Datenpanne im Home-Office – Und jetzt?

dataprotection

Neben dem Schutz der Daten selbst sowie der Einhaltung bestehender Compliance-Anforderungen, müssen Unternehmen darauf achten, bei auftretenden Datenschutzverletzungen richtig zu reagieren. Eine Datenpanne, die am Heimarbeitsplatz auftritt, kann sich in einigen Punkten von einer „regulären“ Panne unterscheiden. Bereits bestehende Prozesse und Reaktionspläne in diesem Bereich sollten deswegen unbedingt geprüft und, falls erforderlich, aktualisiert werden.

Banner Datensicherheit mit Frau vor einem Laptop - SEC Consult

Voraussetzung ist natürlich, dass es allgemeine Reaktionsprozesse für den Umgang mit aufgetretenen Datenpannen gibt. Sie sollten klare Verhaltensweisen vorsehen und insbesondere auf bestehende gesetzliche, allenfalls aber auch auf vertragliche Pflichten eingehen.

Einige Fragestellungen sollten seitens des Unternehmens klar beantwortet werden, um Unklarheiten und Komplikationen bei der Handhabung von Datenpannen vorzubeugen:

  • Welche Verantwortlichkeiten bestehen hinsichtlich der Reaktion einer aufgetretenen Datenschutzverletzung?
  • Welche Maßnahmen sind initial sowie kurz-, mittel- und langfristig einzuleiten?
  • Was für Aufzeichnungen sind zu dokumentieren?
  • Wer muss informiert werden?
  • Welche vertraglichen und gesetzlichen Meldepflichten und -fristen bestehen? Wer ist für deren Wahrnehmung verantwortlich?
  • Wie sieht die Zusammenarbeit mit externen Stellen (Geschäftspartnern, Kunden, Beratern, etc.) aus?

 

Von digitaler Forensik bis Verantwortlichkeiten

Neben allgemeinen Punkten sind im Zusammenhang mit vermehrter Telearbeit vor allem diese Aspekte wichtig:

1. Umgang mit digitaler Forensik

Hierbei werden IT-Systeme nach einer aufgetretenen Schutzverletzung im Detail analysiert, um die tatsächlichen Auswirkungen für das Unternehmen bzw. die betroffenen Personen zu verstehen. Die Datenschutzinteressen aller Beteiligten müssen gewahrt werden, was eventuell zu Problemen führen kann, sofern Privatgeräte einer Person von der Analyse betroffen sind.

2. Verwendung alternative Kommunikationskanäle

Da häufig auch die Sicherheitsexperten der Unternehmen aus dem Home-Office heraus ihre Arbeit verrichten, sollten alternative Kanäle für die rasche und effektive Kommunikation im Falle eines Sicherheitsvorfalls etabliert werden (bspw. mittels Videokonferenz-Lösungen oder Messenger-Diensten).

3. Einschränkungen hinsichtlich der physischen Erreichbarkeit

Bei der Reaktionsplanung muss berücksichtigt werden, dass ein Heimarbeitsplatz eines Mitarbeiters geografisch weiter entfernt von der Firmenzentrale liegen kann was den physischen Zugriff auf relevante IT-Systeme zusätzliche verzögern kann.

4. Verantwortlichkeiten der individuellen Mitarbeiter

Es kann erforderlich sein, dass Mitarbeiter zusätzliche Verantwortlichkeiten übernehmen müssen, wenn eine Schutzverletzung im Home-Office auftritt. Oft sind sie die einzigen Personen, die unmittelbare Maßnahmen ergreifen können. Dies sollte ebenfalls in den bestehenden Datenschutzrichtlinien und Reaktionsplänen der Organisation berücksichtigt werden.

 

Vorsicht bei Smart- Und IOT-Geräten

Der zunehmende private Einsatz von IoT- bzw. „Smart“-Geräten ist im Zusammenhang mit Telearbeit ebenfalls zu bedenken. Die Geräte sind in der Regel ebenso im privaten Heimnetzwerk eines Mitarbeiters integriert, wie die Unternehmensgeräte, auf denen Arbeitstätigkeiten verrichtet werden.

