Datenschutz im Homeoffice
Bild: CASC – full service agentur GmbH
Die Arbeit von zu Hause erlebte im letzten Jahr einen regelrechten Aufschwung. Heimarbeit scheint unkompliziert. Jedoch stellt sie spezielle Herausforderungen für das Befolgen der Vorgaben für Integrität und Vertraulichkeit. Der Datenschutz endet nicht bei den Unternehmensräumlichkeiten. Für eine adäquates Schutz- und Sicherheitsniveau sind sowohl Dienstgeber, als auch Dienstnehmer gefordert.
Im Großen und Ganzen besteht die Gefahr darin, dass die Sicherheitsansprüche im Bezug auf Daten nicht gewährleistet werden können und Dritte somit Zugriff auf Unternehmensinterna erlangen. Was sind denkbare Szenarien beim Homeoffice und mögliche Konsequenzen?
Kleine Lücken, große Folgen
Im Homeoffice existieren viele Möglichkeiten, unbeabsichtigt gegen datenschutzrechtliche Vorgaben zu verstoßen. Die Konsequenzen sind weitreichend. Schadensersatzansprüche oder verwaltungsbehördliche Strafen können die Folge sein. Es gilt daher, die Telearbeit sorgfältig zu planen und aufzusetzen. Das Sicherheitsniveau, das in den Unternehmensräumlichkeiten notwendig ist, darf durch das Homeoffice nicht herabgesetzt werden. Alle Schutzmaßnahmen gestalten sich unter diesem Blickwinkel. Letztlich darf kein maßgeblicher Unterschied im Sicherheitsniveau bestehen, ob die jeweilige Person nun den Aufgaben im Büro oder von zu Hause aus nachkommt.
„Homeoffice und Datenschutz müssen sich nicht ausschließen.“
Planung bringt Sicherheit
Wir empfehlen klare Vorgaben für das Homeoffice. Ein eigener Arbeitsplatz soll eingerichtet und die Nutzung von privaten Geräten abgeklärt werden.
So wird für einen sicheren Zugriff auf Systeme, Datenbanken und Anwendungen gesorgt. Oberstes Gebot ist es, diejenigen Mitarbeiter, die ihre Tätigkeit ganz oder teilweise im Homeoffice ausüben, entsprechend zu informieren und zu sensibilisieren.
Dies gilt umso mehr, wenn die Telearbeit auch -längerfristig im Unternehmen, im Sinne einer -Flexibilisierung der Arbeit, fortgeführt wird. Homeoffice und Datenschutz schließen sich nicht aus. Bei einer entsprechend sorgfältigen Gestaltung der Prozesse, und ausreichender Unterstützung der Mitarbeiter inklusive der -Ausstattung mit den notwendigen Ressourcen, lassen sich Risiken der Realisierung von Datenschutzver-letzungen und -IT–Sicherheitspannen deutlich eingrenzen.
1. Persönliche Geräte
Private Geräte sind oftmals nicht entsprechend konfiguriert. Sie haben keine Verschlüsselung der Datenträger, erlauben Gerätezugriff auch ohne Passwörter oder besitzen keine Fernlöschmöglichkeiten. Im Haushalt lebende Personen haben zumeist Zugriff darauf. Ein Verlust von Geräten mit unverschlüsselten Datenträgern bedeutet unbefugte Offenlegung von Daten. Riskant ist auch, dass diese nicht vollständig in die Unternehmenssphäre gelangen und so unter anderem bei Backup-Prozessen nicht berücksichtigt werden.
2. Firmenkommunikation
Im Falle beruflicher Kollaboration über einen unsicheren, Kommunikationskanal, können Unbefugte die Kommunikation mitverfolgen. Oftmals werden bei der Auswahl des entsprechenden Dienstleisters Aspekte der Datenweitergabe in Drittstaaten (z. B. Server außerhalb EU/EWR) nicht ausreichend berücksichtigt. Das Unternehmen verstößt somit gegen die allgemeinen Grundsätze der Datenübermittlung. Strafen bis zu Strafrahmen € 20 Mio oder 4 % des gesamten weltweit erzielten Jahresumsatzes können die Folge sein.
3. Nutzung privater Accounts
Mitarbeiter nutzen möglicherweise private E-Mail-Accounts für berufliche Zwecke, die im beruflichen E-Mail-Account eingerichteten Sicherheitslayer greifen dann nicht, Schadsoftware gelangt auf das genutzte Endgerät und Daten werden ausgelesen.
4. Sichere Aufbewahrung von Daten
Wenn Mitarbeiter zu Hause ausdrucken, besteht die Gefahr, dass die Dateien nicht versperrt aufbewahrt werden bzw. nicht sicher durch Shreddern der Papierseiten vernichtet werden, sondern dass eine Entsorgung ungeschützt im Haus-Altpapier erfolgt.