Verpassen Sie keine wichtigen News aus der Zertifizierwelt
Verpassen Sie keine wichtigen News aus der Zertifizierwelt
Viele Unternehmen haben ihre Mitarbeiter von einem Tag auf den anderen ins Homeoffice geschickt – ohne lange Vorbereitungen treffen zu können. Worauf Unternehmen und Mitarbeiter hinsichtlich des Datenschutzes achten sollten, erklärt Datenschutzexperte Marko Hoffmann im Interview.
Ob im Homeoffice oder im Unternehmen, da ändert sich aus datenschutzrechtlicher Perspektive überhaupt nichts. Im Homeoffice müssen die Mitarbeiter genauso sicher arbeiten wie im Büro. Und auch zu Hause sollte niemand die beruflichen Dinge mitbekommen, für dessen Ohren oder Augen sie nicht bestimmt sind. In vielen Arbeitsverträgen ist explizit festgehalten, dass über arbeitsbezogene Dinge nicht mit Dritten gesprochen werden darf. Auch wenn es drastisch klingt, aber auch Familienmitglieder sind Dritte, die mit den Informationen der Arbeitswelt nicht in Kontakt kommen sollten.
Zum Beispiel gehört der Arbeitslaptop nicht in die Hände von Kindern, um sie zwischendurch mal kurz damit etwas spielen oder Videos schauen zu lassen. Das Gleiche gilt natürlich für das Firmenhandy. Selbst wenn man den Arbeitsplatz nur kurz verlässt, sollte der Rechner immer gesperrt werden. Und beim Bearbeiten von sensiblen Informationen wie Mitarbeiterlisten oder Firmengeheimnissen darf kein Dritter einen Blick auf den Bildschirm haben – das gilt auch für Ehemann oder Ehefrau, ältere Kinder oder WG-Mitbewohner. Bei zum Beispiel einer Recherche im Internet ist das natürlich weniger dramatisch.
Zuallererst braucht es eine VPN-Verbindung. Diese sorgt für Verschlüsselung der Verbindung ins Büro und stellt sicher, dass nur legitime Zugriffe erfolgen. Eine Gefahr im Homeoffice ist allerdings, dass der Impuls zu Workarounds deutlich stärker als im Büro ist, wenn Dinge nicht wie gewünscht funktionieren. Dienste zum Übertragen großer Dateien erfreuen sich ebenfalls großer Beliebtheit, aber: Auch daheim dürfen nur die von der Firma freigegebenen Applikationen verwendet werden. Oder es wird mal schnell die private Mailadresse zum Versand einer Nachricht verwendet. Aber selbst, wenn sie verschlüsselt übertragen wird und damit der Datensicherheit Genüge getan wäre, ist das datenschutzrechtlich überaus problematisch. Denn auf einmal sind betriebliche Daten und betriebliche Kontakte bei den gesendeten Elementen im Privataccount gespeichert. Und da gehören sie nicht hin.
Privates sollte auf privaten und Betriebliches auf betrieblichen Geräten bleiben, eine strikte Trennung ist wirklich empfehlenswert. Private Smartphones der Mitarbeiter sind ein Sicherheitsrisiko, weil sie nicht unter Kontrolle des Unternehmens stehen. Es spricht aber nicht nur der Datenschutz für Firmenhandys und -geräte. Ein Arbeitshandy lässt sich Freitagabend ausschalten. Mit dem dienstlich genutzten Privatgerät bleibt man hingegen auch am Wochenende erreichbar und beantwortet dann auch in der Erholungszeit einfach mal die eine oder andere E-Mail. Und das Einhalten von Arbeitszeiten ist im Homeoffice ja ohnehin deutlich schwieriger als im Büro.
Wer personenbezogene Daten im Homeoffice ausdruckt, muss dafür sorgen, dass sie nicht in falsche Hände gelangen. Entsprechende Ausdrucke sollten nicht offen auf dem Schreibtisch liegen, nicht zum Malen oder Basteln weiterverwendet werden und gehören auch nicht in den normalen Papierkorb bzw. Müll. Denn wenn die Mülltonne – zum Beispiel während eines Herbststurms – umfällt und die Ausdrucke quer durch den Ort geweht werden, hat man datenschutzrechtlich ein ziemliches Problem. Auch hier gilt: Entsorgung so, wie sie auch im Unternehmen vorgenommen wird – also zum Beispiel Schreddern mit Partikelschnitt bzw. Cross-Cut, das können heutzutage übrigens auch günstige Modelle. Oder auch im Kamin verbrennen. Sind weder Schredder noch Kamin vorhanden, dann sammeln und im Büro ordnungsgemäß entsorgen. Dann muss man allerdings darauf achten, dass einem der Papierstapel nicht unterwegs abhandenkommt und zum Beispiel in der Straßenbahn liegen bleibt. Mein Tipp: auf Ausdrucke daheim weitestgehend verzichten, und wenn es doch mal sein muss, dann am besten anschließend daheim vernichten.
Cyberkriminelle haben sich die Ängste der Menschen zunutze gemacht und versuchen, mit altbekannten Mitteln wie Phishing-Attacken in Netzwerke einzubrechen. Dafür instrumentalisieren sie den Informationsdurst und locken mit brandheißen Infos und neuen Heilmethoden für Covid-19. Obwohl es alle eigentlich besser wissen, wurde speziell zu Beginn der Pandemie sehr häufig auf entsprechende Links und Anhänge geklickt. Trotz des sehr verständlichen Interesses der Bevölkerung gilt es wirklich, Vorsicht bei externen E-Mails zu bewahren.
Unternehmen müssen sich sehr genau anschauen, welche Video-Conferencing-Tools sie verwenden. Denn einige davon sind bereits mit Datenschutzverstößen aufgefallen. Zudem gilt es zu beachten, dass bei einigen Systemen nicht klar ersichtlich ist, wer sich zu einem Meeting zugeschaltet hat. Und dann ist schnell eine Information ausgeplaudert, die eigentlich nicht für die Ohren Dritter bestimmt war. In einem Raum im Büro wissen die Anwesenden, wer alles zuhört. Bei einer Videokonferenz nicht unbedingt.
Wenn sich Unternehmen jetzt bei ihrer Schnelldigitalisierung Unterstützung ins Boot holen möchten, empfehle ich Datenschutz-Workshops, das geht natürlich auch unkompliziert über eine Videokonferenz. Dann lassen sich im Rahmen einer Beratung alle offenen Fragen beantworten. Heimarbeitern, aber auch Entscheidern möchte ich noch den Safety First Podcast der TÜV SÜD Sec-IT ans Herz legen. Im Special Coronavirus: IT-Sicherheit im Homeoffice klärt Stefan Vollmer, CTO der TÜV SÜD Sec-IT, über die Grundregeln zum Arbeiten von zu Hause auf.
Weitere Informationen:
Podcast „Coronavirus – IT-Sicherheit im Homeoffice“
Weitere Informationen rund um die Datenschutzberatung von der TÜV SÜD Sec-IT
Ansprechpartner: Marko Hoffmann, Datenschutzexperte, TÜV SÜD Management Service GmbH
Eine starke Basis für das Vertrauen Ihrer Kunden und Mitarbeiter
Erfahren Sie mehr
Ausgewiesene Informationssicherheit nach ISO/IEC 27001
Erfahren Sie mehr
Mit unserer Unterstützung können Sie auch während Ihrer bestehenden Zertifikats-Laufzeit zu TÜV SÜD wechseln
Erfahren Sie mehr