Neue Herausforderungen stehen an beim mobilen Arbeiten
"Unternehmen, die umfangreich zum Datenschutz instruierten, taten dies auch zur digitalen Sicherheit. Wenig Datenschutz kam aber auch mit wenig Datensicherheit." (Trainaas “Best of Homeoffice” Umfrage)
Photo by Philipp Katzenberger on Unsplash
Neue Wege bringen auch neue Risiken, sodass durch Remote-Teams neue Security-anforderungen entstehen. Während am Büroarbeitsplatz eine oftmals optimale Ausstattung herrscht, mit geeigneter Hard- und Software, geeigneten Räumlichkeiten, Sicherheitsmaßnahmen und eine direkte Kontrollmöglichkeit durch den Arbeitgeber, sieht dies am flexiblen Arbeitsplatz ganz anders aus. Die größten Unsicherheiten entstehen aber durch die neue digitale Welt. Hier gibt es aktuell weniger Erfahrungswerte als in der physischen Arbeitswelt. Während es im Büro schon lange üblich ist, abschließbare Rollcontainer zur Verfügung zu stellen und dadurch Diebstähle verringert werden, sind die Risiken im digitalen Bereich teilweise nicht gut genug bekannt. Hierfür müssen Mitarbeiter, Führungskräfte und Betroffene sensibilisiert werden. Es werden neue Anforderungen und Sicherheitsschritte gebraucht. Dies erfordert auf allen Seiten Geduld, Verständnis und Kommunikation. Am Ende dieses Beitrages finden Sie eine Check-Liste mit relevanten Schritten.
Die richtige Strategie für mobiles und Remote-Arbeiten
Geeignete Prozesse und rechtliche Hürden klären
Risikoanalyse
Technische Voraussetzungen schaffen
Rechtliche Voraussetzungen schaffen
Kommunikationsmöglichkeiten klären
Datenschutzinformationen aufbereiten
Sensibilisierung der Mitarbeiter
1. Geeignete Prozesse und rechtliche Hürden klären
Tätigkeiten für das flexible Arbeiten sind fachlich und technisch geeignet, wenn:
es einen durchgängigen elektronischen Workflow gibt
die erforderliche Hard- und Software zur Verfügung steht
Tätigkeiten für das flexible Arbeiten sind rechtlich geeignet, wenn:
es die Verträge zulassen. (Hierbei müssen auch Kundenverträge beachtet werden.)
das Sicherheitsniveau ausreichend ist
Risiken durch Mitbewohner / Besucher vertretbar sind
Kontrollrechte gewährleistet werden können
2. Risikoanalyse
Heimarbeit stellt ein grundsätzliches Risiko dar, welches neu bewertet und analysiert werden muss. Hierzu müssen evtl. auch Pflichten zur Durchführung und Dokumentation beachtet werden (Art. 5 Abs. 2 DS-GVO).
Stufe 1: Prüfung, ob der Heimarbeiter dem Schutzbedarf der zu verarbeitenden personenbezogenen Daten in seinem jeweiligen Heimarbeitsplatz / flexiblen Arbeitsplatz gerecht werden kann:
Maßnahmen gegen die Gefahren für Vertraulichkeit und Integrität:
Abgetrennter Arbeitsbereich, arbeiten im Wechselmodus bei Mitbewohnern
Blickschutzfolien verwenden
Ausdrucke verbieten
Automatischer Bildschirmschoner mit Passwortsperre
Verschluss der Geräte nach Nutzung an einem geeigneten Ort
Datentransfer ausschließlich über VPN oder direkte TLS 1.2 verschlüsselte Kanäle
Maßnahmen gegen die Gefahren von Verfügbarkeiten:
Nur dienstliche Hardware verwenden
Daten zentral auf Server speichern
Stromversorgung nach Arbeit trennen
Kunden/Kollegen über neue Arbeitszeiten informieren
Informationsfluss an Heimarbeiter optimieren
Arbeitsplatz frei von spielenden Kindern, Haustieren und Getränken
Keine Dokumente ins Homeoffice mitnehmen
Stufe 2: Prüfung, welche (zusätzlichen) Maßnahmen getroffen werden müssen, um die personenbezogene Datenverarbeitung maximal zu schützen (Art. 24, 32 DS-GVO).
3. Technische Voraussetzungen schaffen
Üblicherweise vom Arbeitgeber bereitzustellen:
Notebook, Maus
Je nach Verfügbarkeitsanforderung: LTE-Stick
Bildschirm, Tastatur
Mobiltelefon, Headset
Blickschutzfolien
Verschlüsselte Speichermedien usw.
