Homeoffice
11. Juli 2020 6:00  Uhr

Hausaufgaben in Sachen Datenschutz

Im Zuge der Coronakrise stieg der Bedarf an Homeoffice und Videokonferenzen sprunghaft an. Die neue digitale Öffnung von Unternehmen bedeutet auch eine besondere Herausforderung bei der Datensicherheit.

Für viele derzeit ein gewohntes Bild: die virtuelle Teambesprechung via Internet. Dabei übersehen viele die Datenschutzfallstricke, die im Homeoffice lauern. | Foto: Jacob Lund – stock.adobe.com

Von Franz Rieger

REGENSBURG. Homeoffice statt Büroalltag, Videokonferenz statt Meetingmarathon: Zu Beginn der Coronakrise musste alles sehr schnell gehen. Bei spontanen Lösungen für mobiles Arbeiten konnten so nicht immer alle Anforderungen der IT-Sicherheit – wie etwa schnellere und stabile Netzanschlüsse, der Aufbau von Lösungen für private Netzwerke (VPN) oder die Anschaffung geeigneter Hardware – vollständig umgesetzt werden.

„Wir haben eine erstaunliche Zunahme von Anfragen sowohl zu rechtlichen und technischen Anforderungen der Arbeit im Homeoffice als auch zum Einsatz von Videokonferenztools verzeichnet“, sagt der Geschäftsführer der Datenschutz hoch 4 GmbH Manuel Stahl. Die große Anzahl von Anfragen zeige, dass Unternehmen das Thema nicht auf die leichte Schulter nehmen. Trotzdem kam der Lockdown für viele so überraschend, so dass sie nur die nötigsten Anforderungen beachten konnten. „Die größten Fehler, die wir aber bei Anfragen schnell beheben konnten, haben wir bei der Homeoffice-Arbeit in den Bereichen Datenschutz und Datensicherheit bemerkt“, erklärt Rechtsanwalt Simon Pentzien von Datenschutz hoch 4.

On-Premise-Lösungen bieten mehr Datenkontrolle

„Es ist schwer, einzelne Tools zu empfehlen, da alle marktbekannten Tools Vor- und Nachteile haben“, ergänzt Manuel Stahl. „Wenn möglich, empfehlen wir aber generell die Nutzung von On-Premise-Lösungen, da Unternehmen bei diesen in der Regel deutlich mehr Kontrolle über Daten haben.“ Zudem sollte auch eine manuelle Anpassung der Datenschutzeinstellungen möglich sein. Die Experten aus Regensburg bevorzugen Lösungen, bei denen personenbezogene Daten in der Europäischen Union beziehungsweise im Europäischen Wirtschaftsraum verarbeitet werden und der Serverstandort entsprechend bestimmt werden kann.

Einfache, aber klare Regeln

Das Bundesamt für Sicherheit in der Informationstechnik appelliert an Unternehmer, deutliche, unmissverständliche und verbindliche Regelungen zu treffen. „Wenn es machbar ist, sollten Notebook, Arbeitsunterlagen und Notizen in einem eigenen Raum ,aufgebaut‘ werden, der für den Zeitraum der Arbeit von zu Hause aus zur Sperrzone für Kinder und Besucher wird“, sagt Dirk Munker, Geschäftsführer der Munker Privacy Consulting GmbH und Beirat im Bayerischen IT-Sicherheitscluster.

Wichtig: Beruf und Privates trennen

Optimal seien ein Notebook und ein Smartphone der Firma. Steht beides nicht zur Verfügung, müsse unbedingt darauf geachtet werden, dass berufliche und private Datenbestände nicht vermischt werden. „Es ist wichtig, die beruflich genutzten Daten auf einem USB-Stick oder einer externen Festplatte zu speichern und nicht auf dem Privatrechner. Außerdem sollte man auch immer daran denken, keine private Hardware an den dienstlichen Computer anzuschließen“, rät Munker. Der Rechner, vor allem, falls es sich um ein Notebook handelt, sollte idealerweise verschlüsselt sein, ebenso die Verbindung vom Homeoffice ins Büro. „Ist der Arbeitgeber als Dienstleister beziehungsweise als Auftragsverarbeiter tätig, ist es ratsam, zu prüfen, ob die Arbeit aus dem Homeoffice nicht gegebenenfalls vertraglich vom Kunden untersagt ist.“

Videokonferenzen im Fokus

Vor allem bei der Nutzung privater Smartphones gilt: weder Telefonnummern noch sonstige Kontaktdaten speichern! Besondere Vorsicht ist hier bei einigen Apps geboten: Whatsapp beispielsweise greift auf die gespeicherten Kontakte zu. Und Datensicherheit ist natürlich auch ein analoges Thema: Auch das Altpapier ist einsehbar, deshalb nur Notizen oder Ausdrucke wegwerfen, die zuvor geschreddert wurden.

Bei der Nutzung von Videokonferenz-Tools sind laut Manuel Stahl zahlreiche Anforderungen sowohl in Bezug auf den Datenschutz als auch auf die Datensicherheit zu beachten. Generell sind Lösungen zu bevorzugen, die eine Ende-zu-Ende-Verschlüsselung und damit einen sicheren Kommunikationsaustausch gewährleisten. Beim Versand der Einladungen zu Videokonferenzen ist darauf zu achten, dass diese nur befugte Personen erhalten und die Nutzungsprotokolle nach dem Gespräch gelöscht werden.

Einfache zwischenmenschliche Normen

Wenn Videokonferenzanbieter ihr Produkt als „Software as a Service“, also über das Internet, zur Verfügung stellen, hat das regelmäßig eine Übermittlung personenbezogener Daten zum Anbieter zur Folge. Außerdem sind die Arbeitnehmer und weitere Teilnehmer einer Videokonferenz über die Verarbeitung personenbezogener Daten im Rahmen der Nutzung des jeweiligen Tools zu informieren. Zahlreiche Videokonferenzanbieter sind laut Simon Pentzien Auftragsverarbeiter im Sinne von Artikel 28 der DSGVO. Hier muss mit dem Anbieter ein Auftragsverarbeitungsvertrag abgeschlossen werden. „Natürlich sollten unabhängig von den rechtlichen und technologischen Anforderungen außerdem noch bestimmte zwischenmenschliche Normen befolgt werden. Dazu zählen etwa, das Handy auf lautlos zu stellen, die Auswahl einer angemessenen geräuscharmen Umgebung und die Vermeidung von unhöflichem Multitasking“, sagt Manuel Stahl.

Viele Unternehmen haben unter Hochdruck einen Großteil der Arbeitsabläufe in die Wohnungen ihrer Mitarbeiter verlegt. Deshalb hofft der IT-Experte, dass die Datenschutzaufsichtsbehörden mögliche Verstöße in den vergangenen Monaten in Anbetracht der Ausnahmesituation mit Nachsicht behandeln. Darauf verlassen könne man sich jedoch nicht.

Interview

Umdenken und lernen in Coronazeiten

Stephanie Bogendörfer, Geschäftsführerin der 5FSoftware GmbH, plädiert im Interview dafür, die derzeitige Ausnahmesituation zu nutzen, um ein flexibles Arbeitszeiten- und Arbeitsplatzsystem einzuführen.

Foto: Melissa Bungartz

Hier geht’s zum Interview.