Seite wÀhlen

Die Digitalisierung des Arbeitsplatzes ermöglicht es, viele Daten und Informationen effizient und schnell zu verarbeiten. Arbeitnehmer mĂŒssen mit den personenbezogenen Daten rechtssicher umgehen und unternehmensspezifische, sensible Informationen durch hohe Prozessstandards wahren. Neben dem Datenschutz hat also auch die Datensicherheit im Arbeitsbereich einen hohen Stellenwert. Der Arbeitgeber hat Verpflichtungen, die unter anderem technische und organisatorische Maßnahmen zur Datensicherheit beinhalten. Nebst dem Arbeitgeber ist auch der Arbeitnehmer Teil der Sicherheitsinfrastruktur. Egal ob im BĂŒro, Zuhause im Homeoffice oder im öffentlichen Bereich, der Arbeitnehmer muss sich gegen eventuelle Angriffe schĂŒtzen. Das Ziel solcher Angriffe reicht ĂŒber die Einsicht von Informationen bis hin zum Datenverlust. Gerade die immer öfter anzutreffenden Möglichkeiten der Nutzung privater EndgerĂ€te durch Arbeitnehmer oder die dienstliche und private Internetnutzung im Beruf bringen hier mitunter große Herausforderungen fĂŒr den Datenschutz und die Datensicherheit mit sich. Diese gilt es zu meistern.

Im Folgenden wird deshalb auf die verschiedenen ArbeitsplÀtze und Angriffsmöglichkeiten eingegangen.

BĂŒro:

In der Datenschutzgrundverordnung gibt es keine Clean-Desk-Vorschrift. Die Clean-Desk-Policy (CDP) sollte aber dennoch in jedem Unternehmen praktiziert werden. Nicht nur, weil es die Sicherheit erhöht, sondern auch Kostenfaktoren minimiert. Untersuchungen zeigen, dass Mitarbeiter bis zu einer Stunde pro Woche Dokumente und Arbeitsunterlagen suchen und damit wertvolle Arbeitszeit verschenken. Ein weiterer Vorteil der Ordnung ist es, dass bei MitarbeiterausfĂ€llen Kollegen einfacher ĂŒbernehmen können.  Wenn alle Mitarbeiter in den gleichen Strukturen arbeiten und ein vorgegebenes Ablagesystem verfolgen, ist eine Vertretung auch ohne Übergabe möglich. Vor allem in BĂŒros ohne feste ArbeitsplĂ€tze und mit dynamischen Teamstrukturen. Die CDP setzt die Strategie eines aufgerĂ€umten Arbeitsplatzes ein, um Daten und Ihr Unternehmen zu schĂŒtzen und sorgt gleichzeitig fĂŒr produktiveres Arbeiten. Vor allem da, wo Reinigungs-, Hausmeisterdienste und Zeitarbeitsfirmen mit den SchlĂŒsseln fĂŒr alle GeschĂ€ftsrĂ€ume der Objekte und BĂŒros ausgestattet sind und unbeaufsichtigt Ihren Aufgaben nachgehen, ist es besser, wenn sensible Daten nicht offen am Arbeitsplatz herumliegen bzw. vor Einsicht und Wegnahme geschĂŒtzt sind.

Die CDP umfasst nicht nur eine ArbeitsstrukturÀnderung, sondern beinhaltet auch Grundregeln:

  • FĂŒr den PC sollte ein sicheres Passwort eingerichtet werden. Dieses sollte geheim gehalten und möglichst nicht aufgeschrieben werden. Hilfe bieten dabei Passwortmanager wie Dashlane, Bitwarden oder 1Password.
  • Wenn Sie sich (auch nur kurz) vom Arbeitsplatz entfernen, sei es auch nur fĂŒr einen Toilettengang oder eine Raucherpause, ist der PC zu sperren, sodass er nur mit dem eingerichteten Passwort entsperrt werden kann (z. B. mit der Tastenkombination „Windows“ + L).
  • Unterlagen mit wichtigen (personenbezogenen) Daten so verwenden, dass sie nicht von Unbefugten einsehbar sind (z. B.: Besucher). Nach der Verwendung sind die Akten wegzuschließen, etwa in einem Schrank.
  • Nicht mehr benötigte Unterlagen oder Fehldrucke/-kopien mit personenbezogenen Daten nicht einfach in den Papierkorb geben, sondern schreddern nach DIN-Norm DIN 66399 Sicherheitsstufe 3 oder höher. Dokumente können auch in einem DatenschutzbehĂ€lter/ einer Aktentonne entsorgen werden. FĂŒr die Aktenvernichtung können auch externe Dienstleister beauftragt werden, die diese in regelmĂ€ĂŸigen AbstĂ€nden entleeren.
  • Wichtig fĂŒr den Datenschutz im BĂŒro: Den Raum beim Verlassen stets abschließen. Den SchlĂŒssel zum BĂŒro und zu abschließbaren SchrĂ€nken nicht beschriften, damit sie bei Verlust nicht direkt von Unbefugten zugeordnet werden können.
  • Sensible Dokumente nur im Bedarfsfall und nicht vorsorglich auf den Schreibtisch holen.
  • Unnötige Ausdrucke vermeiden (darĂŒber freut sich auch die Umwelt).
  • Am Ende eines jeden Tages mĂŒssen alle Schreibtische leer sein – dies schließt natĂŒrlich auch die Schreibtische aller Vorgesetzten mit ein, fĂŒr die ebenso die CDP gilt (eine Ausnahme bilden hier persönliche GegenstĂ€nde, die jedoch auch nicht Überhand nehmen sollten).

