Suche
  • Simon Homberg

Security und Arbeitssicherheit (Teil 1)

Neue Herausforderungen stehen an beim mobilen Arbeiten

"Unternehmen, die umfangreich zum Datenschutz instruierten, taten dies auch zur digitalen Sicherheit. Wenig Datenschutz kam aber auch mit wenig Datensicherheit." (Trainaas “Best of Homeoffice” Umfrage)

Photo by Philipp Katzenberger on Unsplash


Neue Wege bringen auch neue Risiken, sodass durch Remote-Teams neue Security-anforderungen entstehen. Während am Büroarbeitsplatz eine oftmals optimale Ausstattung herrscht, mit geeigneter Hard- und Software, geeigneten Räumlichkeiten, Sicherheitsmaßnahmen und eine direkte Kontrollmöglichkeit durch den Arbeitgeber, sieht dies am flexiblen Arbeitsplatz ganz anders aus. Die größten Unsicherheiten entstehen aber durch die neue digitale Welt. Hier gibt es aktuell weniger Erfahrungswerte als in der physischen Arbeitswelt. Während es im Büro schon lange üblich ist, abschließbare Rollcontainer zur Verfügung zu stellen und dadurch Diebstähle verringert werden, sind die Risiken im digitalen Bereich teilweise nicht gut genug bekannt. Hierfür müssen Mitarbeiter, Führungskräfte und Betroffene sensibilisiert werden. Es werden neue Anforderungen und Sicherheitsschritte gebraucht. Dies erfordert auf allen Seiten Geduld, Verständnis und Kommunikation. Am Ende dieses Beitrages finden Sie eine Check-Liste mit relevanten Schritten.


Die richtige Strategie für mobiles und Remote-Arbeiten

  1. Geeignete Prozesse und rechtliche Hürden klären

  2. Risikoanalyse

  3. Technische Voraussetzungen schaffen

  4. Rechtliche Voraussetzungen schaffen

  5. Kommunikationsmöglichkeiten klären

  6. Datenschutzinformationen aufbereiten

  7. Sensibilisierung der Mitarbeiter


1. Geeignete Prozesse und rechtliche Hürden klären

Tätigkeiten für das flexible Arbeiten sind fachlich und technisch geeignet, wenn:

  • es einen durchgängigen elektronischen Workflow gibt

  • die erforderliche Hard- und Software zur Verfügung steht

Tätigkeiten für das flexible Arbeiten sind rechtlich geeignet, wenn:

  • es die Verträge zulassen. (Hierbei müssen auch Kundenverträge beachtet werden.)

  • das Sicherheitsniveau ausreichend ist

  • Risiken durch Mitbewohner / Besucher vertretbar sind

  • Kontrollrechte gewährleistet werden können

2. Risikoanalyse

Heimarbeit stellt ein grundsätzliches Risiko dar, welches neu bewertet und analysiert werden muss. Hierzu müssen evtl. auch Pflichten zur Durchführung und Dokumentation beachtet werden (Art. 5 Abs. 2 DS-GVO).


Stufe 1: Prüfung, ob der Heimarbeiter dem Schutzbedarf der zu verarbeitenden personenbezogenen Daten in seinem jeweiligen Heimarbeitsplatz / flexiblen Arbeitsplatz gerecht werden kann:


Maßnahmen gegen die Gefahren für Vertraulichkeit und Integrität:

  • Abgetrennter Arbeitsbereich, arbeiten im Wechselmodus bei Mitbewohnern

  • Blickschutzfolien verwenden

  • Ausdrucke verbieten

  • Automatischer Bildschirmschoner mit Passwortsperre

  • Verschluss der Geräte nach Nutzung an einem geeigneten Ort

  • Datentransfer ausschließlich über VPN oder direkte TLS 1.2 verschlüsselte Kanäle

Maßnahmen gegen die Gefahren von Verfügbarkeiten:

  • Nur dienstliche Hardware verwenden

  • Daten zentral auf Server speichern

  • Stromversorgung nach Arbeit trennen

  • Kunden/Kollegen über neue Arbeitszeiten informieren

  • Informationsfluss an Heimarbeiter optimieren

  • Arbeitsplatz frei von spielenden Kindern, Haustieren und Getränken

  • Keine Dokumente ins Homeoffice mitnehmen

Stufe 2: Prüfung, welche (zusätzlichen) Maßnahmen getroffen werden müssen, um die personenbezogene Datenverarbeitung maximal zu schützen (Art. 24, 32 DS-GVO).


3. Technische Voraussetzungen schaffen

Üblicherweise vom Arbeitgeber bereitzustellen:

  • Notebook, Maus

  • Je nach Verfügbarkeitsanforderung: LTE-Stick

  • Bildschirm, Tastatur

  • Mobiltelefon, Headset

  • Blickschutzfolien

  • Verschlüsselte Speichermedien usw.

