Homeoffice im Vormarsch
Aber trotz der Krisensituation sind auch und gerade im Homeoffice viele unterschiedliche Anforderungen an Datenschutz und Datensicherheit zu beachten. Diese Aspekte bleiben aber aufgrund der kurzfristig eingerichteten Homeoffice-Plätze oft auf der Strecke.
Cyberkriminelle nutzen Schutzlücken aus
Beobachtet man die allgemeine Verunsicherung im Umgang mit der Corona-Pandemie und die Geschwindigkeit mit der viele neue Homeoffice-Plätze – quasi über Nacht – aus dem Boden gestampft wurden, so ist es nicht unwahrscheinlich, dass die Sorgfalt beim Schutz personenbezogener oder unternehmensinterner Daten dabei in den Hintergrund rückt. In Anbetracht der zahlreichen Berichte über Kriminelle, die sich das zunehmende Homeoffice sowie die vorherrschende Verunsicherung zu Nutze machen wollen, kann eine solche Nachlässigkeit folgenschwere Auswirkungen mit sich bringen.
Und dabei rede ich nicht nur von der Möglichkeit Bußgelder der Datenschutzbehörden zu kassieren. Vielmehr hat sich die Zahl der Fälle von Cyberkriminalität seit Beginn der Corona-Pandemie spürbar erhöht. Das Risiko durch nachlässige Maßnahmen einen immensen Schaden für das Unternehmen zu verursachen ist nicht gering.
So erhielt z.B. ein Verschlüsselungstrojaner nach erfolgreichem Phishing vollen Zugriff auf das gesamte Unternehmensnetzwerk eines Reisebüros. Infolgedessen war das Unternehmen drei Tage lahmgelegt. Zwei Wochen dauerte es, bis der ursprüngliche Standard wiederhergestellt werden konnte. Das allgemeine Risiko, dass Daten vernichtet, verloren, ungewollt verändert oder offen gelegt werden oder Unbefugte Zugang erhalten, erhöht sich durch die neue Arbeitssituation ungemein.
Datenschutzanforderungen gerade in Corona-Zeiten wichtig
So sind vor allem im Homeoffice Maßnahmen zu ergreifen, die die IT- und Datensicherheit stärken und Vorfälle verhindern. Denn in der Regel werden im Homeoffice personenbezogene und unternehmensinterne Daten, die unter das Geschäftsgeheimnis fallen, verarbeitet. Den zentralen, in Artikel 32 Absatz 1 Buchstabe b) DSGVO genannten Zielen des Datenschutzes (Vertraulichkeit, Integrität, Verfügbarkeit und Resilienz) muss in solchen Fällen in ausreichendem Umfang durch Arbeitgeber und Beschäftigte in Form der Realisierung technischer und organisatorischer Maßnahmen im Sinne des Artikel 32 Absatz 1 DSGVO nachgekommen werden.
Empfehlungen zur Umsetzung existieren von offizieller Seite bereits. So thematisieren einige Landesdatenschutzbeauftragte die datenschutzkonforme Ausgestaltung des Homeoffice.
Tipp: Unter https://www.gdd.de/datenschutz-und-corona/homeoffice-corona-datenschutz finden Sie einen schöne Übersicht über die Informationen und Hinweisen der verschiedenen Datenschutzbehörden zum Thema Homeoffice!
Auf was ist bei Homeoffice konkret zu achten?
Entsprechend diesen Empfehlungen ist auf folgendes zu achten:
- Erstellung einer Richtlinie für das Homeoffice: Die Richtlinie sollte dabei konkret benennen, welche Endgeräte unter welchen Bedingungen genutzt werden können, mit welchen Informationen gearbeitet werden darf, welche Sicherheitsmaßnahmen zu ergreifen sind, welche Kommunikationsmöglichkeiten verwendet werden dürfen sowie welchen Informationspflichten bei einem Datenschutzvorfall oder dem Verlust eines Datenträgers nachzukommen ist.
