Datenschutz am Arbeitsplatz

Datenschutz ist heute eine permanente Herausforderung, gerade auch wenn der eigene Arbeitsplatz in einem Büro liegt. Mit wenigen Massnahmen oder Verhaltensweisen lässt sich dort aber bereits viel bewirken, sodass personenbezogene Daten von Kunden oder Mitarbeitenden weitgehend sicher verarbeitet werden können. Dies fängt bei der Organisation und Einrichtung eines Büros an, umfasst (den Gebrauch der) IT-Systeme und Telefone, betrifft das persönliche Verhalten und reicht bis zur eigentlichen Umsetzung spezieller datenschutzrechtlicher Pflichten.

Datensicherheit setzt sich gemäss Datenschutz-Grundverordnung (DSGVO) insbesondere aus den Komponenten Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit (System) zusammen. Im Folgenden sind daher beispielhaft verschiedene kleine Massnahmen aufgeführt, mit denen von jedem Mitarbeitenden auf einfache Weise diese vier Komponenten des Datenschutzes gefördert werden können – sozusagen die datenschutzrechtlichen „Dos and Don‘ts“ am Arbeitsplatz.

Dos and Don’ts am Arbeitsplatz:

 

1.     Organisation und Einrichtung:

 

  • Bildschirme, Whiteboards, Listen u.ä. immer so aufstellen und installieren, dass sie von Besuchern oder Kunden nicht unberechtigt eingesehen werden können.
  • Laptops, die in öffentlichen Räumen benutzt werden (z.B. in öffentlichen Verkehrsmitteln), mit einer Schutzfolie vor den Blicken neugieriger Sitznachbarn schützen.
  • Auch im Home Office stets auf den vertraulichen Umgang mit Daten, Datenträgern und Dokumenten achten sowie Unberechtigten keinen Zugang zu geschäftlichen Geräten gewähren.

2.     Eigenes Verhalten:

 

  • Keine Unterlagen mit personenbezogenen Daten ausserhalb der Arbeitszeiten, oder bei Besprechungen mit unbeteiligten Dritten, offen herumliegen lassen („Clean Desk Policy“), auch nicht im Papierkorb oder in der Altpapiersammlung.
  • Vertrauliche Notizen auf Flipcharts, Notizzetteln (z.B. Post-It) u.ä. nach dem Meeting und ausserhalb der Arbeitszeiten entfernen.
  • Bei Abwesenheit vom Arbeitsplatz aufgrund von Pausen, Sitzungen, Besprechungen etc. immer den Bildschirm sperren.
  • Bei Besprechungen oder Telefonaten, in denen über spezifische Personen gesprochen wird, Bürotüre schliessen oder ein separates Zimmer ohne unberechtigte Mithörer aufsuchen.
  • Nicht mehr benötigte Dokumente mit personenbezogenen Daten immer im Aktenvernichter entsorgen bzw. schreddern (nicht einfach in den Papierkorb oder in die Altpapiersammlung werfen).
  • Nicht mehr benötigte elektronische Datenträger immer professionell entsorgen lassen.
  • Werden Drucker mit anderen Abteilungen oder Geschäften geteilt, darauf achten, dass Unbefugte keinen Zugriff auf vertrauliche Unterlagen erhalten. (Ausdrucke nicht im Drucker liegen lassen!)
  • Niemand ist unfehlbar: Wenn tatsächlich einmal eine ungewollte Offenlegung oder ein Verlust von personenbezogenen Daten passiert oder auch nur vermutet wird, sofort die verantwortliche Stelle/Person im Unternehmen kontaktieren, Meldung erstatten und nicht zuwarten oder gar den Vorfall vertuschen.

3.     IT-Systeme und Telefone:

 

  • Ein sicheres Passwort benützen und dieses vertraulich behandeln und nicht weitergeben.
  • Nur berechtigten Personen über Fernwartungs-Software wie z.B. TeamViewer Zugriff auf das eigene System gewähren.
  • Bei der Nutzung öffentlicher WLAN-Netzwerke (z.B. in Hotels, Bahn- oder Flughäfen) keine vertraulichen Informationen übertragen. Dazu nur sichere Kanäle wie z.B. eine verschlüsselte VPN-Verbindung benutzen.
  • Keinen unbekannten USB-Stick benützen.
  • Eine automatische Bildschirmsperre bei Inaktivität verhindert, dass bei Absenz Unbefugte Zugriff auf den Computer erhalten.
  • Keine Messenger-Dienste wie WhatsApp, welche die gespeicherten Adressbücher teilen und kopieren, auf Geschäftstelefonen benützen.
  • Beim Gebrauch der Mailbox immer wachsam sein und verdächtige E-Mails oder Anhänge nicht öffnen bzw. sofort dem IT-Verantwortlichen des Unternehmens melden.
  • Bei E-Mails mit mehreren Empfängern stets prüfen, ob die „An“- oder „Cc“-Adressierung (z.B. bei Arbeitsgruppen oder innerhalb eines Unternehmens) oder die „Bcc“-Adressierung (z.B. bei Gruppen ohne nähere Verbindung zueinander) zu verwenden ist.
  • Webcams bei Nichtgebrauch abdecken.
  • Externe Mikrophone bei Nichtgebrauch entfernen.
  • Regelmässige Updates des IT-Systems durchführen (Hardware und Software) und eine solide Firewall (inkl. Virenscanner) einrichten, um immer die grösstmögliche Datensicherheit (Integrität, Belastbarkeit) zu gewährleisten.*
  • Regelmässige Backups durchführen, um die jederzeitige Verfügbarkeit der Daten sicherzustellen.*

* Dies wird in der Regel durch die interne IT-Abteilung bzw. den IT-Dienstleister durchgeführt. Hierauf hat der einzelne Nutzer daher häufig keinen Einfluss.