VPN, für Arbeit relevante Software
Üblicherweise vom Mitarbeiter bereitzustellen:
Schreibtisch und Bürostuhl
Internetzugang, Strom und Klimatisierung
Idealerweise: abgeschlossener Arbeitsbereich
Router inkl. Modem
Schrank zum verschließen von Geräten und Unterlagen
Idealerweise: Verbot der Nutzung von privater Hard- oder Software, da diese Form der Nutzung nach dem BfDI unzulässig ist, denn
eine Speicherung von Daten auf privaten Geräten kommt einer Datenübermittlung gleich. Dies erfordert eine Rechtsgrundlage nach Art. 6 Ds-GVO / Datenverarbeitungsvereinbarung
private Geräte haben oftmals geringe Hürden für Schadsoftware als betriebliche Soft- und Hardware
Maßnahmen:
Die Nutzung von privater Hard- und Software ist oftmals die schnellste, einfachste und teilweise unumgängliche Lösungsmöglichkeit
Private Geräte von Mitarbeitern anmieten und Einfluss auf die Ausstattung und Nutzung nehmen
Virtuellen Desktop einsetzen
Kapselung der Verarbeitung
Kein Zugriff durch Wirtsystem (Gerät des Mitarbeiters)
Verschlüsselte Datenübertragung zum Arbeitgeber
Zwischenablage deaktivieren
Kein Ansteuern von Druckern und Speichermedien des Wirtsystems (Gerät des Mitarbeiters)
4. Rechtliche Voraussetzungen schaffen
Betriebsvereinbarung
Richtlinien
Zusatzvereinbarung zum Arbeitsvertrag
Grundsätzlich ist eine Vereinbarung mit den Mitarbeitern unumgänglich, da Zutrittsrechte für den Arbeitgeber gewährt werden müssen.
5. Kommunikationsmöglichkeiten klären
Kommunikationsmöglichkeiten sollten geklärt werden. Hierzu braucht es die innerbetriebliche wie auch die externe Perspektive.
6. Datenschutzinformationen
Die wichtigste und erste Frage, die gestellt werden muss lautet: Wer ist der Betreffende der Datenverarbeitung? Über wen werden Daten verarbeitet? Demgegenüber besteht die Informationspflicht.
Beispiel: Mitarbeiter, Bewerber, Webseitenbesucher, Ansprechpartner beim Kunden, Lieferanten, etc.
7. Sensibilisierung der Mitarbeiter
Security, Datensicherheit, Arbeitsplatzsicherheit, etc. sind keine Themen mit hohem Begeisterungsgrad. Trotzdem sind regelmäßige Sensibilisierungen wichtig. Denn der Arbeitgeber wie auch ein Mitarbeiter haftet bei unterschiedlichen Fragestellungen. Kleine Updates und Auffrischungen können schon viel bewegen.
Hilfreich können unterschiedliche Formen sein:
Schulungen
Individuelle Gespräche
Handreichung zusätzlich zur Richtlinie / Betriebsvereinbarung
Ein Methoden-Beispiel:
"Pro Quartal bereitet ein Mitarbeiter für ein Teammeeting ein kleines Thema aus dem Bereich Datenschutz, Security, etc. vor. Dadurch werden die Mitarbeiter herausgefordert sich mit dem Thema zu beschäftigen und die anderen bekommen Input. Z.B. kann ein Mitarbeiter berichten, wo er mit personenbezogenen Daten im Arbeitsalltag in Berührung kommt, wie er damit umgeht, und welche Herausforderungen bestehen."
Photo by Franck (Free-Hotspot.com) on Unsplash
Checkliste für mobiles Arbeiten:
Integration von Mitarbeitern
Identifizieren Sie gemeinsam mit den mobilen Arbeitern zusammen potentielle Aufgaben, welche beim mobilen Arbeiten gelöst werden können.
Vertraulichkeit, Integrität und Verfügbarkeit
Schaffen Sie dafür Verständnis und erklären Sie, was diese Begriffe am Heimarbeitsplatz bedeuten.
Kommunikation klar klären: "Auf welchem Kanal wird was kommuniziert?"
Leisten Sie Aufklärungsarbeit und bilden Sie sich selbst weiter.
Sensibilisierung der Mitarbeiter
Nehmen Sie das Thema auf die regelmäßige Agenda.
Integrieren Sie die Mitarbeiter durch Übungen, sodass Mitarbeiter sich damit beschäftigen.
Sie interessieren sich noch mehr für dieses Thema? Nehmen Sie jetzt Kontakt mit uns auf. Dieses Modul ist Teil unseres Workshops “Mobiles Arbeiten”.
Comments