„Bisher gab es nur wenige Bußgelder“, sagt Mareike Vogt vom TÜV Süd zwar. Aber die Coronakrise dürfe mittlerweile kein Grund mehr dafür sein, die Anforderungen der DSGVO zur Datenverarbeitung nicht einzuhalten, wenn von zu Hause gearbeitet wird. Unternehmen sollten daher, sofern noch nicht geschehen, ihre technischen und organisatorischen Maßnahmen für eine rechtskonforme Verarbeitung von personenbezogenen Daten auch an Heimarbeitsplätze anpassen.
Einige Punkte stehen dabei nach Angaben der Sicherheitsexperten besonders im Fokus. Dazu zählt, dass den Arbeitnehmern betriebliche Arbeitsmittel zur Verfügung gestellt werden sollten, mit denen sie sich ins Unternehmensnetz einwählen können. Idealerweise handele es sich dabei um ein in sich geschlossenes Virtual Private Network (VPN). Entsprechende Maßnahmen sollten ebenfalls getroffen werden, falls ein Mitarbeiter im Einzelfall doch sein eigenes Gerät nutzen muss, um zu arbeiten.
Des Weiteren sollte die Belegschaft mittels Schulungen gegen Phishing sensibilisiert werden. Die Angriffsfläche dieser Attacken wachse, sobald vermehrt im Homeoffice gearbeitet wird. Dort sollten außerdem private und geschäftliche Daten voneinander getrennt sein. Grundsätzlich biete sich nicht nur dafür eine Vereinbarung zur künftigen Arbeit im Homeoffice an. „Darin müssen im Einzelfall zutreffende Pflichten und vereinbarte Schutzvorkehrungen dokumentiert werden“, berichtet der TÜV Süd.
Vorsicht ist auch bei den Regeln für Auftragsdatenverarbeitung geboten. Verarbeite ein Unternehmen für ein anderes im Auftrag personenbezogene Daten, müsse weiterhin beachtet werden, was innerhalb des Vertrags vereinbart wurde. Die technischen und organisatorischen Maßnahmen dürften nicht unterschritten werden.
