Startseite » Sicherheitsbeauftragter »

Datenschutz bei Telearbeit und Mobiler Arbeit - Viele Schlupflöcher für Missbrauch und Verluste

Datenschutz bei Telearbeit und Mobiler Arbeit
Viele Schlupflöcher für Missbrauch und Verluste

Anzeige
Beson­ders jet­zt, während der Coro­na-Pan­demie, sind etliche geschäftliche Note­books, Tablets und IT-Zube­hör daheim im Ein­satz. Ein Aspekt wird dabei häu­fig ver­nach­läs­sigt: Sind Dat­en und IT-Geräte im Pri­vat­bere­ich aus­re­ichend gesichert? Gängige Fall­stricke und worauf Arbeit­ge­ber und Beschäftigte dies­bezüglich acht­en soll­ten, erläutern Roswitha Krane­fuß und Babette Kusche, Fachan­wältin­nen für Arbeitsrecht.

Chris­tine Lendt, mit fre­undlich­er Unter­stützung von Roswitha Krane­fuß und Babette Kusche

Der Mitar­beit­er eines Unternehmens ver­tieft sich am häus­lichen Schreibtisch in eine Pro­jek­tar­beit. Plöt­zlich klin­gelt es, über­raschend ste­ht Besuch vor der Tür. Höflich bit­tet der Beschäftigte die Per­son here­in und ver­schwindet in der Küche, um Kaf­fee zu kochen. Daran, dass er vorher lieber seinen Rech­n­er sper­ren sollte, denkt er in dieser Sit­u­a­tion nicht. Der Besuch­er wiederum nutzt die Gele­gen­heit, um damit mal eben im Inter­net zu sur­fen – und infiziert den Com­put­er dabei verse­hentlich mit Schad­soft­ware. „Dies ist ein typ­is­ches Beispiel dafür, wie schnell und mit welchen Fol­gen der Daten­schutz im Home­of­fice ver­let­zt wer­den kann“, sagt Roswitha Kranefuß.

Beson­ders schnell passiert es auch, wenn par­al­lel zur Arbeit daheim auch noch Kinder im Home­school­ing betreut wer­den, wie es derzeit häu­fig vorkommt. „Heikel wird es, wenn etwa die Tochter den vom Arbeit­ge­ber zur Ver­fü­gung gestell­ten Druck­er auch für ihre Schu­lar­beit­en nutzt“, erläutert die Fachan­wältin. Grund­sät­zlich gelte: Wer­den IT-Geräte, Zube­hör, Infor­ma­tio­nen und Soft­ware bei der Telear­beit oder dem Mobilen Arbeit­en ver­wen­det, kann es ein­fach­er zu Miss­brauch, unbefugtem Zugriff, Manip­u­la­tion oder Zer­störung kom­men als in den Räum­lichkeit­en des Arbeit­ge­bers. „Der Arbeit­splatz im Home­of­fice ist oft nicht so gut abgesichert wie beim Arbeit­ge­ber. Er ist für Ange­hörige und Besuch­er des Arbeit­nehmers oder seine Fam­i­lie zugänglich. Oft ist er auch durch andere mobil arbei­t­ende Per­so­n­en einsehbar.“

Schlupflöcher für Datenmissbrauch

Weit­ere Schlupflöch­er für poten­ziellen Daten­miss­brauch öff­nen sich, wenn etwa Kun­denkon­tak­te über Mes­sen­ger­di­en­ste auf dem Smart­phone ver­net­zt und genutzt wer­den. Prob­lema­tisch ist auch die Spe­icherung betrieblich­er Dat­en auf eige­nen USB-Sticks oder in eige­nen Cloud-Spe­ich­ern – also die automa­tis­che Syn­chro­nisierung mit Google, Apple und Co., weshalb viele Unternehmen dies auch ihren Beschäftigten unter­sagen. Dat­en kön­nen außer­dem an Unbefugte ger­at­en, wenn Unter­la­gen ver­legt und verse­hentlich mit dem Abfall entsorgt wer­den. Auch ver­leit­et das Home-Office gern ein­mal dazu, selb­st an den IT-Sys­te­men „herumzubasteln“, woraus weit­ere Sicher­heit­slück­en resul­tieren können.

Ver­säum­nisse im Daten­schutz sind auch ein Ein­fall­stor für Cyberkrim­i­nal­ität, wie Roswitha Krane­fuß weit­er erläutert. „Das zeigen Fälle aus der Prax­is, in denen Unter­la­gen oder sog­ar IT-Geräte gestohlen wur­den, um sie dann ein­fach und schnell verkaufen zu kön­nen.“ Auf dien­stlichem IT-Zube­hör vorhan­dene Infor­ma­tio­nen besäßen dabei oft einen höheren Wert als die IT-Sys­teme selb­st. Ein­brech­er kön­nten ver­suchen, durch Erpres­sung oder Weit­er­gabe der Dat­en an Konkur­ren­zun­ternehmen einen höheren Gewinn zu erzie­len als durch den Verkauf der Hardware.

