Cookies helfen uns bei der Bereitstellung unserer Dienste. Durch die Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies setzen.

Schnell ins Home Office! Aber bitte sicher

Donnerstag, 23. April 2020, 13:00 Uhr

Das Home Office ist vielen Branchen und darüber hinaus auch in den Medien ein aktuell sehr gefragtes Thema. Aktuell fällt in vielen Unternehmen auf, dass das Coronavirus dazu geführt hat, die Digitalisierung in Deutschland schneller zu forcieren, als es vor dem Ausbruch des Coronavirus (Sars-CoV-2 bzw. Covid 19) der Fall war. Gerade in der aktuellen Situation setzen immer mehr Unternehmen aufgrund der immer weiter fortschreitenden Ausbreitung des Coronavirus darauf, Mitarbeitern das Arbeiten aus dem Home Office zu ermöglichen. Und das ist auch gut so!

Denn Digitalisierung, Automatisierung ist auch für den Datenschutz ein wichtiger Grundstein, um überhaupt praxisorientiert zu funktionieren. Schwierig wird es erst dann wenn Entscheidungen schnell und unter Druck der gegenwärtigen Situation getroffen werden müssen. Daher fassen wir für Sie einmal zusammen worauf Sie achten sollten wenn Sie Home Office Arbeitsplätze einrichten.

Datenschutz-Risiken im Home Office

Bei der Einrichtung und Nutzung von Home Office kann es zu elementaren Gefahren kommen, wenn entsprechende Sicherheitsmaßnahmen nicht etabliert werden. Wir geben Ihnen eine kurze beispielhafte Übersicht der Risiken im Home Office, die es zu bedenken bzw. zu vermeiden gilt:

·  Ausspähen von Informationen (Spionage)

·  Offenlegung schützenswerter Informationen

·  Unbefugtes Eindringen in IT-Systeme

·  Fehlerhafte Zerstörung von Geräten oder Datenträgern

·  Ausfall von Geräten oder Systemen

·  Unberechtigte Nutzung oder Administration von Geräten und Systemen

·  Fehlerhafte Nutzung oder Administration von Geräten und Systemen

·  Verwendung eines nicht sicheren Netzwerkes

Checkliste: Sicheres Home-Office

Um die erforderlichen Sicherheitsstandards im Home Office zu gewährleisten, sollten  in Ihrem Unternehmen konkrete Regelungen aufgestellt werden. Hierbei sind verschiedene arbeitsrechtliche, arbeitsschutzrechtliche und insbesondere datenschutzrechtliche Rahmenbedingungen zu beachten. Umstrittene Punkte sollten durch zusätzliche Betriebsvereinbarungen oder durch Individuelle Vereinbarungen im Arbeitsvertrag geregelt werden. Diese Richtlinie sollte unter anderem folgende Punkte enthalten:

1.  Sichere Passwörter: Die Verwendung von sicheren Passwörtern muss für Mitarbeiter verpflichtend sein. Die Sicherheitsvorgaben sollten sich an den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) orientieren: Mindestens acht Stellen, Groß- und Kleinschreibung, Sonderzeichen und eine Zahl. Ein regelmäßiger Wechsel wird zwar weiterhin empfohlen, nicht aber ein Wechsel des Passworts in einem Rhythmus von drei Monaten.

2.  Sicheres Passwortmanagement: Passwörter sollten von Mitarbeitern mittels eine Passwort-Management-Software, wie z.B. Keepass, verwaltet werden. Durch die Festlegung eines sicheren Master-Passwortes haben Arbeitnehmer auf diese Weise Zugang zu allen für sie relevanten Passwörtern.

3.  Berechtigungskonzepte: Für alle für das Home Office relevanten Anwendungen sollten Berechtigungskonzepte entwickelt werden, die einen gestuften Umgang der Mitarbeiter gewährleisten. Das Grundprinzip in diesem Zusammenhang lautet, dass jeder nur den Umfang an Berechtigung für die jeweilige Anwendung haben soll, die diese Person tatsächlich für die Erledigung der täglichen Aufgaben benötigt.

4.  W-LAN-Netzwerk: In der Regel wird im Home Office das eigene private W-Lan-Netzwerk für die Erledigung der täglichen Aufgaben verwendet. Hier ist darauf zu achten, dass dieses Netzwerk über entsprechende Sicherheitsmechanismen verfügt, wie z.B. eine Verschlüsselung durch ein sicheres Passwort (mindestens 20 stellig), damit unbefugte Personen nicht in das private Netzwerk eindringen können, um sich auf diese Weise über den Firmen-Rechner einen Zugang in das Firmen-Netzwerk zu verschaffen.

5.  Sichere VPN-Verbindung: Der Zugang in das Firmen-Netzwerk sollte nur durch eine sichere und verschlüsselte Virtual Private Network (VPN) Verbindung ermöglicht werden. So sollte für jede Verbindung ein zuvor gewähltes, sicheres Passwort abgefragt werden.

6.  Arbeitszeitenregelung: Im Home Office sollten genaue Arbeitszeiten vertraglich festlegen werden, damit Arbeitskollegen genau wissen, wann sie ihre Kolleginnen und Kollegen im Home Office erreichen können

7.  Arbeiten mit fremden IT-Systemen / Netzwerken: Ein Umgang mit der Arbeit in institutionsfremden IT-Systemen / Netzwerken ist zu regeln, um ein gewisses Schutzniveau aufrecht zu erhalten und die Mitarbeiter über Gefahren im Zusammenhang mit der Verwendung dieser aufzuklären.

