Das Arbeiten von zu Hause und von unterwegs ist zum Konjunkturtreiber der New Work geworden. Während die einen die Vorteile der ortsunabhängigen Arbeit genießen, stellt dies für nicht wenige Menschen eine große Herausforderung für das Familienleben und die Struktur im Alltag dar. Dennoch ist auch dieser Trend in vielen Berufen gekommen um zu bleiben und bietet zahlreiche Angriffsflächen. Wie steht es hierbei also um den Datenschutz und die Datensicherheit? Worauf Arbeitgeber und Beschäftigte achten sollten, beleuchten wir in diesem Artikel.
Angefangen bei der Ausstattung oder dem Einmal-Budget für das Home-Office und mobiles Arbeiten, wird dies von vielen Arbeitgebern inzwischen proaktiv angeboten. Denn häufig greifen Beschäftigte noch notgedrungen oder aus organisatorischen Gründen auf private Devices zurück. In vielen Unternehmen gehört die Ausstattung sowie das Arbeiten mit gesicherten Notebooks bereits längst zum Standard. Wenn auch häufig mit Optimierungsbedarf. Denn dass sich im Zeitalter der New Work gravierende Sicherheitslücken auftun, ist mittlerweile bekannt. Nicht nur datenschutzrechtlich kann die Arbeit außer Kontrolle geraten. Besonders die Anfälligkeit für Cyber-Angriffe wächst rasant. „Hacker lieben Homeoffice“ lautet eine Schlagzeile. Und in der Tat liegen die verursachten Schäden bereits heute im Milliardenbereich.
Nicht nur sind die privaten Geräte wie Router und Notebooks anfälliger für Bedrohungen. Auch können Arbeitnehmer nicht, auch nicht über Home-Office-Vereinbarungen, verpflichtet werden, ihre private Hardware für dienstliche Zwecke zur Verfügung zu stellen. Arbeitgeber sind somit verpflichtet, die Voraussetzungen für die angebotenen New Work-Modelle zu schaffen. Hierbei sind aus Datenschutz-Sicht gleich mehrere Dinge zu beachten.
Auf Sicherheit konfigurierte Router und eine Internetverbindung mit entsprechender Bandbreite (und ohne Drosselung) sind das A und O für die Sicherheit und Performance. Inzwischen existiert auch eine Vielzahl mobiler Router und Angebote, die sowohl von zu Hause als auch von unterwegs genutzt werden können. Denn das Sicherheitsrisiko in offenen WLANs, beispielsweise in Cafés und Zügen, liegt besonders hoch. Dies sind Tummelplätze für gewiefte Angreifer, um an Zugangsdaten und sensible Informationen zu gelangen.
Die Verbindung sollte daher immer über eine VPN-Verbindung gesichert und die Arbeitsgeräte verschlüsselt sein. Das unabhängig davon, ob eine Verbindung zum Firmennetzwerk hergestellt oder "nur" auf dem lokalen Betriebssystem gearbeitet wird. Auch das Risiko in öffentlichen WLANs kann mit entsprechenden Einstellungen somit drastisch reduziert werden. Die Speicherung von Daten auf lokalen Medien kann zudem unterbunden werden, so dass diese immer in einer gesicherten Cloud oder auf einem Fileserver zu speichern sind. Auch Mitarbeiterschulungen erhalten einen ganz neuen Stellenwert und sollten in allen betroffenen Organisationen sehr regelmäßig stattfinden.
Das New Work-Modell ist für Arbeitgeber besonders problematisch zu kontrollieren, da Betriebsgeheimnisse und Informationen, die beispielsweise in Videokonferenzen ausgetauscht oder auch physisch abgelegt werden, nicht für Dritte bestimmt sind. Das gilt somit auch für Familienmitglieder und andere betriebsfremde Personen. Für das Home-Office muss zudem ein gesonderter Heim-Arbeitsplatz eingerichtet sein, wodurch die vertrauliche und konzentrierte Arbeit gewährleistet wird. Dies ist zudem auch aus der Sicht des Arbeitsschutzes wichtig. Je nach räumlicher Ausgestaltung, und besonders bei der mobilen Arbeit, sind Kontrollrechte daher umso problematischer. Regelmäßige Schulungsmaßnahmen Beschäftigter und eine New Work-Vereinbarung (oder Richtlinie) gehören somit zum Pflichtprogramm, damit Beschäftigte über Gefahrenquellen aufgeklärt und in der Lage sind, „ihre eigene Security“ zu sein.
Kontrollmaßnahmen in der Privatwohnung, ob Vereinbarungen oder Richtlinien eingehalten werden, sind aufgrund des Schutzes der Unverletzlichkeit der Wohnung sowie der räumlichen Privatsphäre grundsätzlich verboten und die Kontrollrechte, analog zum betrieblichen Arbeitsplatz, somit überwiegend technischer Natur. Kontrollen der Privatwohnung beziehen sich zudem auf Arbeitsschutzbestimmungen und ob der Arbeitsplatz ordnungsgemäß eingerichtet ist. Auch der Datenschutz und die Datensicherheit können somit eine wichtige Rolle bei einer vor Ort-Überprüfung einnehmen. Arbeitgeber müssen sich in jedem Fall mit Termin ankündigen und sollten das rechtlich umstrittene Kontrollrecht vertraglich vereinbaren, wenn die Kontrolle regelmäßig, beispielsweise einmal jährlich, stattfinden soll.
Wir beraten als externe Datenschutzbeauftragte Unternehmen jeder Größe in den Bereichen Datenschutz, IT-Sicherheit & Compliance. Neben einem All-In-One-Portfolio innovativer Compliance- und Security-Lösungen bieten wir Schulungen und Fortbildungen in den Beratungsfeldern.
Externer Datenschutz-beauftragter
ab 150 EUR im Monat
inklusive DSMS und Webseiten-Audit
Stets aktuelle News in unserem Datenschutz Experten-Blog.
