Schlagwortarchiv für: Richtlinien

Von Hans-Christian Schellhase, ANMATHO AG

Deutschland steht in Zeiten von COVID-19 (fast) still, im öffentlichen Raum bewegen sich nur Wenige. Schaut man jedoch in die Häuser und Wohnungen, finden sich dort momentan improvisierte Schulen, Spielplätze, Toilettenpapier-Lager, Fitness-Studios aber auch Büros, denn viele Beschäftigte arbeiten momentan im Home-Office. Diese Art der Arbeit ist allerdings eine, die datenschutzspezifische Herausforderungen mit sich bringt. Was sollte also hinsichtlich der Arbeit im Home-Office in Sachen  Datenschutz beachtet werden?

Was sollten Beschäftigte im Home-Office beachten?

Arbeitet ein Beschäftigter im sog. Home-Office, also flexibel von Zuhause aus, ist er dabei regelmäßig dem gleichen datenschutzrechtlichen Regelwerk unterworfen wie auch bei der Arbeit im Büro:

  • Werden personenbezogene Daten also auch im Home-Office verarbeitet, dies ist regelmäßig der Fall, muss der Beschäftigte darauf achten, dass diese Daten nicht von Dritten – insbesondere Familienmitgliedern – eingesehen oder sonst wahrgenommen werden können. Dokumente sollten etwa nicht für alle einsehbar auf dem Küchentisch oder im Wohnzimmer ausgebreitet und Bildschirme so gedreht werden, dass Dritte ihre Inhalte nicht erkennen können. Auch Telefonate sollten möglichst nicht in Anwesenheit anderer geführt werden. Schaffen Sie sich gerne Zuhause – soweit möglich – einen eigenen Bereich zum Arbeiten.
  • Optimal wäre es nach Möglichkeit in einem separaten, abschließbaren Raum zu arbeiten. Ist dies nicht möglich, sollte zumindest die Aufbewahrung aller personenbezogenen Daten, vornehmlich aller betrieblichen Unterlagen, in einem abschließbaren Schrank erfolgen.
  • Die vom Arbeitgeber für die Tätigkeit im Home-Office bereitgestellten technischen Geräte, vornehmlich Smartphones und Laptops, sollten zudem nicht privat genutzt werden, soweit für eine private Nutzung keine entsprechenden Vereinbarungen mit dem Arbeitgeber bestehen. Kinder dürfen diese Geräte also nicht für Hausaufgaben, das Surfen im Internet oder Computerspiele verwenden. Zudem sollte das jeweilige Geräte gesperrt werden, wenn es – ggf. auch nur kurzzeitig – nicht genutzt wird.
  • Berufliche E-Mails dürfen auch im Home-Office nicht zu ihrer Bearbeitung an private E-Mail-Postfächer der Beschäftigten weitergeleitet werden. Darüber hinaus dürfen – wie im Büro – auch keine Clouddienste über den privaten Account des Beschäftigten genutzt werden, um etwa betriebliche Dokumente oder andere Daten mit anderen Beschäftigten oder Dritten auszutauschen, dies gilt ebenso für private USB-Sticks oder Festplatten, die ebenso nicht für die berufliche Tätigkeit verwandt werden dürfen. Jeder Beschäftigte darf auch im Home-Office regelmäßig nur die Arbeitsmittel einsetzten, die ihm vom Arbeitgeber zur Verfügung gestellt wurden, hierdurch soll etwa auch ein Datendiebstahl durch Dritte verhindert werden.
  • Private Telefone oder Smartphones, die auch für die Arbeit im Büro nicht genutzt werden dürfen, dürfen auch im Home-Office nicht zur Erledigung der beruflichen Tätigkeit genutzt werden. Alle Beschäftigten müssen daher insbesondere auf Telefonate oder das Schreiben von Nachrichten mit den privaten Geräten zur Erledigung der beruflichen Tätigkeit verzichten, soweit es keine Bring-Your-Own-Device-Regelungen mit dem Arbeitgeber gibt.
  • Müssen Ausdrucke oder andere Papierdokumente vernichtet werden, sollte dies auch im Home-Office datenschutzkonform erfolgen. Ausdrucke von personenbezogenen Daten und anderen sensiblen Inhalten sollten somit nur mit Hilfe eines Schredders vernichtet oder zumindest mit einer gewissen Sorgfalt in kleine Stücke zerrissen werden.

Was muss der Arbeitgeber hinsichtlich einer Tätigkeit der Beschäftigten im Home-Office beachten?

