Datensicherheit und Compliance im Home-Office

dataprotection

Die Auswirkungen von COVID-19 haben Unternehmen und Arbeitnehmer vor neue Herausforderungen im Ar-beitsalltag gestellt. Alternative Konzepte mit Telearbeit mussten sehr oft kurzfristig und ohne entsprechende Vorbereitung aufgesetzt werden. Um langfristigen Risiken vorzubeugen, sollten Unternehmen dieses Thema aber auf jeden Fall ernst nehmen. Nur so können die Sicherheit von sensiblen Unternehmensinformationen und personenbezogenen Daten sichergestellt werden.

Banner Datensicherheit mit Frau vor einem Laptop - SEC Consult

Am Anfang war die Datensicherheit

Bereits jetzt wird geschätzt, dass zukünftig bis zu 25% der Datensicherheitsverletzungen außerhalb der Unternehmensinfrastruktur ihre Ursache finden werden[1]. Alarmierend ist vor allem, dass Arbeitnehmern oftmals keine, unklare oder unzureichenden Regelungen und Maßnahmen für den sicheren Umgang mit Unternehmensdaten am Heimarbeitsplatz bekannt sind.[2] In vielen Unternehmen gibt es nicht einmal entsprechende Vorgaben für Telearbeit.

Geeignete Sicherheitskonzepte in Form von entsprechenden Richtlinien, Prozessen und auch technischen Schutzmaßnahmen für die Verarbeitung ihrer sensiblen Unternehmensdaten sind deswegen unbedingt zu empfehlen.  

Infografik Datensicherheit 5 Beispiele - SEC Consult

In Zusammenhang mit Telearbeit sind diese Sicherheitsthematiken besonders relevant:

  • Richtlinien und Prozesse: Das Unternehmen sollte eine Sicherheitsrichtlinie und Prozesse für Datenverarbeitungen im Home-Office etablieren, die klare Regeln und Verhaltensweisen vorgeben.
  • Verschlüsselung von Daten: Gespeicherte und übertragene Daten im Home-Office sowie bei Fernzugriffen auf die Unternehmensinfrastruktur müssen mittels sicherer Algorithmen verschlüsselt werden.
  • Schutz vor Endgeräten: Sofern private Geräte für Arbeitstätigkeiten verwendet werden, die nicht durch das Unternehmen verwaltet werden können, sollten alternative Ansätze gewählt werden (bspw. Empfehlungen an die einzelnen Mitarbeiter, wie Privatgeräte geschützt werden können).
  • Trennung von Privat- und Unternehmensgeräten: Privat- und Unternehmensgeräten sollten wenn möglich voneinander getrennt werden. Insbesondere sollten Unternehmensdaten niemals auf privaten Speichermedien abgelegt werden. Der Schutz von Firmengeräten vor unsicheren oder mit Schadsoftware infizierten Privatgeräten des Mitarbeiters muss sichergestellt werden.
  • Monitoring und Protokollierung: Durch entsprechende Monitoring-Lösungen können Benutzeraktivitäten protokolliert werden. Es ist aber unbedingt Vorsicht im Zusammenhang mit unzulässiger Überwachung geboten – die Kontrolle von Privatgeräten kann unzulässig oder problematisch sein.

Sicherheitsstandards als hilfreiches Grundgerüst

Die Auswahl an sinnvollen Schutzmaßnahmen ist oft kompliziert und langwierig. Es ist deswegen empfehlenswert sich an anerkannten Sicherheitsstandards zu orientieren. Dazu zählen zum Beispiel ISO/IEC 27001 und 27002, NIST CSF oder auch IT-Grundschutz des BSI.

Ein anerkannter Sicherheitsstandard hilft insbesondere um ein Rahmenwerk an Maßnahmen vorzugeben. Dadurch wird die Gefahr einer unübersichtlichen, ineffizienten, ineffektiven und kostspieligen Umsetzung von nicht zielführenden Einzelmaßnahmen entgegengewirkt. Es wird sichergestellt, dass die Sicherheitskontrollen im Unternehmen sowohl effektiv als auch wirtschaftlich sind.

