SMART OFFICE Datenschutz
© Robert Kneschke - Adobe Stock

SMART OFFICE Datenschutz

RISIKO HOMEOFFICE Fast drei Jahre nach Einführung der DSGVO scheint Daten-schutz auch wegen der vielen Homeoffice-WorkerInnen aktueller denn je. Was ist ge-rade für den Arbeitsplatz zu Hause in puncto sensibler Daten zu beachten? Ein Überblick.

Als der Digitalverband Bitkom im Herbst 2020 mehr als 500 Unternehmen nach der Umsetzung der Datenschutz-Grundverordnung (DSGVO) befragte, war das Ergebnis zweieinhalb Jahre nach Einführung einigermaßen ernüchternd. Nur jedes fünfte Unternehmen (20 Prozent) hatte bis dahin die DSGVO vollständig umgesetzt und Prüfprozesse für die Weiterentwicklung etabliert.

Die neue Situation mit viel Arbeit von Zuhause macht die Situation nicht einfacher. Viele beklagen etwa unklare Vorschriften. Zudem hadern viele Unternehmen während der Pandemie damit, ihren Betrieb datenschutzkonform aufrechtzuhalten. Viele Hilfsmittel, die zum Beispiel das Arbeiten aus dem Homeoffice erleichtern könnten, werden aus Datenschutzgründen nur eingeschränkt eingesetzt. Fast jedes vierte Unternehmen (23 Prozent) verzichtet aus Datenschutzgründen ganz auf Kollaborationstools, so die Bitkom-Studie.

In der DSGVO geht es um das Erfassen, Speichern und Nutzen von personenbezogenen Daten. Im Kern soll die Verordnung sicherstellen, dass der Schutz von Daten wie zum Beispiel Name, Adresse, Telefonnummern, Kfz-Kennzeichen, Bank- oder Gesundheitsdaten in Europa einheitlich geregelt ist, egal ob als Hartkopien oder digital, als Foto, Video oder Text. Daraus resultieren im Joballtag etliche To Dos. Beispielsweise müssen wir Daten immer auf dem neuesten Stand halten und dürfen gleichzeitig nur Daten speichern, die wir benötigen. Viel Aufwand erfordert es beispielsweise auch, dass alle Vorgänge, Arbeitsprozesse und Handlungen rund um personenbezogene Daten aufgezeichnet werden müssen (Dokumentationspflicht). Der Umgang mit den sensiblen Daten muss sich nachvollziehen lassen, wie in einem Fahrtenbuch. Und Daten und Akten müssen vernichtet werden, wenn wir sie nicht mehr benötigen, und zwar unverzüglich.

Wer liest alles mit?

Und das gilt auch im Homeoffice, für viele gefühlt eigentlich ein geschützter Raum. In puncto Datenschutz ist er das aber womöglich nicht. „Bei der Datenverarbeitung im Homeoffice der Mitarbeitenden besteht grundsätzlich ein erhöhtes Risiko für die Sicherheit der Daten“, sagt Marinus Stehmeier von der Datenschutzkanzlei in Hamburg. Der Rechtsanwalt erklärt auch, warum: „So besteht die Gefahr, dass Außenstehende, wozu auch Familienangehörige zählen, einen unbefugten Zugang zu personenbezogenen Daten erhalten.“

Damit das nicht passiert, muss der Arbeitgeber technische und organisatorische Maßnahmen ergreifen. Denn er steht in puncto Datenschutz auch in den vier Wänden der Mitarbeitenden ein Stück weit in der Pflicht. „Der Arbeitgeber bleibt Verantwortlicher im Sinne von Art. 4 Nr. 7 der Datenschutzgrundverordnung“, zitiert Ralf Lautenbacher, Chief Information Security Officer bei Brainloop, aus dem Paragrafen, der das regelt. „Er muss sicherstellen, dass die Datenverarbeitung durch die MitarbeiterInnen gemäß den Datenschutzregelungen erfolgt und geeignete und angemessene technische und organisatorische Maßnahmen ergriffen werden.“ Was aber bedeutet das in der Praxis?

