Spätestens seit der heutigen Pressekonferenz (13.03.2020, 14 Uhr) werden sehr viele Dienstnehmer in Österreich von zu Hause aus im Homeoffice arbeiten.
Die Anforderungen an IT-Sicherheit und Datenschutz variieren je nach Art der Arbeit und der verarbeiteten Informationen oder Daten. Idealerweise stellt das Unternehmen seinen Dienstnehmern einen Laptop oder PC zur Verfügung und sorgt dafür, dass entsprechende Sicherheitsstandards (zB Verschlüsselung) im Zusammenhang mit den Geräten und der Anbindung der Dienstnehmer an das Unternehmensnetzwerk (zB VPN-Verbindung, Remote Desktop, etc) gewährleistet sind.
Grundsätzlich ist es nicht empfehlenswert, dass der Dienstnehmer seinen privaten Computer verwendet, da die Sicherheitsstandards eines solchen privaten Gerätes nicht überprüfbar sind und sich im Regelfall das Risiko einer Vermischung von privaten und beruflichen Daten ergibt.
Einige Tipps zur Vorbereitung auf einen erweiterten Einsatz im Homeoffice:
- Technische Grundlagen: Genaue Evaluierung der zur Verfügung stehenden Infrastruktur und Art der Einbindung von Dienstnehmern im Homeoffice in die Unternehmens-IT; Risikoanalyse im Hinblick auf IT-Sicherheitsrisken;
- Vertragliche Grundlagen (für Dienstleister): Evaluierung der vertraglichen Vereinbarungen mit den Kunden im Hinblick auf die Zulässigkeit einer Serviceerbringung im Homeoffice; soweit erforderlich, Kommunikation mit den Kunden und, wenn möglich, schriftliche Dokumentation von Absprachen, die auf eine Serviceerbringung mit Homeofficeanteil hinauslaufen;
- Datenschutzrechtliche Grundlagen: Werden persönliche Daten verarbeitet und ist dies von der Einwilligung des Kunden umfasst? Können die gesetzlichen Standards für die Verarbeitung persönlicher Daten mit der im Homeoffice zur Verfügung stehenden Infrastruktur gewährleitet werden?
- IT-Sicherheitsrichtlinien: Ausarbeitung entsprechender Sicherheitsrichtlinien für Dienstnehmer im Homeoffice, Dies umfasst insbesondere Grundsätze zur Verwendung der im Homeoffice verwendeten Computer (zB (Un)zulässigkeit der Verwendung für private Zwecke, kein Zugang Dritter zu den Computern, Passwortsicherheit), Anweisungen für die Konfiguration privater W-LANs, Grundsätze der Datenspeicherung und Datenvernichtung (zB von ausgedruckten Materialien) sowie Fragen der physischen Sicherheit (Aufbewahrung an einem versperrten Ort, etc).
Praxistipp: Klären Sie vorzeitig ab, ob Ihre Dienstnehmer ausreichend sicher in die Unternehmens-IT eingebunden werden können. Rüsten Sie allenfalls Ihre Dienstnehmer mit unternehmenseigenen Geräten aus, die Sie den Dienstnehmern leihweise zur Verfügung stellen. Evaluieren Sie Ihre vertraglichen Verpflichtungen und allfällige Informationspflichten, die sich daraus ergeben. Treffen Sie mit Ihren Dienstnehmern klare Regelungen für den Umgang mit geheimen Informationen oder personenbezogenen Daten im Homeoffice sowie nach Beendigung dieser Tätigkeit.
Bei weiteren Fragen stehen wir Ihnen gerne zur Verfügung!
Ihr KWR Arbeitsrechts- und Datenschutzteam