DSGVO "Home-Office" Richtlinie erstellen
Warum ist eine Home-Office Richtlinie des Unternehmen für Mitarbeiter wichtig?
Um die Weiterverbreitung von „Covid-19“, allgemein als „Corona-Virus“ bezeichnet, einzudämmen haben zahlreiche Unternehmen Heimarbeit eingeführt bzw. angeordnet. Das klingt zuerst einmal ganz einfach, doch erfüllten die Heimarbeitsplätze auch die Vorgaben der DSGVO? Denn welches Unternehmen, insbesondere Kleinunternehmen, Vereine und der Mittelstand ist darauf vorbereitet, dass deren Mitarbeiter die Vorgaben der DSGVO einhalten? Eine Arbeit zuhause birgt Risiken für die Vertraulichkeit, Integrität, Datensicherheit und ggf. auch Verfügbarkeit von personenbezogenen Daten.
Diese Risiken sind nach Art. 32 DSGVO, Art. 24 Abs. 1 DSGVO und Art. 5 Abs. 1 lit. f DSGVO zu „behandeln“, indem technische und organisatorische Maßnahmen (TOMs) getroffen werden, die diese Risiken ausschließen bzw. minimieren.
Aus diesem Grund sollten für die Beschäftigten, die Heimarbeit leisten bzw. im Home-Office arbeiten, eine Richtlinie vorliegen, die verbindlich festlegt, wie im Home-Office mit Daten umzugehen ist.
Muster-Richtlinie „Home-Office“
Um die Weiterverbreitung von „SARS-CoV-II“ (allgemein als „Corona-Virus“ bezeichnet) einzudämmenn, hat Firma X Heimarbeit eingeführt bzw. angeordnet, .
- Einleitung
Sofern Beschäftigten die Telearbeit („Home-Office“) erlaubt wurde, sind die Vorgaben aus dieser Richtlinie „Home-Office“ für die betreffenden Beschäftigten verbindlich einzuhalten.
Um eine rechtskonforme Verarbeitung von personenbezogenen Daten im „Home-Office“ zu gewährleisten, sind neben den allgemeinen Verhaltensanweisungen dieser Richtlinie auch ergänzende Weisungen durch Vorgesetzte an die Beschäftigten möglich. Auch diesen ist Folge zu leisten.
- Geltungsbereich
Diese Richtlinie gilt für die Verarbeitung personenbezogener Daten durch Beschäftigte der Firma X im „Home-Office“.
Diese Richtlinie gilt für alle Standorte der Firma X.
Diese Richtlinie verpflichtet alle Beschäftigten der Firma X zur Einhaltung der hier festgelegten Pflichten und Vorgaben, soweit eine Verarbeitung personenbezogener Daten im „Home-Office“ erfolgt. Dazu zählen u.a. auch e-Mail, FAX und Adressdaten mit Ansprechpartnern und deren Telefonnummer.
- Ziele
Diese Richtlinie soll dazu beitragen, dass die Rechtsvorschriften zur Verarbeitung personenbezogener Daten eingehalten werden und insbesondere die Vertraulichkeit, Integrität und Verfügbarkeit von personenbezogenen Daten gewährleistet werden können.
- Grundsätze für den Umgang mit personenbezogenen Daten
Die nachfolgenden Grundsätze sind von allen Beschäftigten der Firma X einzuhalten, die im „Home-Office“ arbeiten:
Es wird ausschließlich die von der Firma X bereitgestellte oder genehmigte Hard- und Software genutzt.
Beschäftigte der Firma X sind verpflichtet, alle sie oder ihre Tätigkeit betreffenden Richtlinienvorgaben oder Anweisungen im Umgang mit personenbezogenen Daten auch bei der Arbeit im „Home-Office“ einzuhalten. Dies gilt insbesondere für Vorgaben, die die Sicherheit personenbezogener Daten betreffen.
Beschäftigte melden mögliche Datenschutzvorfälle unverzüglich an den/die Datenschutzkoordinatoren und/oder den Datenschutzbeauftragten. Ein Datenschutzvorfall liegt insbesondere vor, wenn die Annahme besteht, dass die Datensicherheit, insbesondere die Vertraulichkeit von Daten, gefährdet sein kann. Ein Datenschutzvorfall liegt auch bei jedem Sachverhalt vor, bei dem die Annahme besteht, dass Dritte unbefugt Zugriff oder Zugang zu personenbezogenen Daten haben oder hatten.
