Home-Office und DS-GVO
Der häusliche Arbeitsplatz oder mobiles Arbeiten stellen besondere Anforderung, an die Vertraulichkeit und Sicherheit dienstlicher Informationen. So ist der häusliche Arbeitsplatz zum Beispiel nicht immer hinreichend von den privaten Räumen getrennt. Dienstliche Informationen sind daher für Familienangehörige, Besucher oder Reinigungskräfte leichter zugänglich. Es muss daher ein angemessenes Schutzniveau geschaffen werden. Wir geben nachfolgend wichtige Tipps, die auf den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) beruhen.
1. Sicherheitsrichtlinie für mobiles Arbeiten und Home-Office
Am Anfang des Datenschutzes und der IT-Sicherheit steht – wie sollte es anders sein – eine verbindliche Sicherheitsrichtlinie des Unternehmens. Es muss geregelt werden, welche Informationen (digital, analog) außerhalb des Büros transportiert und bearbeitet werden dürfen, wer diese mitnehmen darf und welche Schutzvorkehrungen dabei zu treffen sind.
2. Sensibilisierung der Mitarbeiter/Merkblätter
Organisatorische Regelungen und Sicherheitsmaßnahmen nützen nichts, wenn die Mitarbeiter diese nicht kennen oder sorglos mit den zu schützenden Informationen umgehen. Die Mitarbeiter müssen daher für die besondere Arbeitssituation des mobilen Arbeitens und des häuslichen Arbeitsplatzes sensibilisiert und geschult werden. Für die Sensibilisierung sind entsprechende Merkblätter zu erstellen.
3. Zutritts- und Zugriffsschutz
Bei einem mobilen oder häuslichen Arbeitsplatz kann nicht die gleiche Sicherheit vorausgesetzt werden, wie in den Büroräumen des Unternehmens. Es sind den Mitarbeitern daher Regelungen und Maßnahmen bekanntzugeben, mit denen ein angemessenes Sicherheitsniveau erreicht werden kann. Es muss generell sichergestellt werden, das Unbefugte keinen Zugriff auf dienstliche IT und Unterlagen haben. Es müssen hierfür ausreichend verschließbare Behältnisse wie ein abschließbarer Schreibtisch, Rollcontainer und Schränke vorhanden sein. Der Arbeitsplatz muss stets aufgeräumt hinterlassen werden. Es ist auch oder gerade in häuslicher Umgebung sicherzustellen, dass keine sensitiven Informationen zugänglich sind.
4. Sicherheitstechnische Anforderungen und „Härtung“ der eingesetzten IT-Systeme
Härtung der IT-Systeme heißt, das auf den für die Heimarbeit genutzten Rechnern grundsätzlich nur die Software installiert sein darf, die für die dienstliche Arbeit zwingend erforderlich ist. Dies basiert auf der Kenntnis, dass jedes zusätzliche Programm auch zusätzliche Angriffsfläche bietet. Sollten Mitarbeiter im Home-Office auf private Laptops zurückgreifen dürfen, stellt dies besondere Anforderungen. Neben der Risikoabwägung ist hier eine gesonderte Schulung und Sensibilisierung der Mitarbeiter erforderlich.
Ansonsten sind die üblichen IT-Sicherheitsmaßnahmen einzuhalten (Patchmanagement, Virensoftware, Firewall usw). Alle Zugriffsrechte auf die Server des Unternehmens und die dort gespeicherten Informationen müssen auf das absoluteMindestmaß beschränkt sein.
5 . Verschlüsselung von tragbaren IT-Systemen und Datenträgern
Die Diebstahl- oder Verlustgefahr von transportablen IT-Geräten oder Datenträgern ist beim mobilen Arbeiten (Bahn; Hotelzimmer) oder im Home-Office größer, als in der Büroumgebung. Zum Schutz von vertraulichen Maßnahmen (Vermeiden von Datenpannen) ist das beste Mittel, tragbare IT-Systeme und Datenträger zu verschlüsseln.
6. Nutzung von Bildschirmfolien
Gerade bei der Arbeit in öffentlicher Umgebung (Bahn, Flugzeug) oder auch im privaten Bereich, besteht die Gefahr des „über die Schulter schauen“ (Shoulder Surfing. Daher sollten Maßnahmen wie Bildschirmfolien genutzt werden, um dieses Risiko einzugrenzen. Es ist aber grundsätzlich abgewogen werden, welche Informationen in generell unsicherer Umgebung bearbeitet werden dürfen.
ensnetz zu ermöglichen, muss ein sicherer Fernzugriff eingerichtet werden, zum Beispiel kryptografisch abgesicherte Virtuell Private Networks (VPN).
7. Sicherer Remote-Zugriff auf das Netz des Unternehmens
Um Telearbeitern einen sicheren Fernzugriff auf das Unternehmensnetz zu ermöglichen, muss ein sicherer Fernzugriff eingerichtet werden, zum Beispiel kryptografisch abgesicherte Virtuell Private Networks (VPN).
8. Datensicherung
Bei mobilen IT-Systemen ist die Gefahr der Zerstörung oder des Verlustes wesentlich größer, als wenn ein stationärer Arbeitsplatz genutzt wird. Daher ist eine regelmäßige Datensicherung wichtig. Falls die Speicherung auf externen Medien erfolgt, sollte jeweils eine Generation der Datensicherung im Unternehmen hinterlegt werden.
9. Zeitnahe Verlustmeldung
Mit dem Verlust eines tragbaren IT-Gerätes oder Datenträgers ist eine „Datenpanne“ nicht auszuschließen. Datenschutzverletzungen sind spätestens innerhalb von 72 Stunden bei der zuständigen Datenschutzbehörde zu melden. Mitarbeiter sind daher anzuweisen, solche Verluste unverzüglich beim Unternehmen zu melden. Dies auch, damit etwa Zugänge gesperrt und Passwörter geändert werden können.
10. Entsorgung von vertraulichen Informationen
Eine in der Praxis häufige Form der Datenschutzverletzung ist die unsachgemäße Entsorgung von Unterlagen oder Datenträgern (Hausmüll). Auch im Home-Office sollte zum Beispiel ein Aktenschredder der Sicherheitsstufe P4 (mit Partikelschnitt) vorhanden sein. Ist eine ordnungsgemäße Entsorgung unterwegs oder im Heimbüro nicht möglich, sind die Unterlagen oder Datenträger zur Entsorgung ins Unternehmen zu bringen.
Eine gute Nachricht zum Schluss. Um sichereres und datenschutzkonformes Arbeiten zu ermöglichen, wird so manches Home-Office erheblich aufgerüstet werden müssen. Das BMWI bietet nun aktuell finanzielle Unterstützung zum Einrichten von Homeoffices an.
Es werden bis zu 50 % der Kosten erstattet, um zum Beispiel existierende Hardware oder Software zu konfigurieren. Von der Förderung ausgeschlossen sind allerdings reine Investitionen in Hard- oder Standardsoftware.
Nähere Informationen unter www.bmwi-go-digital.de.
Wir unterstützen Sie gerne dabei, die Anforderungen der DS-GVO für die Telearbeit (mobiles Arbeiten und Home-Office) umzusetzen:
- Umsetzung des IT-Grundschutzkompendiums
- Erstellen von Unternehmensrichtlinien
- Checklisten
- Merkblätter für die Sensibilisierung und Unterrichtung der Mitarbeiter
- Schulungen (Auch digital)