Sorry, you need to enable JavaScript to visit this website.
AssCompact suche
Home
Steuern & Recht
9. Juli 2021
Home-Office? Aber sicher!

Home-Office? Aber sicher!

Wie wird der Arbeitsalltag nach Ende der Corona-Pandemie aussehen? Flexiblere Arbeitsplatzmodelle zwingen Vermittler dazu, insbesondere im Umgang mit Kundendaten auf einige Punkte zu achten, um Datenschutz und -sicherheit nicht zu gefährden. Welche das sind, erläutert Rechtsanwältin Carola Sieling.

Mit der Corona-Pandemie sind viele Unternehmen vor besondere Herausforderung gestellt worden. Wo vorher in Großraumbüros oder Kantinen reges Treiben herrschte, ist heute nur noch gähnende Leere vorzufinden. Mitarbeiter wurden freiwillig oder unfreiwillig ins Mobile- bzw. Home-Office geschickt und sollten fortan ihre Tätigkeit nicht am sonst gewohnten Arbeitsplatz ausüben. Unternehmen, die bereits im Vorfeld sowohl technische als auch rechtliche Strategien für flexible Arbeitsorte entwickelt hatten, waren klar im Vorteil.

Datenschutz und Datensicherheit

Die Unternehmenslandschaft musste infolge dessen neue Herausforderungen annehmen und ihr Augen­merk auf ausreichenden Daten­schutz und ausreichende Datensicherheit legen. Jedes Unternehmen ist als verantwortliche Stelle nach den Regelungen der DatenschutzgrundverordnungIm Zusammenhang mit der Frage, wie der Arbeitsalltag nach Ende der Corona-Pandemie aussehen wird, ist immer wieder von flexibleren Arbeitsplatzmodellen die Rede. Doch Vermittler müssen insbesondere im Umgang mit sensiblen Kundendaten auf einige Punkte achten, um Datenschutz und Datensicherheit nicht zu gefährden. Welche das sind, erläutert IT-Fachanwältin Carola Sieling. (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) verpflichtet, angemessene Maßnahmen zu treffen, um den Datenschutz und die Datensicherheit zu gewährleisten. Datenschutz meint in erster Linie den Schutz personenbezogener Daten vor Beeinträchtigungen des Persönlichkeitsrechtes, wohingegen Datensicherheit vor Verlust oder Missbrauch von personenbezogenen Daten schützen soll. Beide Aspekte sind von den Datenschutzregelungen erfasst.

Anforderungen an technische und organisatorische Maßnahmen

Gemäß Art. 32 DSGVO hat jedes Unternehmen sicherzustellen, dass ausreichende technische und organisatorische Maßnahmen zum Datenschutz und zur Datensicherheit ergriffen werden, und zwar unter Berücksichtigung des Stands der Technik, der Kosten, der Art und Zwecke der Verarbeitung sowie des Eintrittsrisikos und des Schädigungspotenzials für die Betroffenen.

Organisatorische Maßnahmen

Organisatorische Maßnahmen können beispielsweise sein, dass Mitarbeiter für das Thema Datenschutz und Datensicherheit durch regelmäßige Schulungen sensibilisiert werden. Insbesondere das Home- oder Mobile-Office betreffend sollte darauf aufmerksam gemacht werden, dass unberechtigte Dritte (außerhalb des Unternehmens stehende Personen) keinen Einblick in die Tätigkeiten und Daten des Unternehmens erhalten dürfen. Eine derartige Gefahr besteht beispielsweise durch offen liegende Unterlagen oder ungünstige Positionierung von Bildschirmen. Mitarbeiter müssen auch auf das Risiko hingewiesen werden, dass selbst im häuslichen Umfeld unberechtigte Zugriffe auf unternehmenseigene Daten passieren können und dies im Vorfeld verhindert werden muss. Es ist zu empfehlen, dass Mitarbeiter außerhalb der Betriebsstätte möglichst in einem separaten Raum arbeiten und der Arbeitgeber durch entsprechende Anweisung dafür Sorge trägt, dass Mitarbeiter Bildschirme bei Abwesenheit sperren, ausgedruckte Dokumente ordnungsgemäß entsorgen oder verschlossen transportieren. Anders als bei Datenträgern sind in Papierunterlagen befindliche Daten auf den ersten Blick einsehbar. Richtlinien oder Arbeits­anweisungen bzw. Vereinbarungen mit dem Mitarbeitenden oder dem Betriebsrat sind hier unbedingt zu treffen, um den Anforderungen zu genügen.

