Voraussetzung ist natürlich, dass es allgemeine Reaktionsprozesse für den Umgang mit aufgetretenen Datenpannen gibt. Sie sollten klare Verhaltensweisen vorsehen und insbesondere auf bestehende gesetzliche, allenfalls aber auch auf vertragliche Pflichten eingehen.
Einige Fragestellungen sollten seitens des Unternehmens klar beantwortet werden, um Unklarheiten und Komplikationen bei der Handhabung von Datenpannen vorzubeugen:
- Welche Verantwortlichkeiten bestehen hinsichtlich der Reaktion einer aufgetretenen Datenschutzverletzung?
- Welche Maßnahmen sind initial sowie kurz-, mittel- und langfristig einzuleiten?
- Was für Aufzeichnungen sind zu dokumentieren?
- Wer muss informiert werden?
- Welche vertraglichen und gesetzlichen Meldepflichten und -fristen bestehen? Wer ist für deren Wahrnehmung verantwortlich?
- Wie sieht die Zusammenarbeit mit externen Stellen (Geschäftspartnern, Kunden, Beratern, etc.) aus?
Von digitaler Forensik bis Verantwortlichkeiten
Neben allgemeinen Punkten sind im Zusammenhang mit vermehrter Telearbeit vor allem diese Aspekte wichtig:
1. Umgang mit digitaler Forensik
Hierbei werden IT-Systeme nach einer aufgetretenen Schutzverletzung im Detail analysiert, um die tatsächlichen Auswirkungen für das Unternehmen bzw. die betroffenen Personen zu verstehen. Die Datenschutzinteressen aller Beteiligten müssen gewahrt werden, was eventuell zu Problemen führen kann, sofern Privatgeräte einer Person von der Analyse betroffen sind.
2. Verwendung alternative Kommunikationskanäle
Da häufig auch die Sicherheitsexperten der Unternehmen aus dem Home-Office heraus ihre Arbeit verrichten, sollten alternative Kanäle für die rasche und effektive Kommunikation im Falle eines Sicherheitsvorfalls etabliert werden (bspw. mittels Videokonferenz-Lösungen oder Messenger-Diensten).
3. Einschränkungen hinsichtlich der physischen Erreichbarkeit
Bei der Reaktionsplanung muss berücksichtigt werden, dass ein Heimarbeitsplatz eines Mitarbeiters geografisch weiter entfernt von der Firmenzentrale liegen kann was den physischen Zugriff auf relevante IT-Systeme zusätzliche verzögern kann.
4. Verantwortlichkeiten der individuellen Mitarbeiter
Es kann erforderlich sein, dass Mitarbeiter zusätzliche Verantwortlichkeiten übernehmen müssen, wenn eine Schutzverletzung im Home-Office auftritt. Oft sind sie die einzigen Personen, die unmittelbare Maßnahmen ergreifen können. Dies sollte ebenfalls in den bestehenden Datenschutzrichtlinien und Reaktionsplänen der Organisation berücksichtigt werden.
Vorsicht bei Smart- Und IOT-Geräten
Der zunehmende private Einsatz von IoT- bzw. „Smart“-Geräten ist im Zusammenhang mit Telearbeit ebenfalls zu bedenken. Die Geräte sind in der Regel ebenso im privaten Heimnetzwerk eines Mitarbeiters integriert, wie die Unternehmensgeräte, auf denen Arbeitstätigkeiten verrichtet werden.
Bedenken gibt es bei der Verwendung von IoT-Geräten sowohl im Hinblick auf die Sicherheit als auch dem effektiven Datenschutz[1]. Zahlreiche IoT-Geräte hängen ungesichert im Heimnetzwerk und weisen über lange Zeiträume hinweg gravierende Schwachstellen auf. In vielen Fällen dienen diese Schwachstellen als Einfallstor für Angreifer.
Die Verwendung im Home-Office kann zu schwerwiegenden Compliance- und Sicherheitsrisiken führen. Ein Beispiel: im Zuge einer ungewollten Aktivierung von Sprachassistenten kommt es dazu, dass Aufzeichnungen über firmenbezogene Gespräche ins Ausland übertragen und dort analysiert werden.[2] Das ist nicht nur eine Verletzung von einschlägigen datenschutzrechtlichen Verpflichtungen, sondern auch von – oftmals mit Vertragsstrafen „gesicherten“ – Pflichten (z.B. Geheimhaltungs- und Vertraulichkeitsverpflichtungen).
Unternehmen ist daher angeraten, die Verwendung von IoT- und „Smart“-Geräten im Zusammenhang mit Telearbeit für ihre Mitarbeiter klar zu reglementieren. Insbesondere bei Technologien, die bereits aufgrund ihrer Beschaffenheit und ihres Verwendungszwecks zu tiefgehenden Eingriffen in den Datenschutz bzw. die Privatsphäre der Anwender führen können, ist Vorsicht geboten.
Weitere Home-Office Tipps für Mitarbeiter und Manager gibt’s in diesem Blog Artikel:
DATENSICHERHEIT UND COMPLIANCE IM HOME-OFFICE
[1] Hilts et al. (2016), Every Step You Fake: A Comparative Analysis of Fitness Tracker Privacy and Security; Open Effect: Toronto
Almenárez-Mendoza et al. (2018). Assessment of Fitness Tracker Security: A Case of Study. Proceedings. 2
[2] https://www.zeit.de/digital/datenschutz/2019-04/amazon-alexa-privatgespraeche-aufzeichnungen-mitschnitte-spracherkennung