumente abgeschlossen aufbewahren oder vernichten, allenfalls schreddern. Diese Daten gehören nicht ins Altpapier!

    Am besten behilft man sich mit einer Clean Desk Policy auch für den Arbeitsbereich zuhause.

    Bring your own device (BYOD)

    Sofern die Hardware nicht vom Arbeitgeber zur Verfügung gestellt wird und daher auf private Rechner abgestellt wird, gelten die Regeln des BYOD. Diese sollten in einer Weisung verbindlich festgelegt werden. Dazu gehören u.a. folgende Themen:

    • Liste der erlaubten Geräte
    • Kostentragung und Auslagenersatz
    • Trennung von privaten und geschäftlichen Daten
    • Grundsätze der Datensicherheit, Datenverwendung und Datenaufbewahrung
    • Nutzungsregeln und Verhaltenspflichten
    • Verwendung von geschäftlicher Software auf dem privaten Gerät
    • Zugriffsrechte der Arbeitgeberin auf das private Gerät, z.B. mittels Mobile Device Management, damit die Datensicherung, die Wartung und die Löschung von geschäftlichen Daten möglich sind
    • Arbeitszeitregelung
    • Vorgehen bei verlorenen oder gestohlenen Geräten
    • Regelung bei Beendigung des Arbeitsverhältnisses

    Corporate Owned, Personally Enabled (COPE)

    Ähnliche Regeln wie obenstehend gelten für den Fall, dass ein Unternehmen seine Angestellten mit mobilen Arbeitsgeräten wie Smartphones, Tablets und/oder Laptops ausstattet und diese auch für den privaten Gebrauch ausserhalb der Arbeitszeit freigibt.

    Datenverkehr

    Vorzugsweise findet der Datenaustausch via VPN-Verbindung oder via gesicherter Cloud-Lösung statt. Ist dies nicht möglich und wird daher auf konventionellen Emailverkehr abgestellt, so müssen bei Personendaten diese Daten verschlüsselt werden. Von der Verwendung privater E-Mail-Accounts wird dringend abgeraten.

    Backup

    Normalerweise erfolgen Backups bei der Verwendung von VPN-Verbindungen resp. bei gesicherten Cloud-Lösungen automatisch durch das System des Arbeitgebers. Hingegen muss beim Heim-PC der Backup manuell erfolgen, was oft vergessen geht. Ansonsten droht Datenverlust.

    Zertifikate und Labels

    Um möglichen Haftungsansprüchen vorzubeugen, tut der Arbeitgeber gut daran, Hinweise auf Datenschutz-Zertifikate oder –Labels auf seiner Homepage zu deaktivieren, mind. für die Dauer der Anwendung von Homeoffice.

    Verantwortlichkeit

    Auch bei Homeoffice liegt die Verantwortung zur Einhaltung sämtlicher relevanten Datenschutzbestimmungen vollumfänglich beim Arbeitgeber.

    Zusatzvereinbarung zum Arbeitsvertrag

    Am besten werden die obgenannten Punkte in einer Zusatzvereinbarung zum Arbeitsvertrag schriftlich festgehalten.

     

     

    Weitere Beiträge

    Pflicht zur Lohngleichheitsanalyse nach revidiertem GlG

    Checkliste Homeoffice

    Freelancer-Verträge mit fatalen Folgen

    Bitte lächeln – der Fotografenvertrag nach Schweizer Recht