Technische Maßnahmen

Neben den organisatorischen Maßnahmen sind auch technische Maßnahmen zu ergreifen, die den Mitarbeitenden insbesondere bei der Geheimhaltung der unternehmenseigenen Daten unterstützen. Zum Beispiel gibt es für reisende Mitarbeiter die Möglichkeit, dass Laptops bzw. Smartphones entsprechend mit einer Sichtschutzfolie ausgestattet werden. Zudem sollte ein ausreichender und komplexer Passwortschutz den Zugang zu den Systemen schützen. Hinzukommen können weitere Sicherungsmaßnahmen wie eine sichere Anbindung des Rechners im Home-Office an die Server der Unternehmen durch ein Virtual Private Network (VPN), auch eine Zwei- oder Mehr-Faktor-Authentifizierung sichert die Systeme vor unberechtigten Zugriffen ab und ist Stand der Technik als Zugangsvoraussetzung für besonders sensible Daten. Ein Mobile-­Device-Management (MDM) kann unterstützen, um Rechner zu monitoren, Updates einzuspielen oder auch im Verlustfalle Daten aus der Ferne zu löschen. Auch durch simple Maßnahmen wie ein Headset kann die Vertraulichkeit des Wortes gewahrt werden.

Private Endgeräte

Aus der Praxis kann berichtet werden, dass häufig im Rahmen der kurzfristigen Umstellung auf das Home-Office zu pragmatischen, nicht aber immer sicheren Lösungen gegriffen wurde. Dies sollte nunmehr nach über einem Jahr der Pandemie, soweit nicht schon erfolgt, auf jeden Fall überprüft werden. Viele Unternehmen haben zur Verarbeitung von unternehmens­eigenen Daten private Endgeräte zugelassen. In der Regel sollte jedoch auf die Nutzung privater Endgeräte verzichtet werden, besonders aufgrund der erhöhten Gefahr der Vermengung von privaten und beruflichen Daten und der auch im Übrigen schwierigen Situation, dass private Endgeräte in der Regel nicht in das Monitoring bzw. in das Datensicherheitskonzept eines Unter­nehmens aufgenommen werden können. Auch aus steuerrechtlicher Sicht kann der Einsatz von privaten Endgeräten zur dienstlichen Nutzung tückisch sein. Grundsätzlich ist es allerdings möglich, private Endgeräte im Rahmen der dienstlichen Nutzung zuzulassen. Diese Art der Verwendung nennt man auch BYOD (bring your own device). Soll BYOD in einem Unternehmen zulässigerweise zum Einsatz kommen, ist unbedingt zu prüfen, ob das erforderliche Schutzniveau für die Verarbeitung dienstlicher Daten eingehalten werden kann.

Videokonferenzsysteme

Auch kommen im Rahmen von neu geschaffenen Home- und Mobile-­Office-Arbeitsplätzen neue Tools und neue Software zum Einsatz. Insbesondere haben Video­konferenzlösungen Präsenzbesprechungen im vergangenen Jahr ersetzt. Auch hier sind die üblichen datenschutzrechtlichen Anforderungen wie zum Beispiel der Abschluss von Auftragsverarbeitungsverträgen, ausreichende Verschlüsselung, datenschutzkonforme Konfiguration sowie die Erfüllung von Datenschutzhinweisen zu berücksichtigen.

 

Home-Office? Aber sicher!

 

Weiterführende Informationen

Auch die Aufsichtsbehörden sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) waren nicht untätig und haben Checklisten, Hinweise und Informationen kostenfrei zur Verfügung gestellt. Hervorzuheben sind hier die vom Bayerischen Landesamt für Datenschutzaufsicht am 18.05.2020 veröffentlichten Best-Practice-Prüfkriterien, die einen guten Unternehmens-Check ermög­lichen.

Über die Autorin

Carola Sieling ist Fachanwältin für IT-Recht und Gründerin der Rechtsanwaltskanzlei Sieling. Die Kanzlei mit Niederlassungen in Hamburg und Paderborn ist auf Arbeitsrecht und IT-Recht spezialisiert.

Diesen Artikel lesen Sie auch in AssCompact 07/2021 und in unserem ePaper.

Bild: © Feodora – stock.adobe.com

 
Ein Artikel von
Carola Sieling