Im Mai 2018 trat die Datenschutzgrundverordnung (DSGVO) in Kraft. Davon ist seitdem jeder (Büro-/Bildschirm-)Arbeitsplatz betroffen – auch das Homeoffice. Die nachfolgenden Maßnahmen sollen einen Leitfaden für die Arbeit an einem BüroArbeitsplatz darstellen und gelten natürlich auch gleichermaßen für Tätigkeiten, die im Homeoffice anfallen.
Egal ob Kunde oder Kollege, Lieferant oder Dienstleister... Sämtliche personenbezogene Daten sind durch die DSGVO geschützt. Dazu gehören Name, Kontaktdaten wie E-Mail-Adresse oder Telefonnummern, Geburtsdaten, aber auch Fotos oder Nutzungsdaten von Dienstleistungen, Produkten oder Arbeitsgeräten. Wann immer es um die Aufbewahrung oder Weitergabe, also um eine klassische Datenverarbeitung geht, ist der Datenschutz zu beachten.
Insbesondere in Zeiten der Corona-Pandemie ist zu beachten, dass die datenschutzrechtliche Verantwortung nicht an der Unternehmenstür endet. Die Grundsätze einer ordnungsgemäßen Datenverarbeitung gelten sowohl im Büro als auch im Home-Office. Wer also mobil für sein Unternehmen tätig ist oder regelmäßig im Home-Office arbeitet, muss in der Regel die gleichen Regeln befolgen wie die Kollegen am Firmensitz.
Die nachfolgenden Tipps zur Umsetzung des Datenschutzes am Arbeitsplatz differenzieren daher nicht danach, an welchem Ort der Mitarbeiter seiner Tätigkeit nachkommt.
Maßnahmen zur Umsetzung des Datenschutzes am Arbeitsplatz
Die folgenden Punkte umfassen wichtige Maßnahmen, um den Datenschutz am Arbeitsplatz zu gewährleisten:
1. Zugang zum PC kontrollieren
Nicht nur zum Arbeitsschluss, sondern immer dann, wenn man den Raum (zu Besprechungen oder Pausen) verlässt, muss der Zugang für Dritte gesperrt sein (Windows+L). Für Mitarbeiter am Empfangsbereich gilt dies sogar dann, wenn sie lediglich den Ar- beitsplatz für einen kurzen Moment verlassen. Eintreffende oder wartende Kunden dürfen keinerlei Einblick in die Bildschirme des Unternehmens haben. Wenn es baulich nicht anders möglich ist, gibt es
die Möglichkeit Sichtschutzfolien an den Monitoren anzubringen.
2. Wartezimmertüren geschlossen halten
Türen zu Wartebereichen sind geschlossen zu halten. Wartende Kunden dürfen nicht hören, welche Kunden sich anmelden oder telefonisch einen Termin vereinbaren.
3. Sichere Passwörter nutzen
PCs, Laptops, Diensthandys und sonstige Geräte sind mit sicheren Passwörtern zu versehen. Sollten diese in Ihrem Unternehmen nicht durch den IT-Dienstleister vergeben werden, sollten Sie sich bei der Erstellung an folgende Vorgaben halten:
Mindestens 8 Zeichen
Groß- und Kleinschreibung
Ziffern und Sonderzeichen
Weiterhin gilt: Das Kennwort sollte stets geheim bleiben und nicht aufgeschrieben oder weitergegeben werden.
4. Betriebsinformationen schützen
In Abwesenheit ist der Arbeitsplatz leergeräumt („Clean-Desk-Policy“). Es dürfen keinerlei Dokumente ungeschützt dem Zugriff Dritter ausgesetzt sein. Wenn ein Mitar- beiter Feierabend macht, muss er alle Dokumente oder Datenträger wegsperren, der PC muss zumindest (!) abgemeldet sein.
5. Keine private Nutzung von Firmeneigentum
Hardware, die im Eigentum des Unternehmens steht, darf in der Regel nicht im privaten Rahmen verwendet werden. Das bedeutet u.a. auch, dass auch keine privaten Datenträger angeschlossen werden dürfen.
Gleiches gilt natürlich auch für die private Nutzung der dienstlichen E-Mail-Adresse. Die Folgen der privaten E-Mail-Nutzung wurden bereits im Newsletter 11/2020 thematisiert.
6. Gesprächspartner überprüfen
Bei Auskünften am Telefon ist größtmögliche Zurückhaltung und Diskretion geboten. Dies gilt nicht nur nach außen, sondern auch nach innen. Eine unmittelbare Antwort auf die Frage „Kann ich schnell mal wissen, wer wie was wann wo...?“ verbietet sich. Es muss immer erst geprüft werden, ob personenbezogene Daten gegenüber dem An- fragenden weitergegeben werden dürfen. Wenn hierüber Unsicherheit besteht, bit- ten Sie den Anrufer, seine Anfrage schriftlich zu formulieren.
7. E-Mails verschlüsseln
Werden E-Mails mit vertraulichem Inhalt versendet oder weitergeleitet, müssen sie verschlüsselt sein.
ACHTUNG: Häufig befinden sich mehrere Personen mit gleichen oder ähnlichen Namen im Adressverzeichnis. Dann ist das Risiko erhöht, dass eine Mail irrtümlich durch die Funktion „Auto-Vervollständigen“ an einen falschen Empfänger versandt oder weitergeleitet wird. Hierbei handelt es sich um eine Datenpanne, die binnen 72 Stunden dem Verantwortlichen gemeldet werden muss!
8. E-Mails als Blindkopien versenden
Wenn eine E-Mail an mehrere Empfänger gehen soll, sind die E-Mail-Empfänger allesamt grundsätzlich in BCC zu setzen. Das Kürzel steht für „blind carbon copy“ und bedeutet, dass die Empfänger keine E-Mail-Adressen außer der des Absenders sehen. Erforderlich ist diese Funktion sogar immer dann, wenn die Empfänger einer Weitergabe der eigenen E-Mail-Adresse nicht zugestimmt haben.
Das Problem am regulären CC-Versand ist folgendes: Viele E-Mail-Adressen setzen sich aus dem Vornamen und dem Nachnamen zusammen. Laut Bundesdatenschutzgesetz und DSGVO handelt es sich damit um personenbezogene Daten. Diese dürfen nicht einfach so an Dritte übermittelt werden, ohne dass es eine gesetzliche Grundlage gibt.
9. Unterlagen ordnungsgemäß entsorgen
Nicht mehr benötigte Unterlagen oder Fehldrucke mit personenbezogenen Daten sind ordnungsgemäß zu entsorgen, d.h. zu schreddern. Jedoch sind verschiedene Aufbewahrungsfristen zu beachten. Rechnungen müssen beispielsweise zehn Jahre aufbewahrt werden.
10. Mitarbeiter sensibilisieren
Wichtig ist es zudem, alle Mitarbeiter regelmäßig zu schulen und diese für das Thema Datenschutz zu sensibilisieren. Denn nur wer versteht, warum bestimmte Maßnahmen umzusetzen sind, kann die Umsetzung auch in seinen Arbeitsalltag implementieren.
Sollten Sie hierzu weitere Fragen haben, stehen wir Ihnen jederzeit gerne zur Verfügung.
Ihr Team der RKM Data GmbH