Datenschutz und Datensicherheit im Homeoffice

Datenschutz und Datensicherheit im Homeoffice

Es ist nun schon fast 1,5 Jahre her, dass plötzlich ein beträchtlicher Teil der Bevölkerung die Büros verließ und begann, von Zuhause zu arbeiten. Seither nutzen u. a. Cyber-Kriminelle diese neuen potentiellen Schwachstellen in Datenschutz und Datensicherheit im Homeoffice für ihre eigenen Ziele aus. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) und der Gesamtverband der Deutschen Versicherungswirtschaft e.V. (GDV) führten hierzu Umfragen durch (Link zur Umfrage des BSI, Link zur Umfrage des GDV). Das Ergebnis zeigt ganz klar: Es ist weiterhin wichtig, zur IT-Sicherheit im Homeoffice aufzuklären. Schon allein deswegen, weil die Datensicherheit eng einhergeht mit dem Datenschutz: Hier sind Verantwortliche in der Pflicht, die Regelungen der DSGVO einzuhalten.

Datenschutz und Datensicherheit

Unternehmen und Behörden arbeiten heutzutage zunehmend digital. Dabei ist die Verarbeitung personenbezogener Daten unvermeidlich. Täglich werden E-Mails versandt. Beschäftigte ändern Daten in der für die Lohnbuchhaltung genutzten Software. Jede im Unternehmen tätige Person greift auf die für ihre Arbeit benötigten Informationen über das Firmennetzwerk zu.

Die Sicherheit der personenbezogenen Daten – kurz: den Datenschutz – dabei zu gewährleisten, sind Pflicht eines jeden Unternehmens, Vereins, einer jeden Arztpraxis, Behörde etc. Sicherlich implementierten die Verantwortliche technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zum Datenschutz und zur Datensicherheit in ihrer Einrichtung. Bei der Arbeit im Homeoffice handelt es sich jedoch um ein anderes Umfeld als bei der im Büro.

Schwachstellen im Homeoffice

Im Homeoffice können Schwachstellen existieren, die es im Büro nicht gibt:

1)  Sofern ein Beschäftigter sich einen Haushalt mit anderen Personen teilt, besteht die Gefahr, dass diese Personen unbefugten Zugriff auf die Daten erhalten und sei es nur im Vorbeigehen.

2)  Personenbezogene Daten, die sich in Ordnern, Akten o. Ä. befinden, können beim Transport vom Büro ins Homeoffice oder umgekehrt verloren gehen oder gestohlen werden.

3)  Im Homeoffice wird die private Internetverbindung genutzt. Da stellt sich beispielsweise die Frage, ob das vom Hersteller vorgegebene Passwort jemals geändert wurde. (Mehr zu Erstellung eines Passwortes können Interessenten hier lesen.)

4)  Möglicherweise haben Beschäftigte kein Dienstmobiltelefon. Also nutzen sie ihre privaten Mobiltelefone und tauschen mit Kollegen ggf. personenbezogene Daten sogar über WhatsApp aus. Eventuell speichern sie auch personenbezogene Daten im Zusammenhang mit ihrer Arbeit gemeinsam mit privaten Daten auf dem Telefon.

5)  Eine Excel-Liste mit Zeiterfassungsübersicht oder Abwesenheitsliste druckt ein Beschäftigter im Homeoffice mit dem eigenen Drucker aus. Hier besteht die Gefahr des unbefugten Zugriffs, da die Daten eventuell im Speicher verbleiben und durch andere, unbefugte Personen einsehbar sind.

Die Liste eventueller Schwachlisten ist weitaus länger. Schwachstellen, für die die Gefahr im Homeoffice bei unzureichenden technischen und organisatorischen Maßnahmen umso größer ist, sind vom Verantwortlichen zu bewerten, einzuschätzen und mit angemessenen Maßnahmen vor Angriffen zu schützen (mittels einer Datenschutz-Folgenabschätzung).

Technische und organisatorische Maßnahmen im Homeoffice

Einige möglichen technischen und organisatorischen Maßnahmen haben wir in unserem Beitrag „Homeoffice-Herausforderungen schrittweise meistern“ angesprochen. Konkret empfehlen wir u. a. folgende Maßnahmen in Ihrer Einrichtung o. Ä. für die Homeoffice-Arbeit zu etablieren, sofern es nicht schon umgesetzt worden ist (dies ist keine abschließende Liste):

1)  Um zum Datenschutz und zur -sicherheit bei der Verarbeitung personenbezogener Daten im Homeoffice beitragen zu können, müssen Beschäftigte sich des Datenschutzes und der DSGVO bewusst sein. Dies kann ein Verantwortlicher erreichen, in dem er die Beschäftigten zum Datenschutz sensibilisiert, Richtlinien erstellt und zur Verfügung gestellt oder auch Zusatzvereinbarungen mit ihnen abschließt.

2)  Die digitale Arbeit im Homeoffice sollte über eine VPN-Verbindung stattfinden.

3)  Bei dem Einsatz von Messenger-Diensten ist genauestens zu beachten, ob und wie datenschutzkonform ihr Einsatz ist. Tatsächlich sind nur wenige Messenger-Dienste datenschutzkonform.

