Bereits vier von zehn Unternehmen erlauben ihren Mitarbeitern, ihre Arbeitsleistung von zu Hause aus zu erbringen – das umgangssprachliche „Homeoffice“. Diese Zahl erscheint im ersten Moment vielleicht hoch, aber sie zeigt, dass zumindest sechs von zehn Unternehmen noch keine internen Regelungen hierzu getroffen haben.
Im März 2020 hat die Corona-Epidemie die deutsche Wirtschaft fest in ihren Griff genommen. Das erfordert nun ein kurzfristiges Handeln aller betroffenen Unternehmen, um weiterhin handlungsfähig zu bleiben. Auch wenn selbstverständlich der Gesundheitsschutz oberste Priorität hat, darf der Schutz personenbezogener Daten nicht leichtfertig beiseitegelegt werden. Vielmehr wollen wir als Althammer & Kill Sie bestmöglich auf diese Situation vorbereiten und unterstützen. Damit Sie Ihre Anstrengungen und Zeit in anderen Projekten konzentrieren können.
Handlungsempfehlung
Althammer & Kill empfiehlt folgende Maßnahmen kurzfristig umzusetzen:1. Unterscheiden Sie zwischen durch Sie bereitgestellte Endgeräte und der Benutzung eigener Hardware des Mitarbeiters.
a. Für bereitgestellte Endgeräte ist zu empfehlen:
- Passwortkonvention am Gerät einrichten.
- Automatische Bildschirmsperre nach zwei Minuten aktivieren.
- VPN-Zugang einrichten.
- Verschlüsselung einrichten.
- Grundsätzlich sollten die USB-Ports gesperrt werden, in Ausnahmefällen sollte die Öffnung dann dokumentiert sein.
- Antivirensoftware und Firewall aktivieren.
- Zugriffberechtigungen auf das notwendige Maß begrenzen.
- Keine private Nutzung des Endgerätes.
b. Bei der Benutzung privater IT zu dienstlichen Zwecken (Bring-your-own-Device) ist zu empfehlen:
- VPN Zugang bereitstellen und einrichten.
- Zugriffberechtigungen auf das notwendige Maß begrenzen.
- Falls möglich, eine Zwei-Wege-Authentifikation für Zugriffe auf E-Mail-Postfächer einrichten, um möglichen unzureichenden technischen Sicherheits¬maß-nahmen vor Ort entgegenzuwirken. Man beachte, dass bei einem Passwortverlust der komplette Inhalt von IMAP- oder MAPI-Postfächern auf ein anderes Gerät synchronisiert werden kann. Falls ein neues Gerät beim Erst¬zugriff erst bestätigt werden muss, ist dieser Weg geschlossen. Lassen Sie den Zugang bei Ihrer IT hinterlegen.
- Arbeitsergebnisse sollten nicht lokal gespeichert werden.
- Bieten Sie Ihrem Mitarbeiter Unterstützung zur Erhöhung des Schutzniveaus an. Dieses kann insbesondere durch Ressourcenbereitstellung geschehen.
2. Geben Sie Ihren Mitarbeitern einen Leitfaden zum Umgang mit der IT und damit verbunden personenbezogenen Daten mit.
3. Treffen Sie eine arbeitsvertragliche Zusatzvereinbarung.
4. Geben Sie Ihrem Mitarbeiter Akten und Unterlagen mit personenbezogenen Daten oder auch Geschäftsgeheimnissen nur im Ausnahmefall und gegen Unterschrift. Diese sollten vor Ort unbedingt in abschließbaren Schränken gelagert werden.
5. Erstellen Sie ein Konzept zum Umgang mit Datenpannen und klären Sie Ihre Mitarbeiter hierüber auf. Beim Verdacht einer unberechtigten Offenlegung personenbezogener Daten muss der Mitarbeiter dieses intern melden. Damit das weitere Vorgehen geklärt werden können.
6. Beteiligen Sie die Arbeitnehmervertretung.
Bedenken Sie, dass der unberechtigte Zugriff Dritter auf Daten im häuslichen Bereich sehr viel einfacher ist. Die Verantwortung für den rechtmäßigen Umgang bleibt aber vollumfänglich beim Verantwortlichen, also dem Unternehmen.
Die dargestellten Empfehlungen beschreiben das Mindestmaß an Datenschutz, welches trotzdem einen lösungsorientierten Ansatz bietet muss. Zukünftig, für auf Dauer angelegte Homeoffice-Lösungen, sollten unter Umständen noch ergänzende Kriterien einfließen.
Sicheres Arbeiten im Homeoffice
Laden Sie sich kostenlos das PDF „Sicheres Arbeiten im Homeoffice“ oder die Kurzfassung „Sicheres Arbeiten im Homeoffice Flyer“ herunter.