IT-Sicherheits- und Datenschutzkonzepte auf dem Prüfstand Datenschutz und Datensicherheit im Homeoffice
Anbieter zum Thema
Ob aus dem heimischen Wohnzimmer oder der Ferienwohnung in Spanien – mobiles Arbeiten boomt. Der Zugriff auf Unternehmenssysteme ist technisch zwar über moderne Cloud-Lösungen von überall aus möglich. Doch was als New Work-Konzept glänzt, bringt Sicherheits- und Datenschutzrisiken mit sich und Unternehmen drohen hohe Strafen und andere rechtliche Konsequenzen.

Cloud-Lösungen haben vielen Unternehmen letztes Jahr den Weg ins Homeoffice erleichtert und sich als Grundlage für moderne Arbeitskonzepte etabliert. Was viele Unternehmen jedoch 2020 unterschätzten oder aufgrund der Corona-bedingten Dringlichkeit der Umstellungen nicht ausreichend reflektieren konnten: Das Risiko von Cyberangriffen und Datenmissbrauch ist außerhalb des Büros erheblich höher als in den Räumlichkeiten der Unternehmen.
Unternehmen müssen sich daher – soweit sie das noch nicht ausreichend getan haben – dringend stärker mit dem Thema auseinandersetzen. Nach über anderthalb Jahren dürfte kein Kunde eines Unternehmens, keine Aufsichtsbehörde und kein Gericht mehr die durch Corona bedingte Eilbedürftigkeit von Umstellungen als Entschuldigung akzeptieren. Unternehmen, die jetzt nicht ausreichend handeln, setzen sich großen Compliance-Risiken und gegebenenfalls auch hohen Strafen und, im Schadensfall, Ansprüchen aus.
Kontrollverlust im Homeoffice?
Das Problem: Im Homeoffice greifen viele der von Firmen eingerichteten technischen und organisatorischen Schutzmaßnahmen nicht, jedenfalls nicht automatisch. Angefangen von der Netzwerkverbindung (Stichwort: VPN - funktioniert es immer?) und dem Speicherort (lokal?) über den physischen Zugriffs- und Einsichtsschutz des Arbeitsplatzes bis zu notwendiger IT-Sicherheit, Log-Files und Überwachung: Im Homeoffice eröffnen sich deutlich mehr Risikobereiche. Unternehmen, die bereits vor Corona mobiles Arbeiten angeboten haben, sollten diese Problematiken zwar grundsätzlich kennen, dies trifft jedoch längst nicht auf alle Unternehmen zu. Zudem hat sich seit der Corona-Pandemie das Ausmaß von Mobile Working verändert, nicht immer kann das vom firmeneigenen IT-Support abgedeckt werden. Das kann dazu führen, dass einige Mitarbeiter zum Umgehen vorgeschriebener Maßnahmen verleitet werden (Daten werden beispielsweise lokal abgespeichert oder per E-Mail versendet anstatt über einen Link zum Server, Firewall-Einstellungen werden verändert oder in der Mittagspause privat gesurft). Dazu kommt, dass viele Unternehmen Mitarbeitern mangels unternehmenseigener Hardware (insbesondere PCs/Laptops) die Nutzung eigener Endgeräte erlauben, bei der in der Regel keine ausreichende IT-Sicherheit vorhanden ist. Schließlich entstehen Probleme auch unter anderem daraus, dass viele Mitarbeiter monatelang gar nicht mehr in das Büro kommen und die althergebrachten Mobile Working-Prozesse (etwa zu Passwortwechsel und Synchronisation) darauf nicht eingestellt sind.
So schützen Sie sich vor Datenklau und -missbrauch
Sowohl die Verarbeitung personenbezogener Daten als auch die allgemeine Unternehmensverantwortung für „State of the Art“-IT-Sicherheit erfordern Maßnahmen, die einen Verlust oder Missbrauch von Daten verhindern. Die zu treffenden Maßnahmen sind nach den Vorgaben der Datenschutzgrundverordnung (DSGVO) an den jeweiligen Risiken zu orientieren. Sie umfassen ausdrücklich nicht nur technische Maßnahmen wie etwa Verschlüsselung, Zugriffsbeschränkungen, Datentrennung oder Log-Files, sondern auch organisatorische Maßnahmen wie Schulungen und Datennutzungs-, Datenzugriff-, Datenspeicherungs- und Datenlöschungskonzepte.