Zu den ganz spezifischen Maßnahmen, die Arbeitgeber ergreifen müssen, gehören die Sicherung der Übertragungswege und die Verschlüsselung der Daten. Stehmeier:„Außerdem sollten die Beschäftigten klare Vorgaben zur Nutzung der bereitgestellten Geräte und zur Einrichtung des häuslichen Arbeitsplatzes erhalten.“ Welche das sind, hängt oft von der Art der Tätigkeit und Organisation des Unternehmens ab. Und manche haben durchaus Erklärungsbedarf. Für die Datenschutz-Experten steht die Aufklärung der Mitarbeiter meist an erster Stelle, mit Schulungen beispielsweise. Viele Firmen haben IT-Security-Regelungen, die den Mitarbeitenden in verschiedenen Feldern Rahmen und Regeln vorgeben.

Was ist Schutz, was Sicherheit?

Bei TeamViewer selbst beispielsweise reichen diese Richtlinien über Themen wie Passwörter, Gerätenutzung bis hin zu Schwachstellenerkennung und Backups. „Wichtig ist, dass Mitarbeitende sich mit der Klassifizierung von Daten, dem Unterschied zwischen Datenschutz und Datensicherheit und dem grundsätzlichen Umgang mit verschiedenen Daten auskennen“, erklärt Simone Angstmann, Data Protection Project Lead bei TeamViewer, einem Anbieter von Remote-Konnektivitätslösungen. Die meisten Unternehmen verfolgen bei der Klassifizierung vermutlich immer noch den pragmatischen Ansatz, der in öffentliche, interne, vertrauliche und geheime Daten unterteilt. Es geht aber auch differenzierter. Eine Klassifizierung (Information Classification Policy) hilft im Joballtag, Daten als sensibel einzustufen und entsprechend datenschutzkonform zu verarbeiten. Auch die begriffliche Unterscheidung gibt eine Orientierung: Datenschutz zielt auf das Recht eines jeden auf informationelle Selbstbestimmung und Schutz der Privatsphäre. Datensicherheit ist ein damit eng verknüpfter Begriff, betrifft im Unterschied zu Datenschutz im Unternehmen aber alle Daten, egal ob mit Personenbezug oder ohne, also zum Beispiel auch Produktionspläne. Beim Thema Datensicherheit geht es beispielsweise darum, sie gegen Diebstahl, Verlust & Co. zu sichern – technisch und organisatorisch.

Im Homeoffice müssen alle selbst darauf achten, dass an dem Arbeitsplatz zu Hause ausreichende Datensicherheit herrscht. „Wichtig ist, dass die verwendeten Geräte und Dokumente sicher aufbewahrt werden können“, so Stehmeier. Empfehlenswert ist hier ein eigener, abschließbarer Raum, der nach Feierabend oder in Pausen für Dritte nicht zugänglich ist. Aber wer verfügt zu Hause schon über einen ansonsten ungenutzten Raum? Laut RechtsexperteStehmeier sollten dann zumindest sämtliche Unterlagen in einem abschließbaren Schrank oder Rollcontainer aufbewahrt werden.

Ebenfalls wichtig: „Der Arbeitsplatz sollte so gewählt werden, dass Familienmitglieder oder Besucher keinen Blick auf das verwendete Notebook oder in die Papierunterlagen werfen können“, so Stehmeier. Streng genommen müssen also auch bei einem kurzen Gang in die Küche die verwendeten Geräte gesperrt werden, damit der Zugriff durch andere ausgeschlossen ist.

„Wichtig ist das konkrete Verhalten der Mitarbeitenden im Homeoffice“, meint auch Simone Angstmann. TeamViewer empfiehlt seinen Mitarbeitenden, bei geteilten Arbeitsplätzen zu Hause eine Sichtschutzfolie am Bildschirm anzubringen. „Außerdem bitten wir sie, in ihren eigenen vier Wänden keine geschäftlichen Dokumente auszudrucken, sondern möglichst alles digital zu bearbeiten. Handelt es sich dabei um vertrauliche Inhalte, geben wir zum Beispiel vor, dass die Dokumente mit einem Passwort geschützt werden müssen.“