  • VPN, für Arbeit relevante Software

Üblicherweise vom Mitarbeiter bereitzustellen:

  • Schreibtisch und Bürostuhl

  • Internetzugang, Strom und Klimatisierung

  • Idealerweise: abgeschlossener Arbeitsbereich

  • Router inkl. Modem

  • Schrank zum verschließen von Geräten und Unterlagen

Idealerweise: Verbot der Nutzung von privater Hard- oder Software, da diese Form der Nutzung nach dem BfDI unzulässig ist, denn

  • eine Speicherung von Daten auf privaten Geräten kommt einer Datenübermittlung gleich. Dies erfordert eine Rechtsgrundlage nach Art. 6 Ds-GVO / Datenverarbeitungsvereinbarung

  • private Geräte haben oftmals geringe Hürden für Schadsoftware als betriebliche Soft- und Hardware


Photo by FLY:D on Unsplash


Maßnahmen:

Die Nutzung von privater Hard- und Software ist oftmals die schnellste, einfachste und teilweise unumgängliche Lösungsmöglichkeit

  • Private Geräte von Mitarbeitern anmieten und Einfluss auf die Ausstattung und Nutzung nehmen

  • Virtuellen Desktop einsetzen

  • Kapselung der Verarbeitung

  • Kein Zugriff durch Wirtsystem (Gerät des Mitarbeiters)

  • Verschlüsselte Datenübertragung zum Arbeitgeber

  • Zwischenablage deaktivieren

  • Kein Ansteuern von Druckern und Speichermedien des Wirtsystems (Gerät des Mitarbeiters)

4. Rechtliche Voraussetzungen schaffen

  • Betriebsvereinbarung

  • Richtlinien

  • Zusatzvereinbarung zum Arbeitsvertrag

Grundsätzlich ist eine Vereinbarung mit den Mitarbeitern unumgänglich, da Zutrittsrechte für den Arbeitgeber gewährt werden müssen.


5. Kommunikationsmöglichkeiten klären

Kommunikationsmöglichkeiten sollten geklärt werden. Hierzu braucht es die innerbetriebliche wie auch die externe Perspektive.


6. Datenschutzinformationen

Die wichtigste und erste Frage, die gestellt werden muss lautet: Wer ist der Betreffende der Datenverarbeitung? Über wen werden Daten verarbeitet? Demgegenüber besteht die Informationspflicht.

Beispiel: Mitarbeiter, Bewerber, Webseitenbesucher, Ansprechpartner beim Kunden, Lieferanten, etc.


7. Sensibilisierung der Mitarbeiter

Security, Datensicherheit, Arbeitsplatzsicherheit, etc. sind keine Themen mit hohem Begeisterungsgrad. Trotzdem sind regelmäßige Sensibilisierungen wichtig. Denn der Arbeitgeber wie auch ein Mitarbeiter haftet bei unterschiedlichen Fragestellungen. Kleine Updates und Auffrischungen können schon viel bewegen.

Hilfreich können unterschiedliche Formen sein:

  • Schulungen

  • Individuelle Gespräche

  • Handreichung zusätzlich zur Richtlinie / Betriebsvereinbarung

Ein Methoden-Beispiel:

"Pro Quartal bereitet ein Mitarbeiter für ein Teammeeting ein kleines Thema aus dem Bereich Datenschutz, Security, etc. vor. Dadurch werden die Mitarbeiter herausgefordert sich mit dem Thema zu beschäftigen und die anderen bekommen Input. Z.B. kann ein Mitarbeiter berichten, wo er mit personenbezogenen Daten im Arbeitsalltag in Berührung kommt, wie er damit umgeht, und welche Herausforderungen bestehen."


Photo by Franck (Free-Hotspot.com) on Unsplash


Checkliste für mobiles Arbeiten:

Integration von Mitarbeitern

  • Identifizieren Sie gemeinsam mit den mobilen Arbeitern zusammen potentielle Aufgaben, welche beim mobilen Arbeiten gelöst werden können.

  • Vertraulichkeit, Integrität und Verfügbarkeit

  • Schaffen Sie dafür Verständnis und erklären Sie, was diese Begriffe am Heimarbeitsplatz bedeuten.

  • Kommunikation klar klären: "Auf welchem Kanal wird was kommuniziert?"

  • Leisten Sie Aufklärungsarbeit und bilden Sie sich selbst weiter.

  • Sensibilisierung der Mitarbeiter

  • Nehmen Sie das Thema auf die regelmäßige Agenda.

  • Integrieren Sie die Mitarbeiter durch Übungen, sodass Mitarbeiter sich damit beschäftigen.


Sie interessieren sich noch mehr für dieses Thema? Nehmen Sie jetzt Kontakt mit uns auf. Dieses Modul ist Teil unseres Workshops “Mobiles Arbeiten”.


KONTAKT



25 Ansichten

Aktuelle Beiträge

Alle ansehen