Anzeige
27. Mai 2021 17:13  Uhr

Drei Disziplinen machen das Homeoffice sicher

Mehr Mitarbeiter denn je arbeiten von zu Hause aus. Dafür braucht es die richtige Basis: Neben dem Datenschutz sind auch Fragen des Arbeitsrechts und der IT-Sicherheit zu beachten.

Die Experten für alle Fragen rund ums Homeoffice: Lydia Danzer, Rechtsanwältin für Datenschutzrecht, Rechtsanwältin und Arbeitsrechtsexpertin Antje Ubben und IT-Consultant Homed David Stingl (v. li.) | Foto: Attila Henning

Von Julia Kellner

REGENSBURG. Schneller, digitaler, ortsunabhängiger. Unsere Kommunikation hat sich verändert – und damit unsere Arbeitswelt. Für viele Tätigkeiten braucht es keine Präsenz im Büro. Im Gegenteil: Sie können mindestens genauso gut zu Hause erfüllt werden. Zwar ist Homeoffice kein neues Phänomen, doch der Corona-Lockdown hat ihm einen massiven Schub verliehen. „Viele Arbeitgeber haben positive Erfahrungen gemacht und wollen ihren Mitarbeitern dauerhaft, also auch nach der Pandemie, Homeoffice ermöglichen – Stichwort: Work-Life-Balance“, sagt Rechtsanwältin Antje Ubben, Expertin für Arbeitsrecht bei der MTG Wirtschaftskanzlei.

Recht und IT vereint

Ob langfristig oder kurzfristig, in beiden Fällen müsse man das Arbeiten zu Hause auf rechtssichere Beine stellen und vollumfänglich betrachten. „Vollumfänglich heißt, dass drei Disziplinen gleichermaßen wichtig sind: Arbeitsrecht, Datenschutz und IT-Sicherheit“, sagt Lydia Danzer, Rechtsanwältin für Datenschutzrecht bei der MTG Wirtschaftskanzlei. Selbst wenn nur einer dieser Bereiche nicht geregelt und dokumentiert sei, könnten sämtliche Maßnahmen wirkungslos sein. Antje Ubben macht es konkret: „Hält sich ein Mitarbeiter im Homeoffice beispielsweise nicht an Datenschutzbestimmungen, gibt es für den Arbeitgeber ohne ausreichende Rechtsgrundlage keine Möglichkeit, zu sanktionieren.“ Umso wichtiger sei es, Vereinbarungen für das Homeoffice zu schließen – am besten, bevor der Mitarbeiter von zu Hause aus arbeitet. Schriftlich lege man darin etwa Arbeitszeiten, Kommunikationswege, überlassene Arbeitsmittel, Anwesenheitszeiten im Betrieb und datenschutz- sowie arbeitsrechtliche Maßnahmen fest.

Ein Gesamtpaket fürs Homeoffice

„Die Wichtigkeit der relevanten Bereiche haben wir nicht nur verstanden, sondern vereinen die Expertise dazu“, erklärt Homed David Stingl, IT-Consultant der MTG Wirtschaftskanzlei. „Passgenau zum jeweiligen Unternehmen prüfen wir für unsere Mandanten alle Bereiche, sensibilisieren sie, verdeutlichen Schnittstellen und liefern ein Gesamtpaket für das Homeoffice.“ Als IT-Experte weiß Stingl beispielsweise, wie risikobehaftet Sicherheitslücken sind – besonders, wenn Mitarbeiter von außerhalb auf die Firmennetzwerke zugreifen. Cyberkriminelle und Schadsoftware klauen Unternehmensdaten oder greifen Systeme an – und oft würden es die Firmen selbst nicht mitbekommen. „Gute Cyberattacken wollen immer unbemerkt bleiben.“ Dennoch könnten die wirtschaftlichen Schäden enorm sein – von Umsatzeinbußen über Vertrauensverlust bis zur massiven Beeinträchtigung des Geschäftsbetriebs.

Künstliche Intelligenz erkennt Attacken

Ziel sei es deshalb, Transparenz zu schaffen: „Für unsere Mandanten analysieren wir das aktuelle Niveau der IT-Security und geben konkrete Handlungsempfehlungen.“ Um Attacken auf das IT-System sichtbar zu machen, könne man etwa ein sogenanntes „Security Information and Event Management System“, kurz SIEM, nutzen. Als eine Art Datenkrake sammle ein solches System alle Daten, die in der IT-Infrastruktur generiert werden. Über KI, also künstliche Intelligenz, erkenne das System alle außergewöhnlichen Vorgänge und alarmiere oder blockiere sie. „Das kann beispielsweise dann der Fall sein, wenn eine Systemanmeldung aus dem Ausland erfolgt, obwohl Mitarbeiter normalerweise nur von bayerischen Standorten zugreifen“, weiß Stingl. Von Cyberattacken blieben auch mittelständische oder kleine Firmen nicht verschont. Das liege daran, dass sich die Angriffe zwar meist gegen große Konzerne richteten, sie aber so konzipiert sind, dass sie sich selbst verbreiteten und damit genauso vermutlich uninteressante Daten abgreifen.

Regelungen sind das A und O

Doch Systemschutz alleine reiche im Homeoffice nicht aus. Das zeige auch die Datenschutzgrundverordnung, die seit 2018 für Firmen bei der Verarbeitung personenbezogener Daten gelte. „Unternehmen, die die technischen und organisatorischen Maßnahmen nicht umsetzen, drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des gesamten Jahresumsatzes“, warnt Danzer. Allein der Arbeitgeber sei für die Einhaltung verantwortlich – selbst, wenn der Mitarbeiter in den heimischen vier Wänden arbeite. Arbeitgebern empfiehlt Lydia Danzer deshalb, eine vertragliche Regelung mit ganz praktischen Punkten. „Inhalte sollten etwa sein, dass unberechtigten Dritten kein Datenzugriff möglich ist, nur mit Firmenequipment gearbeitet werden darf oder wie mit Papierdokumenten umzugehen ist.“ Hinzu komme die arbeitsrechtliche Perspektive: So wird der Mitarbeiter laut Antje Ubben verpflichtet, diese Regelungen verbindlich einzuhalten. Firmen mit mehr als 20 Mitarbeitern, die ständig personenbezogene Daten automatisiert verarbeiten, sind daneben verpflichtet, einen Datenschutzbeauftragten zu benennen. „Selbst bei kleineren Betrieben ist es empfehlenswert“, sagt Danzer. Die MTG Wirtschaftskanzlei könne die Rolle als externer Datenschutzbeauftragter übernehmen. Praxiserfahrung habe die MTG Wirtschaftskanzlei mit ihren sechs Niederlassungen in Bayern seit jeher: In ihrem Arbeitsfeld sind sie schon immer mit sensiblen Daten betraut und kennen daher die Herausforderungen und Regularien, die die Sicherheit von Informationen und Daten mit sich bringen.

Interview

Der Mensch ist die größte Schwachstelle in der IT

Lydia Danzer, Rechtsanwältin für Datenschutzrecht, und Homed David Stingl, IT-Consultant, MTG Wirtschaftskanzlei, erklären im Gespräch, warum Cybersicherheit ein andauernder Prozess ist, und welchen Beitrag konsequente Mitarbeiterschulung dazu leisten kann. | Foto: Attila Henning

Hier geht’s zum Interview …