Gefährdung der Persönlichkeitsrechte

Han­dynum­mern, per­sön­liche E‑Mail-Adressen oder zum Beispiel betriebliche Inter­na: Auch bei der Telear­beit oder dem Mobilen Arbeit­en wer­den regelmäßig per­so­n­en­be­zo­gene Dat­en ver­ar­beit­et. Dazu gehören ins­beson­dere Dat­en von Beschäftigten, Kun­den oder Geschäftspart­nern. Wer damit zu leicht­fer­tig umge­ht, gefährdet unter Umstän­den die Per­sön­lichkeit­srechte der jew­eili­gen Per­so­n­en. „Die Gefahr eines Daten­miss­brauchs oder ein­er unzuläs­si­gen Ein­sicht durch Dritte ist bei der Telear­beit oder dem Mobilen Arbeit­en höher“, gibt Babette Kusche zu bedenken. „Der Arbeit­ge­ber hat nur eingeschränk­te Möglichkeit­en, dies zu kon­trol­lieren oder zu bee­in­flussen.“ Bei der Beurteilung, ob und unter welchen Umstän­den Telear­beit oder Mobiles Arbeit­en in Betra­cht komme, sei daher zu berück­sichti­gen, wie hoch das Risiko eines Miss­brauchs oder unbefugten Zugriffs beim Umgang mit per­so­n­en­be­zo­ge­nen Dat­en angesichts der gegebe­nen konkreten Arbeitsabläufe einzustufen ist.

Der Daten­schutz ist sowohl im Home­of­fice als auch beim Mobilen Arbeit­en zu wahren, es gel­ten die Daten­schutz-Grund­verord­nung (EU-DSGVO) und das Bun­des­daten­schutzge­setz (BDSG). „Grund­sät­zlich ist im Home­of­fice alles zu tun, was der Arbeit­ge­ber auch im Betrieb tun muss, um die Dat­en vor frem­dem Zugriff zu schützen“, betont Fachan­wältin Kusche. „Der Schutz beson­ders schützenswert­er per­so­n­en­be­zo­gen­er Dat­en muss daher durch angemessene tech­nisch-organ­isatorische Maß­nah­men und entsprechende Kon­trollmöglichkeit­en des Arbeit­ge­bers gewährleis­tet werden.“

Medienbruchfreie Gestaltung

Um Risiken zu ver­mei­den, sollte Telear­beit oder Mobile Arbeit unter anderem grund­sät­zlich mit ein­er voll elek­tro­n­is­chen Daten­ver­ar­beitung ohne Medi­en­bruch erfol­gen. Das bedeutet, die Tätigkeit­en ohne einen Wech­sel der Medi­en auszugestal­ten. Konkret sollte die schriftliche Kom­mu­nika­tion mit dem Arbeit­ge­ber, die Ent­ge­gen­nahme von Auf­gaben, die Über­mit­tlung der Arbeit­sergeb­nisse und der Umgang mit per­so­n­en­be­zo­ge­nen Dat­en automa­tisiert mit Hil­fe von IT-Ein­rich­tun­gen wie Lap­top, Tablet etc. und über ver­schlüs­selte elek­tro­n­is­che Kom­mu­nika­tion­swege erfolgen.

Schutzmaßnahme: BYOD vermeiden

Prob­lema­tisch könne es wer­den, wenn Beschäftigte am Telear­beit­splatz oder beim Mobilen Arbeit­en eigene Endgeräte wie Lap­tops, Smart­phones oder Tablets ver­wen­den. Dies wird auch als „Bring your own device” (BYOD) beze­ich­net. Auch darauf weist Babette Kusche hin: „Bei ein­er Ver­wen­dung pri­vater Hard- und Soft­ware der Beschäftigten sind Vere­in­barun­gen über die Kon­trolle und Löschung beru­flich­er Dat­en sowie die deut­liche Tren­nung von beru­flichen und pri­vat­en Inhal­ten zu treffen.“

Das Risiko kann min­imiert wer­den, wenn durch den Arbeit­ge­ber beziehungsweise Dien­s­ther­rn im Rah­men der erforder­lichen tech­nisch-organ­isatorischen Maß­nah­men (Art. 32 DSGVO) Schutz­maß­nah­men getrof­fen wer­den. Einen Überblick über sin­nvolle Vor­gaben gibt die Check­liste unten auf dieser Seite.

