Zurück zur Übersicht
02.11.2020Fachbeitrag

Update Datenschutz Nr. 85

Datensicherheitsrisiko Home Office? – Was Unternehmen jetzt tun müssen

Aufgrund des Ausbruchs der Corona-Pandemie waren Unternehmen in den vergangenen Monaten gezwungen, ihren Mitarbeitern schnell und unbürokratisch mobiles Arbeiten zu ermöglichen. Im Zusammenhang mit dem rapiden Anstieg mobiler Arbeit wurden allerdings häufig der Datenschutz und die Datensicherheit vernachlässigt. In seinem letzte Woche veröffentlichten Bericht zur Lage der IT-Sicherheit in Deutschland 2020 spricht das Bundesamt für Sicherheit in der Informationstechnologie (BSI) von einer „angespannten“ Situation für den Datenschutz in Deutschland. Zu dieser Entwicklung hat auch der Trend zum Home Office und zur mobilen Arbeit beigetragen. Der Präsident des BSI Arne Schönborn betonte in diesem Zusammenhang letzte Woche, dass es nun an der Zeit sei, mobiles Arbeiten als «neues Normal» nachhaltig und sicher zu gestalten. Spezielle Empfehlungen zum Datenschutz und zur Datensicherheit im Home Office gibt das BSI nicht. Damit stellt sich die Frage, welche Schutzmaßnahmen Unternehmen konkret treffen können und müssen, um den Datenschutz und die Datensicherheit auch im Home Office und beim mobilen Arbeiten zu gewährleisten.

Gemäß Art. 32 DSGVO sind Unternehmen, die personenbezogene Daten verarbeiten, verpflichtet, unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere des Risikos, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko der Datenverarbeitung angemessenes Schutzniveau zu gewährleisten. Dies gilt natürlich auch und ganz besonders in Bezug auf das Home Office und das mobile Arbeiten: Unternehmen, die ihren Mitarbeitern die Möglichkeit einräumen, aus dem Home Office heraus und/oder mobil zu arbeiten, sind verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, die den besonderen Risiken des Home Offices bzw. des mobilen Arbeitens begegnen. Insoweit gilt es zu berücksichtigen, dass mehrere Aufsichtsbehörden dem Home Office und dem mobilen Arbeiten grundsätzlich sehr kritisch gegenüberstehen. So hat beispielsweise der Bundesdatenschutzbeauftragte in einer Stellungnahme im Jahr 2017 die Auffassung vertreten, dass im Fall einer Auftragsdatenverarbeitung Telearbeit beim Auftragsverarbeiter grundsätzlich nicht zugelassen werden sollte. Das Sicherheitsrisiko sei bei dieser Art der Datenverarbeitung sehr hoch und die Kontrollmöglichkeiten der verantwortlichen Stelle sehr eingeschränkt. Andere Datenschutzbehörden sehen das ähnlich.  

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat auf seiner Website eine Checkliste zur selbstständigen Prüfung datenschutzrechtlicher Konformität der Home Office-Regelungen in Unternehmen veröffentlicht. Die vom BayLDA aufgeführten Maßnahmen können und sollen nicht als abschließend angesehen werden, sie stellen vielmehr einen Best-Practice-Ansatz dar. Welche konkreten Maßnahmen erforderlich sind, muss für jeden Einzelfall gesondert beurteilt werden. Grundsätzlich gilt: Die Arbeitsumgebung beim Home Office bzw. der mobilen Arbeit muss so ausgestaltet sein, dass die Vertraulichkeit und Verfügbarkeit der Daten sichergestellt ist. Dazu gehört, dass in der Regel ausschließlich vom Arbeitgeber bereitgestellte Geräte genutzt werden sollten. Die Nutzung von Privatgeräten sollte die Ausnahme bleiben; werden dennoch Privatgeräte für betriebliche Zwecke genutzt, muss sichergestellt sein, dass betriebliche Daten nicht dauerhaft auf dem privaten Endgerät gespeichert werden. Unabhängig davon, welche Geräte zum Einsatz kommen, sollte die Anbindung an das Firmennetz in jedem Fall mit nach Stand der Technik verschlüsselten VPN-Verbindungen erfolgen. Zusätzlich empfiehlt sich der Einsatz einer Zwei-Faktor-Authentifizierung nebst Passwort. Unternehmensbezogene Daten dürfen nur innerhalb des Unternehmensnetzwerks verarbeitet und gespeichert werden. Auf den Umgang mit Papierdokumenten sollte soweit wie möglich verzichtet werden. Darüber hinaus sollte durch die Bereitstellung von automatischen Sicherheitsupdates sichergestellt sein, dass alle verwendeten Programme, Tools und Sicherheitssysteme stets auf dem neusten Stand sind. Schließlich sollten Mitarbeiter auf die besonderen datenschutzrechtlichen Risiken der mobilen Arbeit hingewiesen und entsprechend geschult werden.