Bedenken gibt es bei der Verwendung von IoT-Geräten sowohl im Hinblick auf die Sicherheit als auch dem effektiven Datenschutz[1]. Zahlreiche IoT-Geräte hängen ungesichert im Heimnetzwerk und weisen über lange Zeiträume hinweg gravierende Schwachstellen auf. In vielen Fällen dienen diese Schwachstellen als Einfallstor für Angreifer.

Die Verwendung im Home-Office kann zu schwerwiegenden Compliance- und Sicherheitsrisiken führen. Ein Beispiel: im Zuge einer ungewollten Aktivierung von Sprachassistenten kommt es dazu, dass Aufzeichnungen über firmenbezogene Gespräche ins Ausland übertragen und dort analysiert werden.[2]  Das ist nicht nur eine Verletzung von einschlägigen datenschutzrechtlichen Verpflichtungen, sondern auch von – oftmals mit Vertragsstrafen „gesicherten“ – Pflichten (z.B. Geheimhaltungs- und Vertraulichkeitsverpflichtungen).

Unternehmen ist daher angeraten, die Verwendung von IoT- und „Smart“-Geräten im Zusammenhang mit Telearbeit für ihre Mitarbeiter klar zu reglementieren. Insbesondere bei Technologien, die bereits aufgrund ihrer Beschaffenheit und ihres Verwendungszwecks zu tiefgehenden Eingriffen in den Datenschutz bzw. die Privatsphäre der Anwender führen können, ist Vorsicht geboten.

 

Weitere Home-Office Tipps für Mitarbeiter und Manager gibt’s in diesem Blog Artikel:
DATENSICHERHEIT UND COMPLIANCE IM HOME-OFFICE

 

[1] Hilts et al. (2016), Every Step You Fake: A Comparative Analysis of Fitness Tracker Privacy and Security; Open Effect: Toronto

Almenárez-Mendoza et al. (2018). Assessment of Fitness Tracker Security: A Case of Study. Proceedings. 2

[2] https://www.zeit.de/digital/datenschutz/2019-04/amazon-alexa-privatgespraeche-aufzeichnungen-mitschnitte-spracherkennung

Mehr zum Thema

Über den Autor

[Translate to German:]
David Rieger
SEC Consult Group
Data Protection Officer

Dipl.-Ing. David Rieger ist Datenschutzbeauftragter der SEC Consult Gruppe und berät zudem als Security Consultant zahlreiche Unternehmen bei der Umsetzung umfangreicher und komplexer Informationssicherheits- und Datenschutzanforderungen. Sein Fokus liegt dabei im Aufbau von Informationssicherheitsmanagementsystemen nach ISO/IEC 27001:2013, dem Risikomanagement, der Durchführung von Datenschutz-Folgenabschätzungen, der Implementierung von Datensicherheits-Compliance-Programmen, sowie der Unterstützung und operativen Beratung im Umgang mit Informationssicherheitsvorfällen und Datenpannen. 

 

Gerald Steiner
Andréewitch & Partner

RA Mag. Gerald Steiner ist als Anwalt in der Kanzlei andréewitch & partner in Wien tätig, wo er bereits 1999 als Rechtsanwaltsanwärter seine Karriere startete. Nach seinem Studium an der Universität Wien arbeitete er als juristischer Mitarbeiter bei Harnik & Finkelstein in New York sowie bei Baker & McKenzie in München. Seine Schwerpunkte liegen im Arbeitsrecht, Datenschutzrecht, Vergaberecht, Immobilienrecht, Baurecht, Gewährleistung/Schadenersatz und Streitsachen. Er ist zertifizierter Datenschutzbeauftragter durch Austrian Standards. Mag. Steiner hat zahlreiche Fachartikel veröffentlicht und hält Vorträge und Seminare, insbesondere zum Arbeitsrecht, Schadenersatzrecht, Datenschutzrecht und Vergaberecht.