Unterlagen verschlossen aufbewahren

Ist es nicht möglich, dass die Telear­beit beziehungsweise die Mobile Arbeit auss­chließlich medi­en­bruch­frei, sprich vol­lelek­tro­n­isch erfol­gt, soll­ten geeignete häus­liche Räum­lichkeit­en und Arbeitsmit­tel zur sicheren Auf­be­wahrung und ver­traulichen Behand­lung von Unter­la­gen und Daten­trägern mit per­so­n­en­be­zo­ge­nen Dat­en vorhan­den sein. Schließlich dür­fen auch die mit dem zu Hause Arbei­t­en­den in häus­lich­er Gemein­schaft leben­den Per­so­n­en keinen Zugriff auf die Dat­en haben. Dien­stliche Unter­la­gen und Daten­träger müssen am heimis­chen Arbeit­splatz so auf­be­wahrt wer­den, dass kein Unbefugter darauf zugreifen kann. Es müssen aus­re­ichende ver­schließbare Behält­nisse wie ein abschließbar­er Schreibtisch, Roll­con­tain­er oder Schrank vorhan­den sein. Jed­er Mitar­beit­er hat seinen häus­lichen Arbeit­splatz aufgeräumt zu hin­ter­lassen und sicherzustellen, dass keine sen­si­tiv­en Infor­ma­tio­nen frei zugänglich sind.

Sicherheit beim Transport

Wenn die Tätigkeit im Büro und von zu Hause im Wech­sel aus­ge­führt wird, wer­den mitunter Ord­ner und tech­nis­che Geräte von einem Ort zum anderen ver­bracht. Bei diesen Trans­porten von Arbeits­geräten oder Unter­la­gen soll­ten Vorkehrun­gen gegen das Risiko des Ver­lusts, der Beschädi­gung oder der unbefugten Ken­nt­nis­nahme getrof­fen wer­den. Fol­gende Miss­geschicke kom­men in der Prax­is immer wieder vor, wie Roswitha Krane­fuß und Babette Kusche berichten:

  • Ord­ner mit Dat­en wer­den in ein­er Tasche im Auto trans­portiert, auf dem Rück­weg von der Arbeit wird beim Einkaufen das Auto aufge­brochen und die Tasche entwendet.
  • Der Lap­top oder das Smart­phone wird in der U‑Bahn gestohlen.
  • Der USB-Stick rutscht aus der Jackentasche.

Zu den Schutz­maß­nah­men während des Trans­ports zählt dem­nach, Arbeits­geräte und Unter­la­gen nie unbeauf­sichtigt zu lassen. Daten­träger soll­ten stets ver­schlüs­selt und entsprechend gesichert, Papierun­ter­la­gen nur in ver­schlosse­nen Behält­nis­sen trans­portiert werden.

Bei Mobil­er Arbeit beste­ht immer das Risiko, dass das mobile Gerät ver­loren geht. Daraus ergibt sich die Gefahr, das unbefugte Dritte unberechtigten Zugriff auf per­so­n­en­be­zo­gene Dat­en erhal­ten. Dies lässt sich reduzieren, indem die Dat­en auf dem mobilen Gerät ver­schlüs­selt wer­den und dieses nur im ges­per­rten Zus­tand trans­portiert wird. Zur Authen­tifizierung einge­set­zte, hard­ware-basierte Ver­trauen­sanker wie etwa Sicher­heit­skarten soll­ten Beschäftigte getren­nt vom mobilen Gerät aufbewahren.

Vorsicht auf Geschäftsreisen

Der Flieger oder die Bahn startet, mehrere Stun­den bleiben bis zur Ankun­ft. Also schnell das Note­book her­vorge­holt, auf dem Klapp­tis­chchen platziert, und schon lässt sich die lange Reisezeit per­fekt zum Arbeit­en nutzen. Wäre da nur nicht der neugierig herüberäu­gende Sitznachbar…

Beim Mobilen Arbeit­en im öffentlichen Bere­ich müssen daher mobil Beschäftigte auch darauf acht­en, dass Bild­schirm und Tas­tatur der genutzten mobilen Geräte durch Pas­san­ten oder Videokam­eras nicht ein­se­hbar sind. Dien­stliche Tele­fonate mit Per­so­n­en­bezug, wie etwa ver­trauliche geschäftliche Gespräche, soll­ten im öffentlichen Raum nur geführt wer­den, wenn ein Mithören aus­geschlossen wer­den kann.

Wer ist für den Datenschutz verantwortlich?

Ver­ant­wortlich für die Daten­ver­ar­beitung und deren Sicher­heit ist die Per­son, die über die Zwecke und Mit­tel der erforder­lichen Daten­ver­ar­beitung entschei­det. Dies gilt genau­so auch bei Telear­beit und Mobilem Arbeit­en. Es entschei­det gemäß § 24 DSGVO somit der Arbeit­ge­ber, der die Weisungs­befug­nis gegenüber dem Arbeit­nehmer hin­sichtlich der einzel­nen Arbeit­sauf­gaben hat – und damit auch hin­sichtlich der daten­schutzrel­e­van­ten Ver­ar­beitungstätigkeit­en. Er muss sorgfältig prüfen, ob die Wahrnehmung der jew­eili­gen Auf­gaben oder Tätigkeit­en im Rah­men von Telear­beit und Mobilem Arbeit­en daten­schutzrechtlich vertret­bar ist.