8.  Umgang mit vertraulichen Informationen: Da vertrauliche Informationen im Home Office sowohl analog als auch digital bearbeitet werden, müssen diese vor unbefugtem Zugriff und anderen Sicherheitsrisiken geschützt werden.

9.  Arbeitsmittel & Datenträger: Es ist zu regeln, welche Arbeitsmittel benutzt werden dürfen und welche Arbeitsmittel in keinem Fall verwendet werden dürfen. Die betriebliche Verwendung der geschäftlichen E-Mail-Konten ist stets erlaubt, jedoch nicht die private Nutzung. Außerdem sollte die Verwendung von privaten Datenträgern komplett untersagt werden, die auf keinen Fall an betriebliche IT, wie z.B. Notebooks, angeschlossen werden sollten. Über die Herausgabe von betrieblichen Datenträgern sollte ein Verzeichnis geführt werden.

10.  Synchronisation von Datenbeständen: Daten die sowohl in der Institution als auch im Home Office bearbeitet werden, müssen in geeigneten Abständen synchronisiert werden. Dies muss jedoch genauestens geplant werden, damit keine Konflikte oder Datenverluste bei der Bearbeitung oder Übertragung entstehen. Hier empfehlen wir den Einsatz einer sicheren Software.

11.  Datenschutz-Schulungen: Die Mitarbeiter sind auch im Home Office dazu verpflichtet, sich an die geltenden Datenschutzvorschriften zu halten. In diesem Zusammenhang empfehlen wir, im Rahmen von Schulungen, Unterweisungen oder sonstigen Aktivitäten die Mitarbeiter besonders auf die datenschutzrechtlichen Risiken im Home Office hinzuweisen und für sichere Maßnahmen für den Schutz von personenbezogenen Daten zu sensibilisieren. Der Datenschutzbeauftragte ist der ideale Ansprechpartner für eine derartige Unterweisung.

12.  Aktualisierung von Software und Systemen: Alle verwendeten Programme, Tools, Systeme wie z.B. Firewalls oder Virenerkennung, sollten stets auf die neueste Version aktualisiert werden, um stets die neuesten Sicherheitsverbesserungen für die jeweilige Software bzw. das jeweilige System zu erhalten.

13.  Schutz von Betriebsmitteln: Arbeitnehmer müssen im Home Office besonders darauf achten, dass unbefugte Personen sich keinen Zugang zu betrieblichen Geräten, wie z.B. einem Smartphone oder Notebook, verschaffen. Diese Gefahr betrifft besonders mobile betriebliche Arbeitsmittel.

14.  Blickschutzfolien: Besonders für die mobile Arbeit, falls erlaubt, in Bus und Bahn, Cafes oder anderen öffentlichen Orten, sind Blickschutzfolie für die betriebliche IT, wie z.B. Notebooks, empfehlenswert, da auf diese Weise dem großen Publikumsverkehr der unbefugte Einblick in personenbezogene Daten erschwert wird.

15.  Zutritts- und Zugriffsrecht: Nur bestimmten sowie stellvertretenden Mitarbeitern ist der Zugriff auf die notwendigen Daten zu ermöglichen. Außerdem kann bei einem Telearbeitsplatz nicht die gleiche infrastrukturelle Sicherheit vorausgesetzt werden, wie in den Büroräumen des Unternehmens. So ist z. B. der häusliche Arbeitsplatz oft auch für Besucher oder Familienangehörige zugänglich. Deshalb müssen Maßnahmen ergriffen werden, mit denen sich ein Sicherheitsniveau erreichen lässt, das mit dem eines Büroraums zu vergleichen ist. So sollte unbefugten Personen der Zutritt in die jeweilige Räumlichkeit nicht gewährt werden, wenn personenbezogene Daten in Papierform offen einsehbar auf dem Schreibtisch.

16.  Bring your own device (BYOD) nur als Ausnahme: Die Nutzung von privaten Geräten für betriebliche Mittel sollte grundsätzlich, unabhängig von dem Einsatz im Home Office, nicht erlaubt werden, da hier die Kontrollmöglichkeiten für z.B. erforderliche Sicherheitsupdates etc. gänzlich fehlen oder eingeschränkt sind. BYOD sollte daher nur nach Absprache und in tatsächlichen erforderlichen Fällen erlaubt werden. Wichtig ist in diesem Zusammenhang, dass private Daten strikt von beruflichen Daten auf dem privaten Gerät getrennt werden.

17.  Verbot privater Software: Bereits aufgrund des Lizenz- und Urheberrechts ist die Verwendung von privat erworbener Software zu verbieten. Dies gilt unabhängig von der Arbeit im Home Office und sollte dringend von Arbeitnehmern eingehalten werden.

18.  Datenschutzkonforme Vernichtung & Löschung von personenbezogenen: Wenn personenbezogene Daten gelöscht oder, im Fall von analogen personenbezogenen Daten, vernichtet werden müssen, ist für das Home Office genau zu regeln, wie dies im Einzelfall erfolgen soll.

Sollten Sie Fragen zu dem Thema Datenschutz im Unternehmen haben, sprechen Sie uns als Kooperationspartner von NDIX gerne an.

Über den Autor:

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich IT-Sicherheit, begleitend zur ISO27001, beratend tätig.