Was muss ich beachten, wenn ich die Mitarbeiter ins Home Office schicke?
Wenn auch Sie und Ihre Mitarbeiter aufgrund des Coronavirus das Glück / Pech (das kann man wohl so oder so sehen) haben, von zu Hause aus arbeiten zu müssen, müssen Sie einige Dinge beachten.
Ich stelle hier einige Grundlagen zur Verfügung und versuche dabei, die Realität nicht aus den Augen zu verlieren, die mir angesichts der vielen Telefonate mit unseren Mandanten sehr wohl bewusst ist.
In Teil 2 habe ich mich damit befasst, ob Home Office für Auftragsverarbeiter überhaupt zulässig ist. In diesem Beitrag möchte ich Sie darauf hinweisen, dass auch in Zeiten von Covid-19 datenschutzrechtliche Verpflichtungen eingehalten werden sollten. Auch hier müssen die Mitarbeiter sensibilisiert werden. Es herrscht zwar Ausnahmezustand, aber bitte nicht auf Kosten der personenbezogenen Daten, die Sie und Ihre Mitarbeiter für Auftraggeber verarbeiten. Nichts wäre schlimmer, als ein Bußgeld oder Schadensersatzanspruch eines Betroffenen, wenn Sie gerade dabei sind, die Folgen der Coronakrise zu verarbeiten.
Wenn Sie einen Auftragsverarbeitungsvertrag abgeschlossen haben, wird dort in der Regel etwas über technische und organisatorische Maßnahmen und IT-Datensicherheit stehen. Sie sind nämlich als Auftragsverarbeiter dazu verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Selbst wenn der Auftraggeber also vertraglich die Möglichkeit zum Home Office (Teil 2) nicht ausgeschlossen hat, haben Sie dafür zu sorgen, datenschutzrechtliche Schutzmaßnahmen zu ergreifen, um das Schutzniveau aufrecht zu erhalten.
Das IT-Grundschutz Kompendium (Edition 2020) des Bundesamtes für Sicherheit in der Informationstechnik kann hier weiterhelfen. Wie wir schon des Öfteren erwähnt haben, ist das IT-Grundschutz Kompendium im Rahmen der DSGVO für jeden Themenbereich als Anhaltspunkt zu betrachten und die dort genannten Maßnahmen im Allgemeinen umzusetzen.
In INF.9. „Mobiler Arbeitsplatz“ finden sich Maßnahmen die z.B. im Falle von Home Office ergriffen werden sollten. Hierbei sollte immer auch der Einzelfall betrachtet werden. Einige Maßnahmen sind für kleine Unternehmen schlicht nicht umsetzbar. Die Maßnahmen müssen also nach Augenmaß erfolgen. Nur weil Sie ein kleines Unternehmen sind, heißt das aber nicht, dass Sie deshalb die Hände in den Schoß legen können.
Gefährdungslage
Das IT-Grundschutz Kompendium stellt folgende Gefahrenlagen vor, ohne dass ich hierauf im Detail eingehen möchte:
- Fehlende oder unzureichende Regelungen für mobile Arbeitsgeräte
- Wechselnde Einsatzumgebung
- Manipulation oder Zerstörung von IT-Systemen am mobilen Arbeitsplatz
- Verzögerungen durch temporär eingeschränkte Erreichbarkeit
- Ungesicherter Datentransport
- Ungeeignete Entsorgung der Datenträger und Dokumente
- Verlust der Vertraulichkeit schützenswerter Informationen
- Diebstahl oder Verlust von Datenträgern und Dokumenten
- Fehlendes Sicherheitsbewusstsein / Sorglosigkeit der Mitarbeiter
Folgende Anforderungen nennt das BSI in Zusammenhang mit dem mobilen Arbeitsplatz, die an die Mitarbeiter kommuniziert werden müssen.
Diese Regeln müssen mindestens folgenden Inhalt haben:
- Geeignete Auswahl und Nutzung eines mobilen Arbeitsplatzes
- Arbeitsplatzbedingungen wie etwa die Sicherung vor Einsichtnahmen Dritter oder wie der Mitarbeiter schützenswerte Informationen zu bearbeiten (zB ausschließlich per Remote ohne lokale Speicherung von Dokumenten auf dem mobilen Gerät),
- Transportbedingungen für die schützenswerten Informationen (zB. Nur verschlüsselter Transport, ausschließliche Nutzung von firmeneigenen Mobilgeräten, Verbot der Mitnahme von nichtverschlüsselten mobilen Datenträgern, Protokoll darüber, wer welchen Datenträger wann mitgenommen hat, etc),
- Sensibilisierung der Mitarbeiter über den Wert der Daten und die Wichtigkeit zur Einhaltung der Sicherheitsmaßnahmen,
- Zutritts- und Zugriffsschutz (Türen und Fenster schließen, Wegschließen von Unterlagen, Sperren von Bildschirmen, komplexes Passwort),
- Arbeiten mit unternehmensfremden IT-Systemen (grundsätzliches Verbot, Sicherheitsmaßnahmen, Sensibilisierung, Kontrolle, etc),
Diese Regelungen sollten folgenden Inhalt haben:
- Regelungen, wie mit Verlust oder Diebstahl von Daten umzugehen ist (umgehende Meldung an zuständigen Verantwortlichen, klare Meldewege, Ansprechpartner),
- Kein eigenständiges Entsorgen von Daten (Datenträger, Dokumente), wenn eine sichere Entsorgung nicht gewährleistet werden kann,
- Einhaltung arbeitsrechtlicher und arbeitsschutzrechtlicher Bedingungen,
- Verschlüsselung (nicht nur ein Passwortschutz) der mobilen Arbeitsgeräte und Datenträger,
Für den erhöhten Schutzbedarf gibt es weitere Maßnahmen, die zu ergreifen sind. Die konkrete Festlegung weiterer Maßnahmen erfolgt im Rahmen einer Risikoanalyse, die bei erhöhtem Schutzbedarf zwingend zu erfolgen hat. Weitere Informationen finden Sie im IT-Grundschutz Kompendium.
Wir empfehlen dringend, die einzelnen Punkte in Ihrem Unternehmen zu überprüfen.
Für Fragen stehen wir Ihnen gerne zur Verfügung.
Teil 1: Kann der Abschluss von Auftragsverarbeitungsverträgen auch digital erfolgen?