- Aktuelle Software, Anti-Viren-Programm und Firewall: Von übergeordneter Bedeutung für die IT- und Datensicherheit sind die für das Homeoffice eingesetzten IT-Systeme sowie die jeweiligen Endgeräte und Datenträger. Bieten diese keinen ausreichenden Schutz vor Angriffen oder sind sie falsch konfiguriert, gehen damit sowohl erhebliche Gefahren für die Vertraulichkeit und die Integrität als auch für die Verfügbarkeit einher. Den Empfehlungen des BSI entsprechend ist daher das regelmäßige Aktualisieren der Software, die Installation eines Anti-Viren-Programms sowie der Einsatz einer Firewall unerlässlich. Dies gilt umso mehr, wenn die Arbeit nicht über dienstliche, sondern private Geräte abläuft.
- Verschlüsselung, wenn möglich: Eine Verschlüsselung der Daten und Datenträger ist ratsam, um im Falle eines Diebstahls oder Verlusts einen Zugriff auf die Daten durch Dritte zu unterbinden.
- Funktionierendes Rechtemanagement: Es muss sichergestellt werden, dass nur autorisierte Beschäftigte über einen möglichen Fernzugriff Zugang zu den Servern des Arbeitgebers erhalten und sich ein solcher Zugang nur auf die Ressourcen erstreckt, die der Beschäftigte für seine Arbeit tatsächlich benötigt.
- Sicherungen & Backups auch lokaler Daten: Um die Verfügbarkeit der Daten zu gewährleisten sollte regelmäßig eine Sicherung der auf den Homeoffice-Geräten befindlichen lokalen Daten stattfinden. So kann es beim Arbeiten von zu Hause aus besonders schnell passieren, dass ein Gerät beschädigt wird, indem es stürzt, falsch aufbewahrt wird oder auch indem das eigene Kind das Gerät in einem unachtsamen Moment als Spielzeug verwendet. Unabhängig von diesen Gefahren sollten Daten im Optimalfall gar nicht erst lokal, sondern direkt im Netz des Arbeitgebers gespeichert werden.
- VPN nutzen: Wenn der Arbeitgeber den Beschäftigten die Möglichkeit eines Fernzugriffs eröffnet, ist zur Sicherung der Integrität und Vertraulichkeit auf dessen sichere Ausgestaltung zu achten. Mangelt es an der Sicherheit der verwendeten Protokolle, können Dritte die Daten einsehen, kopieren oder manipulieren. Zudem sollte sich ein Beschäftigter ausreichend authentifizieren müssen, um einen Zugriff zu erhalten. Es bietet sich an abgesicherte Virtual Private Networks (VPN) einzurichten.
- Wenn möglich, zwei-Faktor-Authentifikation einsetzen: Ideal wäre es, wenn der Zugriff auch über eine Zwei-Faktor-Authentifikation erfolgen müsste.
- Verschlüsselte Kommunikation: Es ist sinnvoll, vorab feste Kommunikationswege zu vereinbaren. Bestenfalls wird nur auf verschlüsseltem Weg kommuniziert. So wird einerseits für die Vertraulichkeit der Kommunikation und der darin ggf. enthaltenen sensiblen Information Sorge getragen. Andererseits können Nachrichten, die außerhalb dieses Kommunikationswegs eingehen, leicht als unecht erkannt werden.
- Zutritts- und Zugriffsschutz: Von erheblicher Bedeutung im Homeoffice ist der Zutritts- und Zugriffsschutz. In der Regel liegt zu Hause keine dem Büro vergleichbare Sicherheit vor. Der Arbeitsplatz ist oft für alle Familienangehörigen, Mitbewohner oder Besucher frei zugänglich. Während der Arbeitstätigkeit hat der Beschäftigte daher Sorge dafür zu tragen, dass Dritte keine Einsicht in die Vorgänge erhalten. Das kann durch Sichtschutzfolien auf dem Monitor gewährleistet werden. Beim Verlassen des Arbeitsplatzes sollte vorgegeben sein, im Sinne des Einbruchschutzes Fenster und Türen zu verschließen. Es muss Anweisungen geben, Unterlagen, Datenträger und das mobile Gerät selbst (Laptop, Tablet o.ä.) immer aufzuräumen und wegzuschließen.