Zusätzlich zu den genannten allgemeinen Massnahmen, die jede und jeder Mitarbeitende ergreifen kann, um die Sicherheit der Verarbeitung personenbezogener Daten am Arbeitsplatz zu erhöhen, gibt es natürlich auch noch spezielle datenschutzrechtliche Pflichten, die in ihrer Ausgestaltung je nach Betrieb und Geschäft variieren können und vom Arbeitgeber vorgegeben werden. Zu denken sei hier beispielsweise an die Einhaltung der Löschfristen für nicht mehr benötigte Datensätze oder auch die Zurverfügungstellung von Datenschutzinformationen an Kunden oder Stellenbewerber. Eine übersichtliche Darstellung dieser Pflichten findet sich hier.

  • Datenschutz im Home-Office

    Nebst den oben ausgeführten allgemeinen Massnahmen zum Datenschutz am Arbeitsplatz steht beim Arbeiten im Home-Office für die Arbeitnehmerinnen und Arbeitnehmer insbesondere der Schutz der Vertraulichkeit personenbezogener Daten im Vordergrund. Je sensibler und damit schützenswerter personenbezogene Daten sind, desto stärker sind sie zu schützen. Das bedeutet, es ist im Home-Office zusätzlich stets darauf zu achten, dass

    • der Transport von Datenträgern grundsätzlich persönlich oder durch vertrauenswürdige Dienste erfolgt. Erfolgt der Transport mittels USB-Stick, ist dieser zu verschlüsseln;
    • grundsätzlich nur die vom Arbeitgeber bereitgestellte oder genehmigte Hard- und Software genutzt wird und möglichst keine privaten USB-Sticks oder privaten E-Mail-Adressen zum Einsatz kommen; besonders kritisch zu sehen ist die Umleitung beruflicher E-Mails auf private Postfächer;
    • die vom Arbeitgeber zur Verfügung gestellte IT-Infrastruktur nicht privat genutzt wird, z.B. für Hausaufgaben der Kinder;
    • der Computer stets gesperrt wird, wenn man den Arbeitsplatz zu Hause auch nur für kurze Zeit verlässt;
    • keine unsicheren WLAN-Verbindungen mit betrieblichen Geräten und Medien genutzt werden;
    • Daten grundsätzlich in den Verzeichnissen von Servern oder zentralen IT-Systemen des Arbeitgebers gespeichert werden, die für die Arbeitnehmerinnen und Arbeitnehmer freigegeben sind. Ausnahmen sind zulässig, wenn eine Internet-Anbindung an die zentralen IT-Systeme und damit eine Speicherung auf den firmeninternen IT-Systemen nicht möglich ist. In diesen Fällen dürfen personenbezogene Daten auf den von den Mitarbeitenden im Home-Office verwendeten Geräten gespeichert werden. Eine Verschlüsselung ist jedenfalls sicherzustellen;
    • Unterlagen mit personenbezogenen Daten nicht offen herumliegen und von unbefugten Dritten eingesehen werden können, wie z.B. auf dem Küchentisch, und dass sie nach getaner Arbeit sorgfältig verstaut werden, wenn immer möglich in abschliessbaren Räumen oder Schränken;
    • vertrauliche Telefonate in geschlossenen Räumen ohne unbefugte Mithörer geführt werden, und nicht z.B. im Garten oder in Anwesenheit der ganzen Familie;
    • nicht mehr benötigte Dokumente mit personenbezogenen Daten fachgerecht, zumindest zerrissen in kleine Stücke, entsorgt werden und nicht als Ganzes z.B. im Altpapier oder Abfall;
    • Arbeitnehmerinnen und Arbeitnehmer eventuelle Datenschutzverletzungen unverzüglich an den Arbeitgeber bzw. falls ein solcher vorhanden ist, an den oder die Datenschutzbeauftragte(n) melden. Ein Datenschutzverstoss liegt insbesondere vor, wenn die Annahme besteht, dass die Datensicherheit, insbesondere die Vertraulichkeit von Daten, gefährdet sein kann. Ebenso kann es zu einer Verletzung kommen, wenn Dritte unbefugt Zugriff oder Zugang zu personenbezogenen Daten haben oder hatten bzw. Daten verloren gingen.

    Der Arbeitgeber hat sich nebst der Vertraulichkeit auch um die Verfügbarkeit und Integrität der Daten sowie die Belastbarkeit der Systeme zu kümmern und den Arbeitnehmerinnen und Arbeitnehmern eine entsprechend geschützte IT-Infrastruktur für die Arbeit im Home-Office zur Verfügung zu stellen.

    Darüber hinaus sind gerade Arbeitnehmerinnen und Arbeitnehmer, für die Home-Office eine neue Situation darstellt, speziell auf die Beachtung des Datenschutzes und dessen Anwendung im Home-Office hinzuweisen.