„Datenschutzrichtlinien gelten auch im Homeoffice“

Datenschutz war lange Zeit ein Hype-Thema, jetzt scheint es mit der dauerhaften Einführung von Homeoffice in den Hintergrund zu geraten. Ein Fehler? Die ­Beraterin Ines Toth-Strichirsch glaubt: Ja! Warum, erklärt sie im Interview.

Telecom Handel: Hybrides Arbeiten wird in vielen Unternehmen auch in Zukunft zum Standard gehören. Was ist dabei beim Thema Datenschutz zu beachten?

Ines Toth-Strichirsch: Die Entwicklung in Richtung hybrides Arbeiten erfordert von den Unternehmen vor allem Investitionen in die betriebliche Informations- und Kommunikationsinfrastruktur. Auch ist aufgrund der zeitlichen und örtlichen Flexibilisierung der Leistungserbringung ein Kulturwandel in der Arbeitsorganisation vonnöten. Und hierbei spielt die Einführung eines Datenschutz­managementsystems eine große Rolle.

TH: Wie könnte das aussehen?

Toth-Strichirsch: Ein wesentlicher Grundpfeiler der DSGVO, was die Sicherheit der Daten anbelangt, sind die Technisch-Organisatorischen Maßnahmen, das heißt, wie werden die Daten gesichert. Die Dokumentation aller Prozesse im Unternehmen, die personenbezogene Daten verarbeiten, ist ein zentraler Baustein des Datenschutz­managementsystems – ebenso der Umgang mit Betroffenenrechten, Erstellung von ­DSGVO-konformen Verträgen und Einwilligungen sowie die Definition von Kernprozessen. Diese regeln das Vorgehen bei Datenpannen und Löschkonzepte.

TH: Welche Rolle spielen dabei die Mitarbeiter im Unternehmen?

Toth-Strichirsch: Unternehmen sollten auf jeden Fall mit ihren Mitarbeitern Datenschutzrichtlinien auch für das Homeoffice vereinbaren. Um die Privatsphäre zu schützen, sollten Mitarbeiter beispielsweise bei ­Videokonferenzen den Hintergrund ausblenden. Zudem müssen Unternehmen ihren Mitarbeitern die passende Hardware zur Verfügung stellen, die dann auch nur beruflich genutzt werden darf.

TH: Aber wie kann man sicherstellen, dass ein Mitarbeiter die Hardware wirklich nur beruflich nutzt?

Toth-Strichirsch: Man kann und darf das natürlich nicht überwachen, aber allein die Verpflichtungen in den Datenschutzrichtlinien sind ja schon ein Schritt. Außerdem gibt es noch die Möglichkeit des Monitorings der Hardware, die strichprobenartig durchgeführt werden kann. Allerdings darf der Zugriff durch das Unternehmen auf den Rechner nicht unkontrolliert erfolgen.

TH: Der Arbeitgeber darf aber nicht an der Wohnungstür zur Kontrolle klingeln?

Toth-Strichirsch: In manchen Richtlinien ist festgehalten, dass das möglich ist – aber nur, wenn der Besuch vorher angekündigt ist und der Arbeitnehmer dem auch zustimmt. Es ist aber ein weites Feld, einige Verein­barungen sind sehr streng, andere beschränken sich auf das Nötigste. Das hängt auch sicherlich von der Branche ab, eine Bank wird strengere Regeln aufstellen als beispielsweise ein Handwerksbetrieb.

TH: Wie sieht es denn mit dem Remote-Zugriff aus? Was müssen Unternehmen ­dabei beachten?

Toth-Strichirsch: Der Remote-Arbeitsplatz kann ein Co-Working Space, ein Café oder der Schreibtisch in den eigenen vier Wänden sein. Für die Verarbeitung von personen­bezogenen Daten gelten auch für den Remote-Arbeitsplatz dieselben Voraussetzungen wie im Unternehmen: von der Sicherung gegen unbefugten Zutritt oder Zugriff bis hin zur Manipulationssicherheit und Zugriffsdokumentation. Solide Sicherheitsrichtlinien für den Fernzugriff können zur Absicherung vertraulicher Daten beitragen, zum Beispiel sollte die Datenübertragung nach Möglichkeit mit einer End-to-End-Verschlüsselung erfolgen – der Einsatz einer VPN-Verbindung bietet sich hier an –, die ­Installation von Antischadsoftware auf den Geräten der Mitarbeiter oder eine mehrstufige Authentifizierung.

