Schlagwort: gdpr

Achtung TISAX: Homeoffice ohne Genehmigung nicht zulässig!

Du hast in den letzten Tagen Wunder vollbracht, über Nacht Dutzende oder Hunderte Homeoffice-Arbeitsplätze aus dem Boden gestampft, Collaborations-Infrastruktur zur Verfügung gestellt, alle Mitarbeiter verantwortungsvoll ins Homeoffice geschickt – und jetzt das: ein Schreiben deines Auftraggebers, das dich brüsk darüber informiert, dass dies nicht ohne weiteres zulässig ist.

Keine Panik! Mit ein paar einfachen Maßnahmen kannst du dieses Thema in den Griff bekommen. Weil es in diesen Zeiten schnell gehen muss, fange ich als erstes mit den konkreten Lösungen an. Wer mehr Details erfahren möchte, findet diese im Artikel weiter unten.



Fast Track: 1. Dokumentation, 2. Schulung, 3. Richtlinie


Wie bekomme ich meine Homeoffice-Arbeitsplätze schnell TISAX/DSGVO-konform?

  1. Führe eine genaue Dokumentation darüber, a) welche Mitarbeiter im Homeoffice arbeiten, b) für welchen Zeitraum und c) für welches Projekt. Am besten hinterlegst du diese Informationen in deinem HR-System (z.B. Personio) bzw. an der zentralen Stelle, an der bei dir die Mitarbeiter geführt werden.
  2. Alle Homeoffice-Mitarbeiter müssen eine Schulung zum Thema „DSGVO & TISAX im Homeoffice“ erhalten. Jeder Mitarbeiter muss schriftlich bestätigen, dass er an einer solchen Schulung teilgenommen hat.
  3. Du musst bestätigen können, dass alle Mitarbeiter im Homeoffice die Richtlinie „Informations- und IT-Sicherheit im Homeoffice“ einhalten. Das bedeutet beispielsweise: Zwei-Faktor-Authentifizierung, Bildschirmsperre, Aktenschredder.

Wie können wir dir dabei helfen?

Alle unsere Kunden der Nextwork-Academy bekommen heute noch über unsere Schulungsplattform Zugang zu einer speziell für diese Anforderung konzipierten Schulung „DSGVO & TISAX im Homeoffice“. Diese kannst du allen Mitarbeitern zur Verfügung stellen, wie immer mit Prüfungsfragen, Teilnahmezertifikat und alles automatisch dokumentiert.

Allen anderen stelle ich ab morgen diese Schulung kostenlos über Vimeo zur Verfügung. Die Dokumentation der Teilnahme aller Mitarbeiter musst du in diesem Fall selbst realisieren.



Deep Dive: Beispiel Volkswagen


In einer schriftlichen Mitteilung informiert derzeit u.a. Volkswagen alle seine Auftragnehmer mit einer TISAX-Freigabe über eine „Sonderregelung zu Homeoffice“.

In der Problemstellung heißt es:

„Aufgrund der außergewöhnlichen Umstände ist vermehrt damit zu rechnen, dass Partner ihre Mitarbeiter ins Homeoffice senden müssen, um die Auftragserfüllung für Volkswagen sicher zu stellen. Gemäß der abgeschlossenen Geheimhaltungsvereinbarung sowie der damit verbundenen Notwendigkeit zur Umsetzung des VDA ISA Standards, ist eine Arbeit im Home Office für Arbeiten an von Volkswagen als intern, vertraulich und/oder geheim klassifizierten Informationen nicht zulässig.“

Ab sofort kann/muss unter unten stehenden Voraussetzungen ein Antrag „Nutzung von s.g. Home Office Arbeitsplätzen aufgrund von ungewöhnlichen Umständen“ gestellt werden.

Voraussetzungen für die aktuelle Ausnahmeregelungen „Leistungserbringung im Home Office“ von Volkswagen:

1. Dokumentationspflicht

  • Der Partner hat eine Dokumentation darüber zu führen, welche Mitarbeiter im Home Office arbeiten.
  • Die Dokumentation muss folgende Punkte beinhalten: Name des Mitarbeiters, kurze Beschreibung der Leistungserbringung, Datum (Zeitraum) der Tätigkeit im Home Office.
  • Auf verlangen von Volkswagen ist Volkswagen Einsicht in die Dokumentation zu gewähren.

2. Sensibilisierung, Unterweisung und Verpflichtung der Mitarbeiter

  • Die im Home Office arbeitenden Mitarbeiter sind vorher explizit durch den Partner zur Einhaltung der Vertraulichkeit und der Informationssicherheit zu sensibilisieren und zu unterweisen.
  • Die Unterweisung der Mitarbeiter ist zu dokumentieren. Die Mitarbeiter haben die Belehrung (Sensibilisierung und Unterweisung) schriftlich zu bestätigen.
  • Auf verlangen von Volkswagen ist Volkswagen Einsicht in die Dokumentation zu gewähren.

3. Einhaltung der Maßnahmen zur Informations- und IT-Sicherheit

  • Alle zumutbaren Maßnahmen, entsprechend den Vorgaben der Volkswagen AG zur Informations- und IT-Sicherheit (Einhaltung des VDA ISA-Standards), sind durch den Partner eigenverantwortlich zu treffen.
  • Den Weisungen und Vorgaben der Volkswagen Konzern IT zu technischer Realisierung der Arbeitsfähigkeit aus dem Home Office (Remote Lösungen) ist nachzukommen. 

4. Bearbeitung von personenbezogenen Daten im Home Office

  • Für die Bearbeitung von personenbezogenen Daten im Home Office ist zusätzlich eine Abstimmung mit dem Volkswagen Datenschutz zu führen.