- Grundsätze der Nutzung von IT-Systemen im „Home-Office“
Die Verarbeitung von personenbezogenen Daten im „Home-Office“ birgt Risiken für die Integrität, Vertraulichkeit und Verfügbarkeit von Daten in sich. Um diese Risiken auszuschließen oder zu minimieren, sind die nachfolgenden Grundsätze bei der Verarbeitung von personenbezogenen Daten im „Home-Office“ durch die Beschäftigten einzuhalten.
Daten sind grundsätzlich nicht auf lokalen Festplatten oder Datenspeichern von Endgeräten zu speichern, die nicht im Eigentum oder Besitz der Embassy of Dreams GmbH stehen.
Die Speicherung von Daten hat grundsätzlich in den Verzeichnissen/Ordnern von Servern bzw. zentralen IT-Systemen der Firma X zu erfolgen, die für den Benutzer freigegeben sind. Ausnahmen hiervon dürfen nur gemacht werden, wenn eine Internet-Anbindung an die zentralen IT-Systeme und damit eine Speicherung auf den IT-Systemen nicht möglich ist.
In diesen Fällen dürfen personenbezogene Daten auf den von den Beschäftigten im „Home-Office“ verwendeten Geräten gespeichert werden, wenn sichergestellt ist, dass die Daten auf den verwendeten Datenträgern verschlüsselt gespeichert werden. Beschäftigte, die nicht sicher sind, ob ihre verwendeten Datenträger verschlüsselt speichern, könnten dies beim IT-Support nachfragen.
Insbesondere ist darauf zu achten, dass aktuelle Virenscanprogramme aktiv sind und die jeweis aktuelle Browserversion verwendet wird. Seitenaufrufe in Browsern, die keine gesicherte Verbindung anzeigen (SSL), dies ist mit vorangestelltem "https://" der aufgerufenen Domain (Webseitennamen) zu erkennen, dürfen nur in Absprache mit dem/die Datenschutzkoordinatoren aufgerufen werden. Das setzen von cookies von unbekannten Betreibern ist zu deaktivieren bzw. abzulehnen.
Bei Fragen wenden Sie sich bitte an den/die Datenschutzkoordinatoren.
Beschäftigte, die im „Home-Office“ arbeiten, haben sicherzustellen, dass andere Personen keinen Zugang zu den im Zusammenhang mit der Beschäftigung verarbeiteten Daten erhalten. Dies gilt insbesondere für Personen, die in demselben Haushalt leben.
Beschäftigte müssen daher beim Verlassen des „Home-Office“-Arbeitsplatzes unverzüglich eine Bildschirmsperre aktivieren, die nur mit einem Passwort aufgehoben werden kann, das dem Beschäftigten bekannt ist.
Dokumente sollten grundsätzlich nicht im „Home-Office“ ausgedruckt werden. Sollte dies für die Erledigung von betriebsbedingten Aufgaben zwingend erforderlich sein, hat der Beschäftigte Sorge dafür zu tragen, dass die ausgedruckten Informationen auch direkt vor Ort geeignet vernichtet werden können.
Im Hinblick auf die Installation von Software auf mobilen IT-Systemen (Laptop, Handy, Tablet) gilt die „IT-Richtlinie für Nutzer“.
Besonders schutzbedürftige Informationen sollten nach Möglichkeit nur an Orten im „Home-Office“ verarbeitet werden, die von Dritten nicht einzusehen sind. Das Arbeiten an öffentlichen Plätzen ist zu vermeiden.
Sollte dies nicht möglich sein, muss der Nutzer einen Ort bzw. Platz zur Verarbeitung von Daten wählen, der gewährleistet, dass der Bildschirm nicht von Dritten eingesehen werden kann.
- Datensicherung
Der Nutzer hat Sorge dafür zu tragen, dass Daten, die ausschließlich auf dem Gerät gespeichert werden, bei nächster Gelegenheit auf Datenspeicher übertragen werden, die die Firma X üblicherweise für die Speicherung von Unternehmensdaten verwendet.
Bei Fragen zu der Vorgehensweise der Übertragung der Daten hat sich der Nutzer an die IT-Abteilung zu wenden.
- Ausnahmen
Die Firma X kann Ausnahmen von den vor genannten Grundsätzen in begründeten Einzelfällen erlauben. Genehmigte Ausnahmen sind inklusive einer Begründung zu dokumentieren.
- Sanktionen
Ein Verstoß gegen diese Richtlinien kann eine arbeitsvertragliche Pflichtverletzung darstellen und entsprechend sanktioniert werden