Update Datenschutz Nr. 85
Datensicherheitsrisiko Home Office? – Was Unternehmen jetzt tun müssen
Aufgrund des Ausbruchs der Corona-Pandemie waren Unternehmen in den vergangenen Monaten gezwungen, ihren Mitarbeitern schnell und unbürokratisch mobiles Arbeiten zu ermöglichen. Im Zusammenhang mit dem rapiden Anstieg mobiler Arbeit wurden allerdings häufig der Datenschutz und die Datensicherheit vernachlässigt. In seinem letzte Woche veröffentlichten Bericht zur Lage der IT-Sicherheit in Deutschland 2020 spricht das Bundesamt für Sicherheit in der Informationstechnologie (BSI) von einer „angespannten“ Situation für den Datenschutz in Deutschland. Zu dieser Entwicklung hat auch der Trend zum Home Office und zur mobilen Arbeit beigetragen. Der Präsident des BSI Arne Schönborn betonte in diesem Zusammenhang letzte Woche, dass es nun an der Zeit sei, mobiles Arbeiten als «neues Normal» nachhaltig und sicher zu gestalten. Spezielle Empfehlungen zum Datenschutz und zur Datensicherheit im Home Office gibt das BSI nicht. Damit stellt sich die Frage, welche Schutzmaßnahmen Unternehmen konkret treffen können und müssen, um den Datenschutz und die Datensicherheit auch im Home Office und beim mobilen Arbeiten zu gewährleisten.
Gemäß Art. 32 DSGVO sind Unternehmen, die personenbezogene Daten verarbeiten, verpflichtet, unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere des Risikos, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko der Datenverarbeitung angemessenes Schutzniveau zu gewährleisten. Dies gilt natürlich auch und ganz besonders in Bezug auf das Home Office und das mobile Arbeiten: Unternehmen, die ihren Mitarbeitern die Möglichkeit einräumen, aus dem Home Office heraus und/oder mobil zu arbeiten, sind verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, die den besonderen Risiken des Home Offices bzw. des mobilen Arbeitens begegnen. Insoweit gilt es zu berücksichtigen, dass mehrere Aufsichtsbehörden dem Home Office und dem mobilen Arbeiten grundsätzlich sehr kritisch gegenüberstehen. So hat beispielsweise der Bundesdatenschutzbeauftragte in einer Stellungnahme im Jahr 2017 die Auffassung vertreten, dass im Fall einer Auftragsdatenverarbeitung Telearbeit beim Auftragsverarbeiter grundsätzlich nicht zugelassen werden sollte. Das Sicherheitsrisiko sei bei dieser Art der Datenverarbeitung sehr hoch und die Kontrollmöglichkeiten der verantwortlichen Stelle sehr eingeschränkt. Andere Datenschutzbehörden sehen das ähnlich.
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat auf seiner Website eine Checkliste zur selbstständigen Prüfung datenschutzrechtlicher Konformität der Home Office-Regelungen in Unternehmen veröffentlicht. Die vom BayLDA aufgeführten Maßnahmen können und sollen nicht als abschließend angesehen werden, sie stellen vielmehr einen Best-Practice-Ansatz dar. Welche konkreten Maßnahmen erforderlich sind, muss für jeden Einzelfall gesondert beurteilt werden. Grundsätzlich gilt: Die Arbeitsumgebung beim Home Office bzw. der mobilen Arbeit muss so ausgestaltet sein, dass die Vertraulichkeit und Verfügbarkeit der Daten sichergestellt ist. Dazu gehört, dass in der Regel ausschließlich vom Arbeitgeber bereitgestellte Geräte genutzt werden sollten. Die Nutzung von Privatgeräten sollte die Ausnahme bleiben; werden dennoch Privatgeräte für betriebliche Zwecke genutzt, muss sichergestellt sein, dass betriebliche Daten nicht dauerhaft auf dem privaten Endgerät gespeichert werden. Unabhängig davon, welche Geräte zum Einsatz kommen, sollte die Anbindung an das Firmennetz in jedem Fall mit nach Stand der Technik verschlüsselten VPN-Verbindungen erfolgen. Zusätzlich empfiehlt sich der Einsatz einer Zwei-Faktor-Authentifizierung nebst Passwort. Unternehmensbezogene Daten dürfen nur innerhalb des Unternehmensnetzwerks verarbeitet und gespeichert werden. Auf den Umgang mit Papierdokumenten sollte soweit wie möglich verzichtet werden. Darüber hinaus sollte durch die Bereitstellung von automatischen Sicherheitsupdates sichergestellt sein, dass alle verwendeten Programme, Tools und Sicherheitssysteme stets auf dem neusten Stand sind. Schließlich sollten Mitarbeiter auf die besonderen datenschutzrechtlichen Risiken der mobilen Arbeit hingewiesen und entsprechend geschult werden.
Die Einhaltung der Maßnahmen durch die Mitarbeiter ist vom Arbeitgeber regelmäßig zu überprüfen. In diesem Zusammenhang wie auch bei der Einführung von mobiler Arbeit im Unternehmen ist gegebenenfalls die Beteiligung des Betriebsrats zu beachten.
Im Übrigen gilt es in Bezug auf eine gegebenenfalls bestehende Cyberversicherung zu beachten, dass der vermehrte Einsatz mobilen Arbeitens einen meldepflichtigen gefahrerhöhenden Umstand darstellen kann, des Weiteren gilt: Versicherungsschutz besteht nur, wenn auch bei mobiler Arbeit der Stand der Technik eingehalten ist.
Fazit
Die Corona-Pandemie konfrontiert viele Unternehmen mit der Frage, wie die Arbeitsfähigkeit angesichts einschneidender Maßnahmen zur Eindämmung des Infektionsgeschehens sichergestellt werden kann. Dabei ist zu beachten, dass die Gewährleistung der Sicherheit der Datenverarbeitung durch geeignete technische und organisatorische Maßnahmen im Fokus der Aufsichtsbehörden steht. Dies belegen zahlreiche Bußgeldverfahren der vergangenen zwei Jahre, bei denen die Behörden teilweise Bußgelder in Millionenhöhe wegen unzureichender technischer und organisatorischer Maßnahmen verhängt haben.
Unternehmen, die ihren Mitarbeitern ermöglichen, aus dem Home Office heraus und/oder mobil zu arbeiten, müssen also geeignete technische und organisatorische Maßnahmen treffen, die den besonderen Risiken des Home Offices bzw. des mobilen Arbeitens begegnen. Die Mitarbeiter sollten regelmäßig auf die besonderen datenschutzrechtlichen Risiken der mobilen Arbeit hingewiesen und entsprechend geschult werden. Die Einhaltung der Maßnahmen durch die Mitarbeiter ist vom Arbeitgeber regelmäßig zu überprüfen. Es ist davon auszugehen, dass die Pandemie die Art, wie Unternehmen und Institutionen arbeiten, nachhaltig verändern wird. Die aktuellen Veränderungen sollten zum Anlass genommen werden, strategische und organisatorische Transformationen im Hinblick auf die Datensicherheit im Home Office in die Wege zu leiten.