Hinweise zum Datenschutz bei pandemiebedingter temporärer Heimarbeit

Während der Corona-Krise soll grundsätzlich das Arbeiten vorübergehend mobil ermöglicht werden, um persönliche Anwesenheit im Büro zu reduzieren. Die Datenschutz-Grundverordnung (DSGVO), das Rheinland-Pfälzische Landesdatenschutzgesetz, sowie Vorschriften und Regeln der RPTU zu Datenschutz und Informationssicherheit gelten uneingeschränkt, auch wenn von zuhause aus gearbeitet wird. Geeignete technische und organisatorische Maßnahmen, um die Verarbeitung personenbezogener Daten zu sichern, sind genauso wichtig für das Arbeiten an mobilen Endgeräten, mit Papierdokumenten oder etwa beim Telefonieren. Die Beschäftigten der RPTU sind verpflichtet, alle sie oder ihre Tätigkeit betreffenden datenschutzrechtlichen Vorgaben oder Anweisungen ebenfalls bei der Heimarbeit Folge zu leisten.

Wenn Beschäftigten der RPTU die Heimarbeit erlaubt wird, haben die betreffenden Beschäftigten die nachfolgenden Grundsätze verbindlich einzuhalten. Neben den Weisungen durch Vorgesetzte gelten die vorliegende Hinweise für die Verarbeitung personenbezogener Daten für alle Beschäftigte der RPTU, die von zuhause aus arbeiten. Diese Regelungen gelten zusätzlich zu den bisherigen Regeln, um eine datenschutzkonforme Verarbeitung von personenbezogenen Daten gleichermaßen bei der Heimarbeit zu gewährleisten.

1 – Ziele

Die Ziele dieser Hinweise sind die datenschutzkonforme Verarbeitung und Sicherstellung der Informationssicherheit, also Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität, personenbezogener Daten auch bei der pandemiebedingten temporären Heimarbeit.

2 – Heimarbeitsplatz

Beim Arbeiten von zuhause aus müssen Maßnahmen ergriffen werden, mit denen sich ein Schutzniveau der personenbezogenen Daten erreichen lässt, das mit einem Büroraum vergleichbar ist. Beschäftigte haben sicherzustellen, dass andere Personen keinen Zugang zu den im Zusammenhang mit der Beschäftigung verarbeiteten Daten erhalten.

1. Ein Arbeitsplatz ist hinreichend zu separieren und so zu wählen, dass Dritte den Bildschirm nicht einsehen können. Dokumente mit personenbezogenen Daten müssen verschlossen aufbewahrt werden, am besten in einem verschlossenen Raum oder Behälter.
   
   
2. Wenn der Heimarbeitsplatz nicht besetzt ist, sind Fenster zu schließen und Türen abzuschließen. Generell muss sichergestellt werden, dass Unbefugte zu keiner Zeit auf dienstliche Geräte und Unterlagen zugreifen können. Jeder Beschäftigte muss seinen heimischen Arbeitsplatz so aufgeräumt hinterlassen, dass keine sensitiven Informationen frei zugänglich sind. Der Arbeitsplatz ist dementsprechend zu organisieren, dass dienstliche Unterlagen bei eigener Abwesenheit nicht für Dritte einsehbar sind.
   
   
3. Eine Speicherung personenbezogener dienstlicher Daten in privaten Cloud-Speichern ist nicht zulässig, stattdessen kann der Cloud-Speicher für alle Angehörigen der Universitäten und Hochschulen von Rheinland-Pfalz, Seafile RLP genutzt werden.

3 – Mobile Endgeräte und Datenträger

1. Für Heimarbeit sollen, soweit dies möglich ist, mobile Endgeräte der RPTU zum Einsatz kommen. Diese beruflich zur Verfügung gestellte Ausstattung soll ausschließlich für dienstliche Aufgaben und nicht privat genutzt werden. Im häuslichen Umfeld sind dienstliche von privat angeschaffter Informationstechnik getrennt zu halten. An einem dienstlichen Endgerät ist keine private Hardware (z.B. externe Festplatten oder USB-Sticks) anzuschließen.
   
