Bundesamt für Sicherheit in der Informationstechnik

M 2.113 Regelungen für Telearbeit

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, Leiter Personal

Verantwortlich für Umsetzung: Personalabteilung, Vorgesetzte

Für die Ausgestaltung der Rahmenbedingungen für Telearbeit sind verschiedene arbeitsrechtliche und arbeitsschutzrechtliche Aspekte zu beachten. So sollten strittige Punkte entweder durch Betriebsvereinbarungen oder zusätzlich zum Arbeitsvertrag getroffene individuelle Vereinbarungen zwischen Telearbeiter und Arbeitgeber geklärt werden. In diesen Vereinbarungen sollten beispielsweise die Punkte "Freiwilligkeit der Teilnahme an der Telearbeit", "Mehrarbeit und Zuschläge", "Aufwendungen für Fahrten zwischen Betrieb und häuslicher Wohnung", "Aufwendungen z. B. für Strom und Heizung", "Haftung (bei Diebstahl oder Beschädigung der IT, aber auch bei Arbeitsunfall oder Berufskrankheit)" und "Beendigung der Telearbeit" geklärt bzw. geregelt werden.

Die für die Telearbeit im Umgang mit Informationen und der Informations- und Kommunikationstechnik notwendigerweise umzusetzenden Sicherheitsmaßnahmen sind zusätzlich in einer Sicherheitsrichtlinie zur Telearbeit zu dokumentieren.

Folgende Aspekte sollten beispielsweise in den Regelungen für Telearbeit beachtet werden:

  • Arbeitszeitregelung: Die Verteilung der Arbeitszeiten auf Tätigkeiten in der Institution und am häuslichen Arbeitsplatz muss geregelt sein. Auch müssen feste Zeiten der Erreichbarkeit am häuslichen Arbeitsplatz festgelegt werden.
  • Reaktionszeiten: Es sollte geregelt werden, in welchen Abständen die Telearbeiter aktuelle Informationen abrufen (z. B. wie häufig E-Mails gelesen werden) und in welchem Zeitraum sie darauf zu reagieren haben.
  • Umgang mit vertraulichen Informationen: Bei der Telearbeit werden Informationen sowohl analog, also z. B. auf Papier, als auch digital bearbeitet. Unabhängig davon, in welcher Form Informationen vorliegen, müssen sie vor unbefugtem Zugriff und anderen Sicherheitsrisiken geschützt werden. Daher ist der komplette Lebensweg geschäftskritischer Informationen angemessen abzusichern.
  • Arbeitsmittel: Es sollte festgeschrieben werden, welche Arbeitsmittel die Telearbeiter einsetzen können und welche nicht genutzt werden dürfen (z. B. nicht freigegebene Software). So kann ein E-Mail-Anschluss zur Verfügung gestellt werden, aber die Nutzung von anderen Internet-Diensten wird untersagt. Weiterhin könnte die Nutzung von Datenträgern, wie beispielsweise CD s, DVD s oder USB-Sticks untersagt werden, wenn der Telearbeitsplatz dies nicht erfordert.
  • Datensicherung: Die Telearbeiter sind zu verpflichten, regelmäßig Datensicherungen der lokal gespeicherten Daten durchzuführen. Darüber hinaus sollte vereinbart werden, dass jeweils eine Generation der Datensicherungen in der Institution zur Unterstützung der Verfügbarkeit hinterlegt wird.
  • Synchronisation von Datenbeständen: Datenbestände, die sowohl in der Institution als auch an Telearbeitsplätzen bearbeitet werden sollen, müssen geeignet synchronisiert werden. Das Vorgehen bei der Synchronisation muss genau geplant werden, damit es nicht zu Konflikten und damit zu einem Datenverlust kommt, wenn zwei Benutzer den gleichen Datensatz in gespiegelten Datenbeständen geändert bzw. gelöscht haben. Es empfiehlt sich, hierfür geeignete Software einzusetzen.
  • Datenschutz: Die Telearbeiter sind auf die Einhaltung einschlägiger Datenschutzvorschriften zu verpflichten sowie auf die notwendigen Maßnahmen bei der Bearbeitung von personenbezogenen Daten am häuslichen Arbeitsplatz hinzuweisen.
  • Datenkommunikation: Es muss festgelegt werden, welche Daten auf welchem Weg übertragen bzw. welche Daten nicht oder nur verschlüsselt elektronisch übermittelt werden dürfen. Ebenso ist festzulegen, welche Dokumente zwischen Institution und häuslichem Arbeitsplatz transportiert werden dürfen und wie diese dabei geschützt werden.
  • Transport von Dokumenten und Datenträgern: Die Art und Absicherung des Transportes von Dokumenten und Datenträgern zwischen häuslichem Arbeitsplatz und Institution ist zu regeln. Vertrauliche Daten auf digitalen Datenträgern sollten nur verschlüsselt transportiert werden.
  • Meldeweg: Die Telearbeiter sind zu verpflichten, sicherheitsrelevante Vorkommnisse unverzüglich an eine im Vorfeld zu bestimmende Stelle in der Institution zu melden.
  • Zutrittsrecht zum häuslichen Arbeitsplatz: Für die Durchführung von Kontrollen und für die Verfügbarkeit von Akten und Daten im Vertretungsfall kann ein Zutrittsrecht zum häuslichen Arbeitsplatz (gegebenenfalls mit vorheriger Anmeldung) vereinbart werden.
  • Vertretungsregelung: Für jeden Telearbeiter sollte ein Vertreter bestimmt werden, der über die laufenden Aktivitäten informiert sein muss, damit er auch kurzfristig die Vertretung übernehmen kann. Dazu müssen die Arbeitsergebnisse durch die Telearbeiter immer sorgfältig dokumentiert werden. Gegebenenfalls sind sporadische oder regelmäßige Treffen zwischen dem Telearbeiter und seinem Vertreter sinnvoll. Ergänzend muss geregelt werden, wie der Vertreter im unerwarteten Vertretungsfall Zugriff auf die Daten auf den Telearbeitsrechner oder am Telearbeitsplatz vorhandene Unterlagen nehmen kann. Dieser Vertretungsfall sollte probeweise durchgespielt und vom Telearbeiter und seiner Vertretung ausgewertet werden.

Die Regelungen sind jedem Telearbeiter auszuhändigen. Entsprechende Merkblätter sind regelmäßig zu aktualisieren.

Prüffragen:

  • Sind alle relevanten Aspekte zur Telearbeit geregelt worden?

  • Sind alle für die Telearbeit relevanten Sicherheitsmaßnahmen in einer Sicherheitsrichtlinie zur Telearbeit dokumentiert?

  • Sind alle Telearbeiter auf die Einhaltung der Sicherheitsrichtlinie zur Telearbeit verpflichtet worden?

  • Wurden den Telearbeitern die Regelungen und die Sicherheitsrichtlinie zur Telearbeit oder ein Merkblatt ausgehändigt, in dem die von ihnen zu beachtenden Sicherheitsmaßnahmen erläutert werden?

  • Sind Vertreter für alle Telearbeiter benannt worden?

  • Sind Vertretungsfälle für Telearbeiter erprobt worden?

Stand: 13. EL Stand 2013