Eva - stock.adobe.com
Home-Office: Datenschutz versus Kontrolle
Firmen können mit allgemein geltenden Datenschutzrichtlinien sowie der Trennung von geschäftlichen und privaten Aktivitäten die Privatsphäre ihrer Remote-Mitarbeiter schützen.
Vor der Coronapandemie war das Arbeiten von zu Hause aus eher in Ausnahmefällen gestattet. Mittlerweile gehören Home-Office und flexibles Arbeiten in Kombination mit zeitweiliger Präsenz in den Büroräumen des Unternehmens zum Geschäftsalltag.
Das hybride Arbeitsmodell ist zwar noch nicht ausgereift, aber es ist klar, dass ein gewisses Maß an Arbeit von zu Hause aus auf Dauer Bestand haben wird. Nicht jeder ist jedoch für diese Art der Arbeit geeignet – und IT-Führungskräfte müssen eine Reihe von Herausforderungen bewältigen, um die Arbeit im Home-Office zu gewährleisten.
Eine besondere Herausforderung ist die Notwendigkeit, die Produktivität aufrechtzuerhalten. Für die Mitarbeiter im Home-Office kann dies den Einsatz von Überwachungs-Tools und KI-gesteuerten Leistungsanalysen bedeuten.
Viele dieser Funktionen sind neu, und um effektiv zu sein, müssen IT-Führungskräfte ein Gleichgewicht zwischen dem Einsatz dieser Tools zur Produktivitätssteuerung und der Wahrung der Privatsphäre sowie des Datenschutzes finden.
Mit der zunehmenden Verbreitung von Technologien werden Fragen des Datenschutzes immer komplexer. Das liegt nicht nur daran, dass die Überwachungs-Tools heute so leistungsfähig sind, sondern auch an den unbeabsichtigten Folgen, die die Einführung neuer Arbeitsweisen mit sich bringt.
Die Arbeit im Home-Office ist ein Paradebeispiel dafür. In diesem Artikel untersuchen wir die wichtigsten Fallstricke für den Datenschutz bei Remote Work, die IT-Verantwortliche vermeiden müssen – und stellen Lösungsansätze vor.
Drei Fallstricke für den Datenschutz bei der Arbeit im Home-Office
1. Preisgabe von persönlichen und familiären Informationen an den Arbeitgeber
Für alleinlebende Mitarbeiter sind die Risiken für den Datenschutz zwar geringer, aber dennoch vorhanden. Wenn sie private und berufliche Aktivitäten nicht vollständig voneinander trennen, können die Grenzen der Privatsphäre in verschiedenen Szenarien überschritten werden. Dies gilt insbesondere, wenn Arbeitnehmer gemeinsame Plattformen wie Kontaktdaten, E-Mail und Dateispeicher nutzen.
Je mehr Mitarbeiter aus der Ferne arbeiten, desto größer ist die Wahrscheinlichkeit, dass sich berufliche und private Aktivitäten ungewollt überschneiden. Diese Sorge um den Datenschutz kann sich auf beide Seiten gleichermaßen auswirken. Zum einen könnten persönliche Informationen an das Unternehmen oder sogar an Kunden weitergegeben werden. Im umgekehrten Fall könnten Mitarbeiter versehentlich sensible Geschäftsinformationen an persönliche Kontakte senden und so den Datenschutz des Unternehmens verletzen.
Im obigen Szenario könnten die Risiken für die Privatsphäre noch größer werden, wenn andere Personen im selben Haushalt einen Breitbandanschluss gemeinsam nutzen. Ob Ehepartner, Kinder oder Mitbewohner – jeder stellt einen weiteren Berührungspunkt dar, an dem persönliche Daten unbeabsichtigt weitergegeben oder von Außenstehenden eingesehen werden könnten. Die Gefahren für Daten- und Identitätsschutz steigen natürlich, wenn böswillige Akteure beteiligt sind.
2. Offenlegen privater Lebensräume für alle per Video
Auch Videokonferenzen stellen eine Verletzung der Privatsphäre dar, weitgehend aber als unbeabsichtigte Folge. Sie legen den persönlichen Raum von Mitarbeitern im Home-Office offen. Das Datenrisiko ist zwar gering, aber nicht gleich null, und bildet dennoch ein Problem für die Privatsphäre.
Video war wohl die wichtigste Technologie für Unternehmen während der COVID-19-Pandemie, da es das richtige Werkzeug zur richtigen Zeit war, um die Arbeit von zu Hause zu ermöglichen. Das visuelle Element erlaubte es Mitarbeitern, sich mit den Kollegen und Kolleginnen im Büro und in deren Home-Office auf eine Art und Weise zu verbinden, die mit Telefon- oder Audiokonferenzen nicht möglich war.