Damit auch im Home-Office der Datenschutz nicht zu kurz kommt, treffen auch den Arbeitgeber gewisse Pflichten:

  • Der Arbeitgeber muss alle Beschäftigten zunächst auf die Problematik des Datenschutzes im Home-Office ausführlich hinweisen und sollte dies auch dokumentieren. Im Rahmen dieser Sensibilisierung sollte der Arbeitgeber wenigstens die oben erläuterten Punkte aufgreifen.
  • Der Arbeitgeber muss zudem den im Home-Office arbeitenden Beschäftigen eine IT-Ausstattung zur Verfügung stellen, mit der die datenschutzkonforme Arbeit auch möglich ist. Werden Laptops ausgegeben, sollte deren Festplatte etwa verschlüsselt werden. Das gilt auch für die vom Arbeitgeber ausgegebenen USB-Sticks oder andere Speichermedien. Auch Smartphones, samt Speichermedien wie SD-Karten, sind zu verschlüsseln.
  • Der Arbeitgeber sollte zudem alle Bildschirme von betrieblichen Geräten für das Home-Office mit entsprechenden Sichtschutzfolien ausstatten, damit deren Inhalte nur schwer eingesehen werden können, solche gibt es auch für Smartphones.
  • Der Zugriff auf das jeweilige Betriebssystem und auch alle anderen vom Arbeitgeber bereitgestellten elektronischen Endgeräte muss zudem mit einem Kennwort oder einer PIN versehen werden.
  • Die elektronische Datenübermittlung – etwa E-Mail – muss nach dem Stand der Technik verschlüsselt sein, Zugriffe auf die Systeme des Arbeitgebers sollten lediglich über VPN, SSL bzw. TLS möglich sein. Die eingesetzten Verschlüsselungen sollten darüber hinaus auf ihre Belastbarkeit getestet werden, bevor Beschäftigte sie in großer Zahl nutzen.
  • Es sollte weiter ein Konzept zum Umgang sowie hinsichtlich der Vernichtung von sensiblen Unterlagen und Ausdrucken aber auch zu den anderen bereits oben betrachteten Punkten erarbeitet werden. Hier wäre ebenfalls zu prüfen, ob der Arbeitgeber auch für das Home-Office Drucker, Scanner, Kopierer oder Schredder – zumindest zeitweise – zur Verfügung stellt.

 Die Bazooka für den Home-Office-Datenschutz: Die Home-Office-Richtlinie

Sofern zeitlich noch oder wieder möglich, sollte die Arbeit der Beschäftigten im Home-Office in einer Richtlinie geregelt werden, wobei bei der Formulierung einer solchen Richtlinie der Datenschutzbeauftragte sowie ggf. auch der Betriebsrat miteinzubeziehen sind.

Bleiben Sie tapfer und gesund!

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Unternehmen schützen Ihre Informationen durch diverse technische Maßnahmen vor Diebstahl und Missbrauch. Denn diese Daten machen ein Unternehmen erst erfolgreich. Um trotzdem an die begehrten Daten zu kommen, haben sich Hacker angepasst und greifen nicht mehr direkt die IT an, sondern suchen sich leichtere Wege, um ans Ziel zu kommen: die Mitarbeiter. Dabei gehen diese Cyber-Kriminellen äußerst geschickt vor und nutzen die menschlichen Schwächen aus.

Daher wird es immer wichtiger, Mitarbeiter gezielt für die Taktiken der Kriminellen zu sensibilisieren. Denn nur so kann verhindert werden, dass ein unbewusstes Fehlverhalten zu Datenverlust führen.
Das beginnt schon damit, dass in Konferenzräumen oder auf dem Schreibtisch keine sensiblen Unterlagen unbeobachtet liegen bleiben. Auch die Nutzung des Internets oder sozialer Medien mit dem Firmenrechner und das damit verbundene Risiko zu viele Informationen preis zu geben oder Schadsoftware runterzuladen wird immer problematischer.

Um ein entsprechendes Sicherheitsbewusstsein bei den Mitarbeitern zu schaffen, müssen Firmen zunächst klare und umsetzbare Richtlinien schaffen, an denen sich die Mitarbeiter orientieren können. Des Weiteren helfen Schulungen und Workshops den Mitarbeitern Gefahren zu erkennen und korrekt zu reagieren.

Wichtig ist, dass diese Maßnahmen regelmäßig durchgeführt und deren Umsetzung geprüft werden. Nur so erreicht man, dass die Maßnahmen zu einem wirklichen Umdenken und einer Handlungsveränderung bei den Mitarbeitern führen. Belehrungen reichen nicht – Beispiele schaffen Verständnis und verdeutlichen Folgen.

Trotz aller Warnungen scheuen Firmen immer noch die Investition für diese Sicherungsmaßnahme, da es keine messbaren Bedrohungen gibt. Denn wer kann schon sagen – Wie oft hat ein Externer sensible Daten gelesen. Welche Informationen zu Terminen bei Kunden wurden per Telefon an Fremde weitergegeben. Welche Passwörter von Mitarbeitern sind auch deren Freunden bekannt da es auch für private Accounts genutzt wird usw. Nur weil noch kein Schaden im eigenen Unternehmen bekannt geworden ist, heißt das nicht das die Bedrohung nicht da ist. Und ist der Schaden erst entstanden, hilft auch aller Ärger über den Mitarbeiter nicht.

Fazit:

Klare Regeln und ein hohes Sicherheitsbewusst sein bei den Mitarbeitern sind genauso wichtig wie die technischen Maßnahmen zur Sicherstellung der Informationssicherheit. Warten Sie nicht bis es zu spät ist, sondern investieren sie in Ihre Mitarbeiter.

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!