Die Sache mit den eigenen Geräten

Kompliziert wird es Stehmeier zufolge immer dann, wenn Mitarbeitende im Homeoffice eigene Endgeräte wie Laptops, Smartphones oder Tablets verwenden. „Generell sollten nur Systeme verwendet werden, die das Unternehmen bereitstellt“, meint Ralf Lautenbacher von Brainloop. „Allerdings waren zu Beginn der Covid-19-Pandemie zu wenige Firmen-Notebooks verfügbar, sodass MitarbeiterInnen im Homeoffice auf private Rechner zurückgreifen mussten.“ Bring Your Own Device (BYOD) wird das auch genannt. Und auch solche Systeme ließen sich ohne Sicherheits- und Compliance-Risiko einsetzen, meint Lautenbacher. Die Voraussetzung für ein BYOD-Konzept sei das Zusammenspiel mit einer Mobile-Device-Management-Lösung (MDM). Entscheidend sei, dass die IT-Abteilung private Systeme mit einer MDM-Software identifizieren und verwalten kann. Zudem müssen auf BYOD-Endgeräten private und geschäftliche Daten getrennt sein.

Den Experten zufolge können bei BYOD verschiedene Lösungen helfen. Technisch können wir heutzutage auf eine Reihe von Cloud-Technologien zurückgreifen, welche uns ermöglichen, den Datenschutz auf firmeninternen als auch auf eigenen Geräten zu gewährleisten und zusätzlich die Datenschutzbestimmungen nach geltendem Recht wahrzunehmen“, erklärt etwa Jan Emmerich von New Media Service. „Moderne Cloud-Technologien wie ein Modern-Workplace-Konzept erlauben es uns technisch, geschäftliche Bereiche auf privaten Geräten zu schaffen.“ Sie können dann von der IT verwaltet werden, ohne auf die privaten Bereiche des Mitarbeiters zuzugreifen.

Sollte es also tatsächlich mal zu einer Datenpanne kommen, muss schnell gehandelt werden. „Denn zum einen müssen bei einem Datenschutzvorfall die Aufsichtsbehörde und ggf. auch die Betroffenen innerhalb von 72 Stunden informiert werden“, so Stehmeier, „zum anderen lassen sich durch eine zügige Reaktion oftmals weitere Schäden verhindern.“

Videokonferenzen, Tools & Co.

Übrigens müssen HomeworkerInnen auch ihre virtuellen Meetings und Videokonferenzen so führen, dass weder Nachbar, DHL-Bote, Partner oder Kind vertrauliche Inhalte der Gespräche wahrnehmen können. Heißt im Klartext: Fenster nur öffnen, wenn niemand vorbeikommen und zuhören kann. Und wer eine Videokonferenz aufzeichnet, muss vorher die Einwilligung aller Teilnehmer einholen. Eine heimliche Aufzeichnung verstößt gegen die Datenschutzbestimmungen und kann sogar strafrechtliche Konsequenzen haben, warnt Rechtsanwalt Stehmeier. „Zudem sind Arbeitgeber verpflichtet, bei der Verwendung von Kommunikationstools, die zum Beispiel Videokonferenzen unterstützen, auf deren datenschutzrechtliche Eignung zu achten“, erklärt Simone Angstmann von TeamViewer. Das Unternehmen bietet beispielsweise die gleichnamige App für den Fernzugriff, in einer Version auch kostenlos, mit dem der Kollege von der IT mal schnell auf den Bildschirm der Kollegin im Homeoffice schauen kann. Nach einer Authentifizierung lässt sich so beispielsweise aus der Ferne klären, warum wohl eine Anwendung hängt, ob alle Häkchen in den Einstellungen richtig sitzen etc. Videokonferenz-Verbindungen über TeamViewer Meeting sind unter anderem Ende-zu-Ende verschlüsselt (E2EE), „wodurch die Daten sehr gut geschützt sind“, so Angstmann.

TeamViewer hat aus technischer Sicht ohnehin verschiedene Programme im Einsatz, die die Daten und die Mitarbeiter schützen. „Wir nutzen VPN-Lösungen in Kombination mit lokal installierten Sicherheitsapplikationen“, erklärtAngstmann. Darunter fallen klassische Anti-Viren-Software, aber auch Programme, die Mitarbeitende vor speziellen Schadprogrammen schützen. Zusätzlich seien bei den Mitarbeitenden alle Endgeräte verschlüsselt.

