Datenschutz vs Home Office
Was im Home Office zu beachten ist
Die Corona-Pandemie beschäftigt uns seit nunmehr zwei Jahren und hat uns alle vor ganz besondere Herausforderungen gestellt. Egal ob im medizinischen, öffentlichen, privaten oder beruflichen Bereich. Das Thema “Corona” ist omnipräsent.
Darum möchte ich die Gelegenheit nutzen, kurz Revue passieren zu lassen, was uns Corona in datenschutzrechtlicher Weise für das Home Office gebracht oder sogar eingebracht hat.
Aber fassen wir zuerst einmal kurz zusammen, wie es vor Corona war: Regelungen zum Home Office waren nicht so weit verbreitet wie heute. Klar, in den großen Unternehmen gab es diese Möglichkeit aber das war eher die Ausnahme. Grundsätzlich war man eher im Büro statt im heimischen Arbeitszimmer.
Wenn ich an meine Arbeitszeit vor Corona zurückdenke, gab es bei der Behörde zwar technisch die Möglichkeit ins Home Office zu gehen (sogenannte Telearbeit bzw. mobiles Arbeiten) allerdings war dies mit einem bürokratischen Overhead verbunden, der seinesgleichen suchte.
Dagegen hat es mit Ausbruch der Pandemie in Deutschland keine 2 Monate gedauert und wir wurden, bis auf die Notbesetzung, regelrecht direkt ins Home Office verbannt.
Welche Neuerungen hat das Home Office gebracht.
Die wohl größte Neuerung war die Erkenntnis, dass wir in Deutschland die Digitalisierung größtenteils verschlafen haben. Ja, man hat viel darüber debattiert und viele prestigeträchtige Projekte ins Leben gerufen, doch die grundlegenden Dinge haben wir schlicht und ergreifend versäumt. Wenn die Geschäftsprozesse zu 100% davon abhängig sind, dass die Beschäftigten vor Ort sind, obwohl sie keine physischen Tätigkeiten ausführen müssen oder besondere Sicherheitsaspekte es fordern (dazu später mehr), dann hat jemand im Rahmen des Notfallmanagements bzw. des Business Continuity Managements seinen Job nicht gut genug erledigt … oder die Verantwortlichen haben entschieden das Risiko zu tragen.
Aber warum ist das für mich so ein Problem. Ganz einfach, die moderne Technik kann uns so unglaublich viele Möglichkeiten bieten, wenn wir sie nur richtig nutzen. Unabhängig von der Pandemie hätten wir bereits erhebliche Synergien und Mehrwerte schaffen können. Aber kommen wir auf die eigentliche Frage zurück, was hat uns das Home Office gebracht:
- Eine deutlich beschleunigte Digitalisierung der Gesellschaft und der Geschäftsprozesse.
- Eine höhere Flexibilität der Mitarbeiter.
- Die Fähigkeit des Betriebes auch in Krisensituationen bestehen zu können.
- Die Chance Altlasten zu entsorgen und bessere Modernisierungen zu implementieren.
- Die Verletzlichkeit des Unternehmens deutlich erhöht und neue bis dato unbekannte Risiken sowie Bedrohungen geschaffen.
Und diesen letzten Punkt möchte ich etwas detaillierter besprechen. Dadurch, dass wir nun jedem Mitarbeiter ein schickes neues Notebook in die Hand gedrückt haben und er von überall auf der Welt arbeiten könnte, müssen wir leider auch auf die damit verbundenen Risiken und Bedrohungen Reden.
Welche Risiken und Bedrohungen birgt das Home Office
Wie bereits gesagt, ist nicht alles perfekt. Wie denn auch, das Leben ist ja schließlich kein Wunschkonzert, leider. Daher schauen wir uns das etwas genauer an:
Dadurch, dass wir nun größtenteils digital arbeiten und damit auch alle unsere Daten digital vorliegen, haben wir eine ganz neue Dimensionen der Verfügbarkeit unserer Daten geschaffen. Genau das wollten wir auch, alles muss von jedem Ort erreichbar sein, allerdings müssen wir uns auch die Frage stellen, wer hat denn jetzt noch potentiellen Zugriff auf unsere Daten?
Wer jetzt denkt “Hacker”, der hat recht. Ein Blatt Papier kann man nicht hacken und von Nordkorea oder China aus ausspähen. Doch was ist mit den Passanten im Zug, die das Telefonat über die nächste Personalmaßnahme mithören oder die Kinder, die plötzlich vertrauliche Akten lesen können oder der nette Nachbar, der den verlorenen USB-Stick gefunden hat?
Die potentiellen Möglichkeiten für einen Datenschutzverstoß sind nicht in unerheblichen Maße gestiegen und die Menge ist sogar so groß, dass mache Datenschutzbeauftragten sogar schon die Durchführung einer Datenschutzfolgenabschätzung für das Home Office fordern.
Aber was können wir machen, um die Risiken wenigstens soweit zu minimieren, dass das Risiko akzeptabel minimiert wird?
Neben “harten” technischen Maßnahmen, wie einer Vollverschlüsselung der Geräte, einer 2-Faktor-Authentisierung oder der Verwendung von Sichtschutzfolien sind es vor allem die organisatorischen Maßnahmen, die durch den Mitarbeiter umgesetzt werden müssen, die den Unterschied machen. Dazu zählen beispielsweise der sichere Transport von Akten und Geräten sowie die Aufbewahrung von sensiblen Dokumenten in verschlossenen Schränken oder Räumen und darauf zu achten, dass im Zug eben nicht der Nachbar die neuste E-Mail an den Chef mitlesen kann. All diese organisatorischen Maßnahmen, welche über Arbeitsanweisungen und Richtlinien vorgegeben werden, müssen selbstständig vom Mitarbeiter vorgenommen werden. Wenn dieser die Vorgaben missachtet, hat er zwar seine Pflichten verletzt und kann unter umständen für den entstandenen Schaden haftbar gemacht werden, aber der Schaden ist dennoch entstanden! Und sowohl der Aufsichtsbehörde, als auch dem Geschädigten geschwiege denn der Öffentlichkeit ist es völlig egal, dass trotz aller Vorgaben ein einzelner Mitarbeiter die Ursache war. Das Unternehmen wird verantwortlich gemacht! Daher ist und bleibt immer noch die wichtigste Maßnahme die Mitarbeiter ausreichend zu schulen und über die Bedrohungen und Risiken aufzuklären und so die Awareness zu steigern. Unterm Strich muss der Mitarbeiter von selbst auf die Idee kommen, wie er sein Handeln auszurichten hat, damit er eben keinen Datenschutzverstoß begeht.
Und hier trennt sich wie so oft die Spreu vom Weizen, denn auch die beste Schulung wird nicht von Nutzen sein, wenn diese vom Mitarbeiter abgelehnt wird.
Meiner Erfahrung nach sind die meisten Mitarbeiter gewillt, die internen Richtlinien und Vorschriften einzuhalten, solange es ihnen auch erklärt wird. Daher ist meine Empfehlung die Mitarbeiter mit Respekt und auf Augenhöhe zu behandeln, sodass diese, im Rahmen der Unternehmenskultur, sogar ein eigenes Interesse daran haben, dass es zu keinem Datenschutzvorfall kommt. Selbstverständlich erfordert das smarte Hilfestellungen und vorgaben des Arbeitgebers.