Soweit sensible Daten eines Unternehmens betroffen sind (wie beispielsweise Gesundheits- und Gehaltsdaten in HR-Systemen) oder ein Unternehmen in einem Bereich tätig ist, bei denen die Daten der Kunden per se sensibel sind – dazu gehören erfahrungsgemäß vor allem Behörden, Krankenhäuser, Versicherungen und Banken – gelten verschärften Maßnahmen. Hier ist zu fragen, ob und - wenn ja - unter welchen Voraussetzungen die Arbeiten überhaupt im Homeoffice erfolgen können. Im Regelfall wird dies möglich sein, zum Beispiel durch spezielle Hardware und Schulungen für die Mitarbeiter. Es wird jedoch nicht genügen, einfach nur die allgemeinen Konzepte anzuwenden.
Homeoffice im Ausland
Innerhalb Deutschlands und des Europäischen Wirtschaftsraumes gelten datenschutzrechtlich die gleichen Regeln. Es macht - aus datenschutzrechtlicher Sicht - also keinen Unterschied, ob Mitarbeiter sich in Brandenburg oder in Paris aufhalten. Außerhalb des EWR sieht das anders aus, hier kommt es auf den Standort an: In Ländern mit verstärktem Zugriff durch lokale Behörden wie Russland und China muss man im Einzelfall entscheiden, ob besondere Maßnahmen (beispielsweise Zugriffsbeschränkungen auf besonders sensitive Systeme) notwendig sind. Umgekehrt mag es sein, dass ein in Russland oder China arbeitender Mitarbeiter von dort aus gar nicht auf lokale Daten zugreifen darf.
Selbst bei Ländern mit weniger strengen Regeln kann ein internationales Mobile Working jedoch plötzlich zu internationalen Datentransfers nach DSGVO führen, die nicht immer ohne weiteres zulässig sind. Dazu kann ein Zugriff auf Daten aus einem Land außerhalb des Europäischen Wirtschaftsraums genügen. Europäische Datenschutzbehörden haben schon in vielen Fällen Strafen verhängt, nur weil ein solcher Zugriff ohne ausreichenden konzerninternen Datenschutzvertrag erfolgt ist.
Bei Verletzung der DSGVO drohen hohe Bußgelder
Wenn Firmen sich mit dem Thema gar nicht, oder nur unzulänglich beschäftigen, drohen hohe Geldstrafen, die bis zu 4 Prozent des weltweiten Konzernumsatzes betragen können. British Airways musste beispielsweise im vergangenen Jahr (damals galt in Großbritannien noch die DSGVO) 20 Millionen Pfund zahlen, weil bei einem externen Angriff auf das System persönliche Kundendaten sowie Kreditkarteninformationen abgegriffen wurden und dies nach Einstufung der zuständigen britischen Datenschutzbehörde (ICO) auf mangelnde Sicherheitsvorkehrungen seitens der Fluggesellschaft zurückzuführen war. Dabei sind die Geldstrafen oft nicht einmal das größte Risiko. Ein in der Presse ausgebreiteter Datenverlust oder -missbrauch, Verlust von Kundengeschäft und Ansprüche von Kunden können Unternehmen noch viel härter treffen.
Datenschutzkonzepte müssen an die neue Arbeitswelt angepasst werden
Um Datenpannen zu vermeiden, müssen Unternehmen ihre Cyber-, IT-Sicherheits- und Datenschutzkonzepte auf den Prüfstand stellen. Dafür ist es notwendig, die Datenströme und -verarbeitungen, die durch mobiles Arbeiten neu oder verstärkt entstehen, zu verstehen und zu bewerten. Dies ist nicht nur die Grundlage für überarbeitete Sicherheitskonzepte und andere technische und organisatorische Maßnahmen, sondern auch für die Beurteilung der Frage, ob zusätzliche oder geänderte konzerninterne oder externe Datenschutzverträge, insbesondere Auftragsverarbeitungsverträge, zu schließen sind.
Selbst bei großen globalen Unternehmen, die vor der Pandemie schon Mobile Working ermöglicht haben, dürften in den allerwenigsten Fällen die vor Corona erstellen Konzepte für die neue Arbeitswelt ausreichend sein. Daher müssen jetzt schnellstmöglich Konzepte ausgearbeitet werden, zum Beispiel zum Verhalten bei Datenpannen, die im Homeoffice ausgelöst und/oder entdeckt werden, zur Nutzung privater Endgeräte oder eben auch zum Arbeiten außerhalb der eigenen vier Wände, egal ob am Urlaubsort oder im Freien.
Über den Autor: Dr. Fabian Niemann ist Partner IT- und Datenschutzrecht bei Bird & Bird Düsseldorf.
(ID:47724265)