Unterstützend lassen sich sensible Informationen in einem geschützten, digitalen Secure Dataroom, etwa von Brainloop, ablegen, um den Datenaustausch sicher zu machen. Die Daten werden verschlüsselt abgelegt und übertragen, der Zugriff wird nachvollziehbar. Die Ablage und Übermittlung der Daten sollte Lautenbacher zufolge auf einer geltenden „Information Classification Policy“ basieren. Sie legt fest, welche Regeln für Dokumente gelten, und zwar von deren Erstellung bis zur Vernichtung.

Woran die wenigsten denken

Doch auch das beste Sicherheitskonzept kann nicht verhindern, dass mal ein Fehler passiert. „Ein wichtiger Punkt bei der Arbeit im Homeoffice ist der Umfang mit ,Unstructured Data`, also zum Beispiel Notizen, die man schnell mal auf Papier notiert und später in den Müll wirft“, sagt Simone Angstmann. Und das, ohne sie zu schreddern, obwohl sie möglicherweise vertrauliche Infos enthalten. Im Sinne der DSGVO können das schon personenbezogene Daten wie Name, Telefonnummern und Bankdaten sein. „Eine andere Stolperfalle beim Thema Datenschutz ist, dass Datenverstöße, die im Homeoffice passieren, oft nicht als solche erkannt und gemeldet werden. Dazu gehört zum Beispiel, dass der Partner Daten sieht, die er nicht hätte sehen sollen“, so Angstmann. Im Büroalltag selbst könne es übrigens zu DSGVO-Verstößen kommen, wenn Datensätze, die von einer anderen Abteilung angefragt werden, ohne weiteres geteilt werden. Solche Daten könnten und müssten je nach Zweck der Verwendung pseudonymisiert und/oder minimiert werden. „Mitarbeitende vergessen häufig, die Arbeitsergebnisse ins Unternehmensnetz zu übertragen. Diese bleiben auf dem Rechner im Homeoffice, und das führt zu erhöhten Risiken“, so Lautenbacher.

Auch im Homeoffice müssen Daten übrigens ordnungsgemäß nach den jeweiligen Bestimmungen des Arbeitgebers vernichtet werden. Ausdrucke gehören nicht in den privaten Hausmüll, die Dokumente müssen im Büro vernichtet oder am heimischen Arbeitsplatz geschreddert werden. Für diese Zwecke haben einige Hersteller handliche Aktenvernichter fürs Homeoffice im Programm, teils mit hohen P-Sicherheitsstufen, die den Zerkleinerungsfaktor angeben. Denn auch damit lässt sich Datenschutz zu Hause organisieren.

Datenschutz im Homeoffice: Das ist tabu

Auch wenn die Regelungen fürs Homeoffice von der Organisation des Unternehmens abhängen, gibt es laut Rechtsanwalt Marinus Stehmeier grundsätzliche Regeln, die für alle gleichermaßen gelten. Hierzu zählen folgende Verbote:

  • Mitteilung ohne sonstige Kenntnisnahme von Passwörtern durch Dritte (z. B. durch das Notieren von Passwörtern oder die Lagerung von Zugangskarten)
  • Zugriff auf betrieblich genutzte Software und Geräte durch Dritte (auch Familienangehörige)
  • Speicherung betrieblicher Daten auf eigenen USB-Sticks oder Cloud-Speichern (z. B. automatische Synchronisierung mit Google, Apple und Co.)
  • Weiterleitung beruflicher Mails auf private Accounts
  • Vernichtung von Ausdrucken über den Hausmüll

Quelle: Blog-Beitrag auf datenschutzkanzlei.de


Produktübersicht Aktenvernichter

Hersteller

Markenname

Modelle

Dahle

www.dahle -office.com

Dahle ShredMatic

3 Modelle, eignen sich für besonders sensible Daten, Zerkleinerung gemäß Sicherheitsstufe P-4

Dahle

www.dahle -office.com

Dahle PaperSafe

8 verschiedene Modelle, Sicherheitsstufen P-2 bis P-5

Fellowes

www.fellowes.com

Powershred LX211

Mikroschnitt-Gerät, Sicherheitsstufe P-5

HSM

www.hsm.eu

HSM Securio C16

HSM Securio C18

Einstiegsgeräte, geeignet für zu Hause und im kleinen Büro

Ideal Krug Priester

www.ideal.de

Ideal 2245/2265

Ideal 2445/2465

Einstieg in die Kategorie der Schreibtisch-Aktenvernichter
kleinere Geräte, geeignet fürs Homeoffice