TH: In vielen Unternehmen ist der Zugriff auf Dateien, Dokumente und mehr insbesondere in hybriden Arbeitsumgebungen und mit dem Einsatz von Collaboration-Tools nur unzureichend geklärt. Ein Risiko?

Toth-Strichirsch: Vor allem in größeren Firmen ist es wichtig, ein Rechte- und Rollenmodell für Abteilungen und Funktionen festzulegen. Wer darf auf welche Daten ­zugreifen, das ist die entscheidende Frage. Das ist zwar aufwendig, aber ratsam, damit nicht immer wieder Anpassungen nötig sind. ­Moderne Collaboration-Tools haben meist schon die Möglichkeit, ein Rechte- und ­Rollenmanagement festzulegen. 

TH: Viele Mitarbeiter haben im Homeoffice ihre Telefone auf das private Smartphone umgeleitet. Ist das so erlaubt?

Toth-Strichirsch: Unternehmen müssen sich in diesem Fall Gedanken machen, welche Strategie sie hier verfolgen, was sie zulassen möchten – Stichwort ‚Mobile Devicemanagement‘ und ‚Bring your own devices‘. Es sollte ein Konzept dahinterstehen.

TH: Was ist mit freien Mitarbeitern, die regelmäßig für ein Unternehmen arbeiten?

Toth-Strichirsch: Diese müssen auch in die Vorgaben eingebunden werden. Das gilt auch für Zeitarbeitsfirmen. Jeder, der eine bestimmte Zeit für das Unternehmen arbeitet, muss auf die Einhaltung des Datenschutzes verpflichtet werden.

TH: Systemhäuser integrieren ja die relevanten Tools in den Unternehmen, wäre es nicht sinnvoll, sie würden sich auch mehr mit dem Thema Datenschutz beschäftigen?

Toth-Strichirsch: Das wäre natürlich sinnvoll, allerdings ist es auch nicht das Kern­geschäft der Systemhäuser – und viele scheuen auch den Aufwand, zumal man immer informiert bleiben muss. Viele Systemhäuser arbeiten aber auch mit externen ­Datenschutzexperten zusammen, um ihren Kunden diesen Service anbieten zu können.

TH: Sind nicht auch die Hersteller gefordert, die ihre Produkte datenschutzfreundlich ­gestalten sollten oder könnten?

Toth-Strichirsch: Hier passiert gerade sehr viel – Datenschutz spielt in der Produktentwicklung eine immer größere Rolle. In fünf Jahren werden viel mehr Grundeinstellungen bei den Lösungen datenschutzkonforme Grund-Voreinstellungen haben, als es heute der Fall ist. Das entbindet Unternehmen aber nicht von der Pflicht, auf die Einhaltung zu achten.

TH: Gibt es eigentlich auch Eckpfeiler beim Thema Datenschutz, die sich auf alle Anwendungen beziehen?

Toth-Strichirsch: Es gibt einige Punkte, die wichtig sind. Dazu gehören die Verschlüsselung der Daten, die Standorte der Server – möglichst EU-Standorte wählen. Zudem sollten die Voreinstellungen von Lösungen überprüft werden, ob sie den Anforderungen entsprechen, und gegebenenfalls geändert werden. Dann gilt es, entweder Auftragsdatenverarbeitungsverträge selbst zu erstellen, die auch mit Subunternehmen wie beispielsweise Cloud-Providern abgeschlossen werden müssen. All diese Maßnahmen sollten dokumentiert und transparent verfügbar sein.

TH: Die Übergangsfrist zur Einhaltung der Datenschutzgrundverordnung (DSGVO) ­endete im Sommer 2019 – vorher gab es ­einen riesigen Hype, heute ist das Thema aber eher in den Hintergrund getreten. ­Woran liegt das?

Toth-Strichirsch: Kontrollen finden statt, mehr denn je, und es werden auch Buß­gelder verhängt, allerdings ist das Thema nicht mehr so präsent in den Medien. Wenn ­Datenpannen aufgedeckt werden – wie zum Beispiel bei den eher größeren Unternehmen –, berichtet eher die Fachpresse oder die regionale Presse.