   
2. Falls keine mobilen Endgeräte der RPTU zur Verfügung stehen, ist der Einsatz privater Endgeräte nach Rücksprache mit den Vorgesetzten möglich. Für den Einsatz der privaten Endgeräte gilt die Arbeitsanweisung des RHRK: https://www.rhrk.uni-kl.de/homeoffice.
   
   
3. Auf einem privaten Gerät sind die Daten nach Übertragung in das dienstliche Netz unwiederbringlich zu löschen.
   
   
4. Für den Zugang zu mobilen Endgeräten ist ein Passwortschutz zu setzen, so dass bei jedem Verlassen des Geräts der Bildschirm gesperrt ist.
   
   

4 - Datenträger und Papierunterlagen

1. Datenträger und Papierunterlagen sind während des Transports nie unbeaufsichtigt zu lassen. Vertrauliche Papierunterlagen sind nur in geschlossenen Behältnissen zu transportieren.
   
   
2. Dienstliche Daten dürfen nicht auf privaten Datenträgern gemeinsam mit privaten Daten gespeichert werden.
   
   
3. Wenn Dokumente ausnahmsweise zur Erledigung dienstlicher Aufgaben ausgedruckt werden müssen, ist darauf zu achten, dass diese Dokumente unverzüglich aus dem Drucker zu entnehmen sind und direkt vor Ort geeignet vernichtet werden können, damit Dritte keine Kenntnis dieser Daten nehmen können. Müssen dienstliche Papierunterlagen entsorgt werden, muss dies datenschutzkonform erfolgen (= schreddern oder Zerreißen in sehr kleine Stücke).
   
   

5 - Telefon, E-Mail und Netzwerk

1. Wenn von zuhause aus dienstlich telefoniert wird und dabei personenbezogene Daten Dritter zur Sprache kommen, hat der Beschäftigte darauf zu achten, einen ungestörten Bereich aufzusuchen, damit andere keine Kenntnis von diesen Informationen nehmen können.
   
   
2. Wenn private Telefone verwendet werden, muss sichergestellt werden, dass automatisch gespeicherte Anrufkontakte regelmäßig gelöscht werden. In der Regel ist es nicht erforderlich, dass eine private Nummer bei einem Anruf erscheint, so dass eine Rufnummernunterdrückung ggf. zu aktivieren ist.
   
   
3. Dienstliche E-Mails dürfen nicht an private E-Mail-Postfächer weitergeleitet werden.
   
   
4. Weiteres insbesondere zum Zugriff von zu Hause auf das Netzwerk der RPTU ist in den Arbeitsanweisungen der RHRK unter https://www.rhrk.uni-kl.de/homeoffice geregelt.
   
   

6 - Datenschutzvorfall

Sollte ein Datenschutzvorfall (z.B. Abhandenkommen von mobilen Geräten, Phishing, Malwarebefall, Datenverlust, unbefugter Zugriff durch Dritte) eingetreten sein, sind unbedingt unverzüglich die Vorgesetzten und der Datenschutzbeauftragte der RPTU zu benachrichtigen (Telefon: +49 631 205-4434, E-Mail: datenschutz[at]uni-kl.de). Diese unverzügliche Meldepflicht besteht unabhängig vom Arbeitsort.

Bei bestimmten Vorfällen greifen gesetzliche Meldepflichten gegenüber der zuständigen Aufsichtsbehörde (Art 33, 34 DSGVO). Solche Meldungen sind innerhalb kurzer Zeit nach Kenntnis von einem solchen Fall zu machen. Datenschutzvorfälle sind insbesondere deshalb stets kurzfristig den Vorgesetzten und dem Datenschutzbeauftragten der RPTU zu melden.

7 – Hinweise des LfDI

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Rheinland-Pfalz hat im Zusammenhang mit der Corona-Pandemie weiterführende Informationen und Quellen zum Datenschutz bei der Heimarbeit veröffentlicht unter https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Hinweise_zum_Datenschutz_im_Homeoffice.pdf .