Die Sache mit der Compliance

Wie auch bei allen anderen Tätigkeiten ist im Zusammenhang mit Arbeiten, die im Home-Office verrichtet werden sicherzustellen, dass gesetzliche, vertragliche und interne Datenschutzbestimmung nachweisbar eingehalten werden. Zu diesem Zweck haben viele Unternehmen über die letzten Jahre hinweg bereits einige Datenschutzinitiativen bis hin zur Errichtung ganzer Datenschutzmanagementsysteme gestartet[3]. Meist sind diese sehr stark auf den herkömmlichen Geschäftsbetrieb ausgelegt. Compliance-Themen im Bereich Telearbeit werden kaum berücksichtigt.

Hier finden Sie eine Übersicht über relevante, zu berücksichtigende Aspekte:

  • Prüfung / Anpassung Datenschutzverträgen bzgl. neuer ArbeitssituationData protection
    • Auftragsverarbeitung
    • Gemeinsame Verantwortlichkeiten
    • SLAs
  • Aktualisierung bestehender Aufzeichnungen zu Home-Office-Betrieb
    • Verzeichnis der Verarbeitungstätigkeiten
    • Interne Sicherheitsrichtlinien
    • Datenschutzerklärungen/-hinweise
  • Adaptierung der Risikobetrachtung
    • Berücksichtigen von Home-Office-Aktivitäten in Datenschutz-Folgenabschätzungen und Risikobewertungen

Kontrolle der Umsetzung pragmatisch lösen 

Unternehmen müssen sicherstellen, dass die umgesetzten technischen und organisatorischen Datensicherheitsmaßnahmen wirksam sind und eingehalten werden. Schon im normalen Arbeitsalltag stellt das eine Herausforderung dar, welche durch die Verlagerung ins Home-Office jedoch noch zusätzlich erschwert wird.

Eine effektive Kontrolle des Arbeitnehmers ist nur sehr eingeschränkt möglich. Wie will man schließlich überprüfen ob tatsächlich die Sicherheitsstandards des Unternehmens innerhalb des privaten Heimnetzwerks in einer Privatwohnung eingehalten werden?

Das Festlegen angemessener sowie effektiv durchsetzbarer Kontrollrechte sollte dabei pragmatisch gelöst werden. Vorhandene Datensicherheitskonzepte müssen die mit der Telearbeit einhergehenden Risiken ausreichend berücksichtigen und entsprechende Schutzmaßnahmen vorsehen. Wichtig ist es die Mitarbeiter auf allen Unternehmensebenen bei der effektiven Einhaltung gezielt zu unterstützen.

Weitere Home-Office Tipps für Mitarbeiter und Manager gibt’s in diesem Blog Artikel: „IT-Sicherheit im Home-Office – was ist zu beachten?

 

[1] https://www.watchguard.com/wgrd-resource-center/predictions-2020

[2] https://www.helpnetsecurity.com/2020/06/23/cyber-threats-home-office-environments/

[3] Backer McKenzie International (2020), GDPR Survey – Benefits beyond compliance, https://www.bakermckenzie.com/en/insight/publications/2020/04/gdpr-survey-benefits-beyond-compliance

Mehr zum Thema

Über den Autor

Gerald Steiner
Andréewitch & Partner

RA Mag. Gerald Steiner ist als Anwalt in der Kanzlei andréewitch & partner in Wien tätig, wo er bereits 1999 als Rechtsanwaltsanwärter seine Karriere startete. Nach seinem Studium an der Universität Wien arbeitete er als juristischer Mitarbeiter bei Harnik & Finkelstein in New York sowie bei Baker & McKenzie in München. Seine Schwerpunkte liegen im Arbeitsrecht, Datenschutzrecht, Vergaberecht, Immobilienrecht, Baurecht, Gewährleistung/Schadenersatz und Streitsachen. Er ist zertifizierter Datenschutzbeauftragter durch Austrian Standards. Mag. Steiner hat zahlreiche Fachartikel veröffentlicht und hält Vorträge und Seminare, insbesondere zum Arbeitsrecht, Schadenersatzrecht, Datenschutzrecht und Vergaberecht.