Die Per­son, die Telear­beit beziehungsweise Mobile Arbeit ver­richtet, ist nur im Rah­men der Arbeit­nehmer­haf­tung ver­ant­wortlich für die Dat­en, die sie für das Unternehmen ver­ar­beit­et. Sie haftet nur bei vorsät­zlich­er oder grob fahrläs­siger Hand­lung, was im Einzelfall geprüft wer­den muss.


Checkliste: Maßnahmen für den Datenschutz

Als Schutz­maß­nah­men sind fol­gende Regelun­gen und Vor­gaben möglich:

  • Nutzung pri­vater Endgeräte untersagen
  • Keine pri­vate Nutzung der beru­flich zur Ver­fü­gung gestell­ten IT-Ausstattung
  • Keine Spe­icherung von betrieblichen Dat­en auf pri­vat­en Endgeräten
  • Sper­rung von USB-Zugän­gen und anderen Anschlüssen
  • Auf­be­wahrung von Unter­la­gen in einem abschließbaren Raum/Schrank
  • Kein Zugang ander­er Per­so­n­en zu den Unterlagen
  • Ver­schlüs­selung der Dat­en (Ende-zu-Ende) inklu­sive Ablagev­er­schlüs­selung auf dem mobilen Gerät
  • Zugang der Berechtigten zu den sen­si­blen per­so­n­en­be­zo­ge­nen Dat­en nur mit PIN und hard­ware­basiertem Ver­trauen­sanker (Zwei-Fak­tor-Authen­tifizierung)
  • Keine Ein­sichtsmöglichkeit auf den Bild­schirm von Drit­ten, sowohl an der fes­ten Arbeitsstätte zu Hause als auch unter­wegs (gegebe­nen­falls Sichtschutz anwenden)
  • Zugriff auf Sys­teme des Arbeit­ge­bers nur über einen sicheren Remote-Zugang, etwa ein Vir­tu­al Pri­vate Net­work (VPN) – beson­ders an öffentlichen Plätzen (zum Beispiel im Flugzeug, Zug oder Hotel. Dieser Zugang schützt die Verbindung zum fir­menin­ter­nen Netz durch eine aus­re­ichend starke Verschlüsselung.
  • Ver­nich­tung eventueller Aus­drucke mit ver­traulichen Infor­ma­tio­nen, wenn sie nicht mehr benötigt wer­den (zum Beispiel mit­tels Akten­ver­nichter mit Par­tikelschnitt P‑4)
  • Aktivierung der automa­tis­chen Bild­schirmsperre beim Ver­lassen des Arbeitsplatzes
  • Keine Anbindung von Druckern
  • Kein Aus­druck betrieblich­er Dokumente
  • Ver­bot der Weit­er­leitung beru­flich­er Mails auf pri­vate Accounts
  • Ken­nwortschutz des Betriebssystems
  • Ver­mei­dung des Ein­satzes von Smart Home-Geräten wie zum Beispiel smarten Laut­sprech­ern oder dig­i­tal­en Assis­ten­ten in den Räu­men, in denen Telear­beit oder Mobiles Arbeit­en stattfindet.
  • Mel­dung von Störun­gen oder Auf­fäl­ligkeit­en bei der EDV-Nutzung
  • Regelmäßige Schulung/Fortbildung der Beschäftigten zum daten­sicheren und daten­schutzgerecht­en Umgang mit mobilen Geräten
  • Ver­ant­wortlichkeit­en im Umgang mit per­so­n­en­be­zo­ge­nen Dat­en umfassend ver­traglich festlegen
  • Die Daten­schutz­grund­sätze für Telear­beit und Mobiles Arbeit­en in ein­er Betriebs-/Di­en­stvere­in­barung festschreiben
  • Bei der Entschei­dung, ob sich Tätigkeit­en für Telear­beit und/oder Mobiles Arbeit­en eignen, ist der/die jew­eilige betriebliche oder behördliche Daten­schutzbeauf­tragte rechtzeit­ig zu beteili­gen, genau­so auch bei der Ein­rich­tung des Arbeit­splatzes zu Hause.
Anzeige
Newsletter

Jet­zt unseren Newslet­ter abonnieren

Webinar
Meistgelesen
Jobs
Sicherheitsbeauftragter
Titelbild Sicherheitsbeauftragter 5
Ausgabe
5.2021
ABO
Sicherheitsingenieur
Titelbild Sicherheitsingenieur 5
Ausgabe
5.2021
ABO
Anzeige
Anzeige

Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de