Aber CDP deckt lĂ€ngst nicht alle Angriffspunkte ab.  Jeder Arbeitsplatz und jedes Objekt hat spezifische Sicherheitsanforderungen im Aufbau eines datenschutz- und datensicherheitskonformen Arbeitsplatzes. Die seit Mai 2018 geltende DSGVO bestimmt zudem nur die Mindestanforderungen fĂŒr Firmengeheimnisse. Unternehmenskritische Informationen haben einen höheren Standard im Umgang mit den Daten.

Homeoffice:

Als Grundregel wurde oben: „Eine strikte Trennung von Arbeit und Privatleben“ genannt. Gemeint ist, dass keine private Software und Hardware genutzt werden sollte und auch auf die private Nutzung von E-Mails und dem Internet verzichtet werden sollte. Dies ist bei Homeoffice schwer umzusetzen, vor allem wenn der eigene Rechner oder das eigene Smartphone verwendet werden muss. Welche Problematiken können in Bezug auf Datenschutz und Datensicherheit vom Arbeitsplatz Zuhause entstehen?

Der Arbeitsplatz Zuhause divergiert mit dem im BĂŒro. Das ArbeitsgerĂ€t ist in einigen FĂ€llen privat und gehört nicht der Firma. Der Arbeitsplatz ist individueller eingerichtet. Das WLAN-Netzwerk ist weniger gut geschĂŒtzt als das vom Unternehmen. Die Datenspeicherung in großen Mengen ist schwerer. Das Interneterlebnis ist freier und unsicherer. Meistens ist es etwas lauter Zuhause, vor allem wenn die ganze Familie da ist, entstehen Risiken fĂŒr die Daten, durch neugierige Kinder, umfallende GetrĂ€nke oder Speisereste.

Aus diesen Risiken können elementare Gefahren entstehen:

  • Offenlegung schĂŒtzenswerter Informationen,
  • Manipulation von Hard- oder Software,
  • Manipulation von Informationen,
  • Unbefugtes Eindringen in IT-Systeme,
  • Ausfall von GerĂ€ten oder Systemen,
  • Unberechtigte oder fehlerhafte Nutzung oder Administration von GerĂ€ten und Systemen,
  • Personalausfall,
  • Datenverlust,
  • Unbefugter Zugriff auf Personaldaten, Kundendaten,
  • Unbefugter Zugriff auf GeschĂ€ftsgeheimnisse,
  • AusspĂ€hen von Informationen (Spionage).

Kurz gesagt, der Arbeitsplatz zu Hause birgt mit seinen lokalen Gegebenheiten einen höheren variablen Risikofaktor, welcher zu Problemen fĂŒr das ganze Unternehmen fĂŒhren kann.

Bei solch erheblichen Gefahren kommt einen direkt die Frage nach Schutzmaßnahmen in den Sinn. Um beantworten zu können, ob und in welcher Form Schutzmaßnahmen ergriffen werden mĂŒssen, um die Umsetzung des sicheren Homeoffice gewĂ€hrleisten zu können, sollte zuerst herausgefunden werden, mit welchen Daten der jeweilige Mitarbeiter bei der Arbeit zu Hause in BerĂŒhrung kommen werden. Vorsicht ist dann geboten, wenn es sich um personenbezogene Daten gem. Art. 4 Nr. 1 DSGVO handelt.  Zu den besonders schĂŒtzenswerten personenbezogenen Daten gehören insbesondere die Sozialdaten nach § 67 Abs. 1 SGB X  und in Art. 9 Absatz 1 DSGVO genannten Daten zur rassischen und ethnischen Herkunft, zur Gewerkschaftszugehörigkeit, zu politischen Meinungen, religiösen oder weltanschaulichen Überzeugungen sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natĂŒrlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natĂŒrlichen Person. Diese Daten werden in der DSGVO als besondere Kategorien von personenbezogenen Daten bezeichnet. Hier ist im Einzelfall zu entscheiden, ob technische und organisatorische Maßnahmen das Risiko fĂŒr die personenbezogenen Daten so weit minimieren, dass eine Verarbeitung im Homeoffice vertretbar ist. Je sensibler und folglich schĂŒtzenswerter personenbezogene Daten sind, desto stĂ€rker sind sie auch zu schĂŒtzen. Bei besonders schutzwĂŒrdigen Daten sollte sorgfĂ€ltig abgewogen werden, ob und unter welchen Vorkehrungen sich bestimmte Aufgaben fĂŒr Homeoffice – Arbeiten eignen.