- Entsorgung & Vernichtung: Nicht außer Acht bleiben darf die korrekte Entsorgung. Dokumente und Datenträger mit vertraulichen oder personenbezogenen Inhalten dürfen nicht über den Hausmüll entsorgt werden. Alle sensiblen Unterlagen, Datenträger etc. sind fachgerecht zu vernichten. Kann das durch den Beschäftigten nicht gewährleistet werden, müssen die Dokumente und Datenträger aufbewahrt werden, bis sie zum Arbeitgeber zurückgebracht und dort den Anforderungen entsprechend entsorgt werden können.
- Standardmaßnahmen nicht vergessen: Zusätzlich zu den bereits genannten und meist Homeoffice-spezifischen Aspekten sind auch die grundlegenden Anforderungen einzuhalten, die jeder Beschäftigte auch in den Räumlichkeiten des Arbeitgebers umzusetzen hat. Insbesondere das Sperren des Bildschirms bei kurzzeitigem Verlassen des Arbeitsplatzes und die Einrichtung von sicheren Passwörtern zur Freischaltung des Endgeräts sowie für bestimmte Zugriffe bleiben essenzielle Bestandteile des Datenschutzes und der Datensicherheit. Auch sollten an dienstliche Geräte keine nicht vom Arbeitgeber stammenden Datenträger angeschlossen werden und eine private Nutzung dienstlicher Geräte unterbleiben.
- Faktor Mensch als Unbekannte: Zentraler Dreh- und Angelpunkt für die Gewährleistung der Sicherheit der personenbezogenen und unternehmensinternen Daten ist in jedem Fall der Beschäftigte selbst. Wenn der Arbeitgeber umfassende technische und organisatorische Maßnahmen ergreift, die die Datensicherheit in ausreichendem Maße sicherstellen, sind all diese Bemühungen wertlos, sofern die Beschäftigten sich nciht an die Vorgaben und Richtlinien halten. Besonderes Augenmerk sollte daher immer auf die Sensibilisierung der Beschäftigten gelegt werden. Sind diese sich der Gefahren bewusst, ist ein größerer Schritt zur Datensicherheit getan.
Fazit
Homeoffice wird auch nach Corona zu einem größeren Teil in der Arbeitswirklichkeit bestehen bleiben, als es vor der Krise der Fall war. Das steht für mich fest.
Umso wichtiger ist es jetzt, dass alle Unternehmen sich von Anfang an richtig aufstellen, die korrekten Maßnahmen ergreifen, diese auch stichprobenartig prüfen und die Sicherheitsaspekte bestenfalls nach und nach weiter ausbauen. Fehler, die am Anfang gemacht werden lassen sich erfahrungsgemäß später nur schwer oder gar nicht korrigieren. Setzt man das Homeoffice ohne Berücksichtigung von Sicherheitsaspekten auf und/oder vergisst man die ausreichende “Mitnahme” der Beschäftigten zu den Themen Datenschutz und IT-Sicherheit, ist es sehr schwer die Entwicklung aufzuhalten oder umzukehren.
Daher sollte jetzt auf alle genannten Punkte geachtet und die Umsetzung geprüft bzw. angegangenen werden. Als Datenschutzberater bin ich für Sie natürlich gerne dabei und unterstütze mit meiner Kompetenz.
Timo Schutt
Ihr Datenschutz Partner
Externer Datenschutzbeauftragter
Fachanwalt für IT-Recht