Die hohe Akzeptanz der Videonutzung hat zu vielen neuen Verhaltensweisen geführt, da die Heimarbeiter versuchen, den professionellen Anstand zu wahren. Für die meisten Arbeitnehmer ist das Arbeiten von zu Hause aus jedoch eine neue Form des Arbeitens. Viele Angestellte haben auch keinen eigenen Büroraum. Noch problematischer ist dies für Menschen, die in einer kleinen Wohnung leben, in der häufig andere Personen im Hintergrund anwesend sind. Wenn der persönliche Lebensraum für die Arbeit angepasst werden muss, kann dies einige unbeabsichtigte Folgen haben, einschließlich der Tatsache, dass die Kollegen einen intimen Einblick in das Privatleben der Mitarbeiter erhalten.
3. Es ist schwer zu erkennen, wie produktiv die Angestellten arbeiten
Dieser Punkt ist ein natürliches Problem, denn Aus den Augen, aus dem Sinn wirft Fragen über die Qualität der außerhalb des Büros geleisteten Arbeit auf. Daher betrachteten Manager die Fernarbeit lange Zeit eher als Ausnahme denn als Regel, aber angesichts der Pandemie hatten sie kaum eine andere Wahl, als sie zu akzeptieren.
Im Kern geht es hier um Vertrauen. In Firmen, in denen es nur eine gering ausgeprägte Vertrauenskultur gibt, ist das Interesse am Einsatz von Überwachungsinstrumenten für Mitarbeiter im Home-Office groß. Bis zu einem gewissen Grad ist dies durchaus vernünftig, vor allem angesichts der unbegrenzten Möglichkeiten durch Ablenkungen aus dem Internet, die nur einen Klick entfernt sind, wenn man von zu Hause aus arbeitet. Hier besteht ein möglicher Fallstrick für den Schutz der Privatsphäre: Ruhige Phasen der Online-Nutzung könnten mit der Unproduktivität von Heimarbeitern gleichgesetzt werden.
Plattformen für Unified Communications (UC) sind eine gute Option, um alle alltäglichen Anwendungen auf einer einzigen Plattform zu vereinen. Da sie digital sind, lassen sich alle Aktivitäten von der IT-Abteilung und den Teamleitern nachverfolgen. UC-Aktivitäten können zeitweise nachlassen, aber das bedeutet nicht, dass die Mitarbeiter nicht produktiv sind. Sie könnten zum Beispiel über mobile Geräte mit Kunden sprechen oder sich auf das Schreiben von Konzepten oder Berichten konzentrieren. In solchen Fällen können kontrollsüchtige Manager auf Überwachungsmaßnahmen zurückgreifen, um sicherzugehen, dass die Mitarbeiter produktiv sind. Dieser Schritt erschwert aber Vertrauen, untergräbt die Moral und ist schwer mit dem deutschen Arbeitsrecht vereinbar.
So vermeiden Sie Fallstricke des Datenschutzes bei Fernarbeit
1. Beteiligen Sie die Mitarbeiter an der Festlegung von Richtlinien
Datenschutz ist ein Thema, das sowohl von unten nach oben als auch von oben nach unten geregelt wird. Einige Mitarbeiter haben sich für die Arbeit von zu Hause aus entschieden, andere bevorzugen die herkömmliche Trennung von Wohnung und Büro. Unabhängig davon ist hybrides Arbeiten in großem Umfang für alle neu. Und die Regeln entwickeln sich im Laufe der Zeit weiter.
In Zukunft werden die meisten Unternehmen eine Mischung aus Büro- und Heimarbeit unterstützen müssen. Hierfür müssen sie neue Richtlinien entwickeln. Bei den drei oben angesprochenen Fallstricken gibt es viele Arten von Datenschutzproblemen. Wenn es jedoch um das Home-Office geht, sind vor allem die Arbeitnehmer betroffen.
Abgesehen davon, dass sie im Vergleich zur Führungsebene zahlenmäßig weit in der Überzahl sind, arbeiten die Arbeitnehmer mit größerer Wahrscheinlichkeit von zu Hause aus als die Führungskräfte. Sie wissen am besten, was es mit dem Datenschutz auf sich hat und wie man am besten damit umgeht – nicht nur, um produktiv zu bleiben, sondern auch, um das Vertrauen der Geschäftsleitung zu gewinnen und die Arbeit im Home-Office zu unterstützen. Beziehen Firmen diese Perspektive in die Datenschutzrichtlinien ein, spiegeln sie die Realität der Heimarbeiter besser wider.
2. Private und berufliche Aktivitäten so vollständig wie möglich trennen
Die Risiken für den Datenschutz lassen sich durch eine Trennung von beruflichen und privaten Aktivitäten weitgehend eindämmen. Die IT-Abteilung dürfte diese praktische Überlegung normalerweise unterstützen. So bietet sich etwa die Trennung von Datenquellen an, auch wenn dies nicht immer einfach zu bewerkstelligen ist. Kleine Unternehmen nutzen häufig gemeinsame Plattformen wie E-Mail oder Microsoft 365 sowohl für die geschäftliche als auch für die private Nutzung, insbesondere über mobile Geräte. UC hält Arbeitsaktivitäten und Daten auf einer dedizierten Plattform, reicht allein aber nicht aus, um persönliche Daten von den beruflichen Daten zu trennen.