Hier ein paar Beispiele fĂŒr Schutzmaßnahmen:

  • Zugriffskontrolle im Homeoffice mit Identifizierungs- und Authentifizierungsmechanismus
  • GerĂ€t(e) offline stellen
  • Protokollierung und Auswertung im Homeoffice
  • VerschlĂŒsselung und anonymisierte Datenverarbeitung
  • Fernwartung (Firewall, Updates, IntegritĂ€tsprĂŒfung, Boot-Schutz)
  • Clean-Desk-Policy

Mobile Arbeit:

Homeoffice und Mobile Arbeit sind in den letzten Monaten fĂŒr viele Arbeitnehmer von der Ausnahme zur NormalitĂ€t geworden. Anfang Oktober 2020 hat Bundesarbeitsminister Hubertus Heil einen ersten Gesetzentwurf vorgelegt, der das Recht auf Mobiles Arbeiten regeln soll.

Mobile Arbeit ist aber keineswegs eine Neuerscheinung. Viele Projektmanager, Ingenieure und ITÂŽler erbringen ihre Arbeitsleistung an wechselnden Orten, typischerweise außerhalb des Betriebs (etwa auf Reisen im Zug, im Flugzeug oder im Hotel). Dadurch entstehen andere Risiken als im BĂŒro oder Zuhause im Homeoffice. VerschlĂŒsselungssysteme fĂŒr den E-Mail-Versand, Virenschutzprogramme, Fernwartung durch die IT und Zugriffsberechtigungen reichen bei weitem nicht aus um Hacker, Social Engineers und Computerviren abzuwehren. Der Kernpunkt ist das Sicherheitsbewusstsein des Mitarbeiters.

Der Mitarbeiter muss ein gesundes Sicherheitsbewusstsein haben oder dieses regelmĂ€ĂŸig vermittelt bekommen. Wenn das EndgerĂ€t nicht gesichert wird, ein zu einfaches Passwort verwendet wird, keine Updates installiert werden, unbekannte Hardware oder Software installiert wird, die Sicht auf den Bildschirm zugelassen wird oder die vermeintlich harmlose Bilddatei im E-Mail-Anhang, ohne zu ĂŒberlegen geöffnet wird, dann wird selbst die beste Sicherheitssoftware ausgehebelt und sensible Daten können abgegriffen werden. Hat der Angreifer auf das EndgerĂ€t Zugriff, kann er versuchen sich auf das Firmennetzwerk auszubreiten.

Es reicht daher nicht, dass der Arbeitgeber in Hardware investiert, die Datenschutz grundsĂ€tzlich ermöglicht, oder die ITÂŽler einen VPN Client einrichten. Die Mitarbeiter mĂŒssen selbst eine große SensibilitĂ€t fĂŒr das Thema Datenschutz entwickeln. Das gilt besonders, wenn Mobiles Arbeiten bedeutet, dass hĂ€ufig an öffentlichen Orten gearbeitet wird. Das Nutzen nicht passwortgeschĂŒtzter oder öffentlicher WLAN-Verbindungen ist hinsichtlich des Datenschutzes zu unsicher.

Eine klare Trennung zwischen Homeoffice, BĂŒro und das Arbeiten unterwegs ist heutzutage nicht mehr möglich und auch nicht gewollt. Das Mobile Arbeiten lĂ€sst die Grenzen verschwimmen. Sensibilisierung und Sicherheitsvorkehrungen vor allem im Social- Engineering- und IT-Bereich sind essenziel fĂŒr den Umgang mit Daten und Informationen durch Firmenmitarbeitern aller Hierarchieebenen.

Falls Sie weitere Informationen oder Beratungen zum Thema Sicherheit im Homeoffice oder zu unseren anderen Sicherheitslösungen nutzen wollen, kontaktieren sie uns ĂŒber unser *Kontaktformular* oder rufen Sie uns einfach an. Unser Team aus Experten steht Ihnen gerne beratend zur Seite.