Die Einhaltung der Maßnahmen durch die Mitarbeiter ist vom Arbeitgeber regelmäßig zu überprüfen. In diesem Zusammenhang wie auch bei der Einführung von mobiler Arbeit im Unternehmen ist gegebenenfalls die Beteiligung des Betriebsrats zu beachten.

Im Übrigen gilt es in Bezug auf eine gegebenenfalls bestehende Cyberversicherung zu beachten, dass der vermehrte Einsatz mobilen Arbeitens einen meldepflichtigen gefahrerhöhenden Umstand darstellen kann, des Weiteren gilt: Versicherungsschutz besteht nur, wenn auch bei mobiler Arbeit der Stand der Technik eingehalten ist.

Fazit

Die Corona-Pandemie konfrontiert viele Unternehmen mit der Frage, wie die Arbeitsfähigkeit angesichts einschneidender Maßnahmen zur Eindämmung des Infektionsgeschehens sichergestellt werden kann. Dabei ist zu beachten, dass die Gewährleistung der Sicherheit der Datenverarbeitung durch geeignete technische und organisatorische Maßnahmen im Fokus der Aufsichtsbehörden steht. Dies belegen zahlreiche Bußgeldverfahren der vergangenen zwei Jahre, bei denen die Behörden teilweise Bußgelder in Millionenhöhe wegen unzureichender technischer und organisatorischer Maßnahmen verhängt haben.

Unternehmen, die ihren Mitarbeitern ermöglichen, aus dem Home Office heraus und/oder mobil zu arbeiten, müssen also geeignete technische und organisatorische Maßnahmen treffen, die den besonderen Risiken des Home Offices bzw. des mobilen Arbeitens begegnen. Die Mitarbeiter sollten regelmäßig auf die besonderen datenschutzrechtlichen Risiken der mobilen Arbeit hingewiesen und entsprechend geschult werden. Die Einhaltung der Maßnahmen durch die Mitarbeiter ist vom Arbeitgeber regelmäßig zu überprüfen.  Es ist davon auszugehen, dass die Pandemie die Art, wie Unternehmen und Institutionen arbeiten, nachhaltig verändern wird. Die aktuellen Veränderungen sollten zum Anlass genommen werden, strategische und organisatorische Transformationen im Hinblick auf die Datensicherheit im Home Office in die Wege zu leiten.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Dr. Thomas Jansen
München

Ansprechpartner

Dr. Thomas Jansen
München

Weitere Artikel

27.03.2024
Die Umsetzung der NIS2-Richtlinie in Deutschland: Herausforderung bei der Bestimmung des Anwendungsbereichs bei Konzernen
20.03.2024
Achtung Online-Marketer: Neues EuGH-Urteil zum IAB TCF
14.03.2024
Ready for Impact? Vorschau auf das kommende EU-Weltraumgesetz – Ziele, Erwartungen, Hoffnungen
13.03.2024
EU-Digitalrecht: Formelle Einigung im EU-Parlament zur KI-Verordnung, zum Cyber Resilience Act und zum European Media Freedom Act
06.03.2024
Neues OLG-Urteil: Unterliegt die private E-Mail-Nutzung dem Fernmeldegeheimnis?
28.02.2024
Änderungen im BDSG und TTDSG – Was sich ändert und worauf insbesondere Unternehmen zu achten haben
27.02.2024
Online-Coaching und das Fernunterrichtsschutzgesetz – 180-Grad Wende der Rechtsprechung
21.02.2024
Offenlegung der Identität des Bewerters bei Kununu
09.02.2024
Verdeckte Kontrollen als Datenschutzverstoß im Kündigungsschutzprozess
07.02.2024
Aktuelles zu Auskunftsansprüchen gegen Plattformen nach DSA & TTDSG
01.02.2024
Endlich mehr Kohle! – Neue Rechtsprechung zum Schadensersatz bei Patentverletzungen
30.01.2024
Arbeitnehmerüberwachung: Französische Datenschutzbehörde verhängt 32 Millionen Euro Strafe gegen großen Online-Versandhändler

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.