Ein weiteres Thema betrifft die physischen Geräte. Wenn Arbeitnehmer Schwierigkeiten haben, private und berufliche Aktivitäten zu trennen, bietet sich der Einsatz getrennter PCs an, von denen mindestens einer ausschließlich für geschäftliche Zwecke bestimmt ist. Die gemeinsame Nutzung von geschäftlichen und privaten Daten auf einem einzigen PC kann für eine einzelne Person noch vertretbar sein, aber wenn eine Familie dasselbe Gerät nutzt, sind die Risiken für die Privatsphäre hoch.
Das Gleiche gilt für mobile Geräte. Da diese im Allgemeinen nicht gemeinsam genutzt werden, gilt die Lösung nur für den Mitarbeiter. Die Praxis, getrennte Mobiltelefone für private und geschäftliche Zwecke mit sich zu führen, ist weit verbreitet. Für häufig reisende Arbeitnehmer können die zusätzlichen Kosten für die Subventionierung eines reinen Geschäftstelefons im Hinblick auf geringere Datenschutzrisiken gerechtfertigt sein.
3. Rechtliche Vorgaben unbedingt beachten
Ob Kontrollmaßnahmen zulässig sind, hängt immer von ihrer Art und dem Anlass ab. Zulässig ist in der Regel zum Beispiel, dass der Arbeitgeber das Log-in-Verhalten seiner Angestellten protokolliert, um so ihre Arbeitszeiten zu erfassen. Der Arbeitgeber muss schließlich sicherzustellen, dass die maximal zulässigen Arbeitszeiten eingehalten werden. Nachteilig für den Arbeitgeber ist allerdings, dass er mit dieser einfachen Maßnahme nicht feststellen kann, ob der Angestellte wirklich arbeitet oder nur sein Computer online ist.
Bei weitergehenden Maßnahmen muss zwischen den legitimen Interessen des Arbeitgebers und den Persönlichkeitsrechten der Arbeitnehmer abgewogen werden. Eine grundsätzliche Überwachung von Mikrofon und Webcam wäre zum Beispiel in der Regel ein schwerwiegender Verstoß gegen die Rechte des Arbeitnehmers. Zum Beispiel bei arbeitsrechtlichen Pflichtverletzungen oder Straftaten wären weitergehende Maßnahmen aber grundsätzlich zulässig.
Bei der digitalen Überwachung sowie dem Einsatz entsprechender Software ist zu beachten, dass der Betriebsrat zu informieren ist und ein Mitspracherecht hat.
Die DSGVO und die damit einhergehenden Vorgaben für den Datenschutz schränken die Verarbeitung von Arbeitnehmerdaten zudem auf das absolut notwendige Maß ein. Es gilt das Prinzip von Transparenz und Datenminimierung bei der Datenverarbeitung. Der Beschäftigtendatenschutz setzt der Analyse von Mitarbeiterdaten Grenzen.
Grundsätzlich ist empfehlenswert, dass Arbeitgeber ohne vorherige rechtliche Beratung und Hinzuziehen der Arbeitnehmervertretung keine Überwachungsmaßnahmen einleiten sollten.
4. Datenschutzrichtlinien müssen für alle gelten
In der Regel entwickelt das Management die Richtlinien für den Arbeitsplatz. Daher sind diese naturgemäß eher von oben nach unten gerichtet. Selbst wenn die Arbeitnehmer an der Entwicklung von Datenschutzrichtlinien beteiligt sind, werden sie diese nicht umsetzen, wenn sie nicht die Führungskräfte betreffen. Damit die Datenschutzrichtlinien wirksam sind, müssen sie für alle gelten, nicht nur für Mitarbeiter im Home-Office.
Beim Datenschutz für Mitarbeiter im Home-Office geht es vor allem um die Wahrung ihrer persönlichen Privatsphäre, aber auch um gutes Verhalten. Die Richtlinien schützen sowohl die Daten der Mitarbeiter als auch die Daten des Unternehmens. In Fällen, in denen das Vertrauen in die Unternehmensleitung gering ist, sind diese Maßnahmen allerdings fragwürdig.
Damit sich die Mitarbeiter im Home-Office sicher fühlen, müssen die Datenschutzrichtlinien auch für die Unternehmensleitung gelten, insbesondere im Hinblick auf die Verantwortung für schlechtes Verhalten. Dieselben Technologien, die von der Unternehmensleitung zur Überwachung der Produktivität eingesetzt werden, können auch zur grundsätzlichen Überwachung genutzt werden. Diese Praxis scheint mit der Zunahme der Hybridarbeit verbreitet zu sein. Unabhängig davon, in welchem Ausmaß dies geschieht – Datenschutz ist immer eine zweiseitige Angelegenheit. Und die Mitarbeiter müssen wissen, dass es für einen derartigen Missbrauch durch das Unternehmen angemessene Sicherheitsvorkehrungen gibt.