4)  Der Verantwortliche sollte die Beschäftigten bei Bedarf dabei unterstützen, ihr Internet datenschutzkonform einzurichten.

5)  Es sollte eine Richtlinie zur Nutzung privater Scan-, Kopier- und Fax-Geräte geben, um den unbefugten Zugriff zu vermeiden. Die Übermittlung personenbezogener Daten per Fax wird von den Datenschutzaufsichtsbehörden als Verstoß gegen den Datenschutz angesehen; davon ist also abzuraten (mehr dazu hier).

6)  Ist es tatsächlich vonnöten Dokumente vom Büro ins Homeoffice zu bringen, ist im Homeoffice sicherzustellen, dass keine unternehmensexterne Person diese einsehen kann. Ist die Tagesarbeit beendet, sind die Dokumente wegzuschließen.

7)  Sofern den Beschäftigten die Nutzung privater Endgeräte erlaubt wird, empfehlen wir, eine Möglichkeit zu finden, berufliche von privaten Daten zu trennen – beispielswiese mithilfe einer Container-Lösung (mehr hierzu in unserem Beitrag „Container-Apps und ihr Nutzen“).

8)  Um sich in eine Software, ein Programm o. Ä. einzuloggen, empfiehlt u. a. das BSI (Bundesamt für Sicherheit in der Informationstechnik) auch die Mehr-Faktor-Authentisierung.

9)  Keine Weiterleitung dienstlicher E-Mails zur privaten E-Mail-Adresse zur Bearbeitung.

Weitere Hilfestellungen

Auch die Datenschutzaufsichtsbehörden und das BSI bieten Hilfestellungen zu diesem Thema an:

1)  Das Bayerische Landesamt für Datenschutzaufsicht hat  eine informative Handreichung zusammengestellt. In diesem Dokument (Link) können Verantwortliche sich anhand von Beispielen u. a. darüber informieren, wie die Arbeitsumgebung im Homeoffice datenschutzkonform zu gestalten ist, wie Beschäftigte mit Papierdokumenten umgehen sollten, was bei dem Einsatz von Videokonferenzsystemen zu beachten ist etc.

2)  Auch die Landesbeauftragte für den Datenschutz Niedersachsen liefert auf ihrer Webseite ausführliche Informationen zu für den Homeoffice empfohlenen technischen und organisatorischen Maßnahmen (Link).

3)  Der Bundesbeauftragte für Datenschutz und Informationssicherheit hat ein Dokument mit Hinweisen zur datenschutzkonformen Arbeit im Homeoffice zusammengestellt (Link).

4)  Die Brandenburger Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht gibt ausführliche Hinweise zu Umsetzung des Datenschutzes im Homeoffice (Link).

5)  Hilfestellungen des BSI zum sicheren, datenschutzkonformen Arbeiten im Homeoffice finden Interessenten hier.

Aktualisierung der Dokumentation zum Datenschutz

Darüber hinaus gehend ist gegebenenfalls auch die Dokumentation zum Datenschutz zu überarbeiten:

1)  Die Datenschutzhinweise sind in Bezug zur Verarbeitung personenbezogener Daten im Homeoffice zu erweitern bzw. zu ergänzen.

2)  Wir empfehlen, mit den Beschäftigten Vereinbarungen zum Homeoffice zu schließen. Dies hilft auch dabei, dass sich die Beschäftigten ihrer Pflichten – besonders in Verbindung mit dem Datenschutz – bewusst sind.

3)  Eventuell ist das Verzeichnis von Verarbeitungstätigkeiten zu ergänzen, beispielsweise zum Transport von Dokumenten mit personenbezogenen Daten.

4)  Auch die Erstellung weiterer oder die Ergänzung der existierenden Richtlinien ist eventuell erforderlich (Richtlinie zur Nutzung von Scan-, Kopier- und Fax-Geräten; Richtlinie zur Nutzung privater Endgeräte; Richtlinie zum Transport von Dokumenten etc.).

Fazit

Unternehmen, Behörden und jegliche anderen Einrichtungen waren kurzfristig gezwungen, ihre Beschäftigten im Homeoffice arbeiten zu lassen, sofern es die Natur der Beschäftigung zuließ. Dafür haben die Aufsichtsbehörden Verständnis gezeigt. Dennoch erwarteten sie, dass Einrichtungen schnellstmöglich angemessene technische und organisatorische Maßnahmen implementierten, sofern diese nicht schon existierten. Eine “Übergangsphase”, während der die Datenschutzaufsichtsbehörden ggf. “ein Auge zugedrückt” haben, ist längst vorbei. Ein Ausbleiben der ggf. notwendigen Anpassung der geeigneten technischen und organisatorischen Maßnahmen und Aktualisierung der Datenschutzdokumentation kann zu Bußgeldern, Schadenersatzansprüchen und Abmahnungen führen.

Wir haben die Expertise, Sie bei Bedarf hierzu unterstützen zu können. Kontaktieren Sie uns gern für weitere Informationen.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.