Organisationen setzen auf Home Office, um trotz Einschränkungen handlungs- und arbeitsfähig zu bleiben. Mitarbeiter können von zu Hause aus Ihrer Arbeit nachgehen.
Home Office ist aber auch als Risikofaktor für die Datensicherheit und den Datenschutz anzusehen. Kurz und bündig, private Infrastruktur und private Geräte sind strikt von denen der Organisation zu trennen. Damit es zu keiner Mischnutzung kommt. Eine Mischnutzung durch privates und organisatorisches Umfeld ergibt mehr Fragen, als Antworten. Diese Fragen sollten im Fall von Home Office, Telearbeit, auch immer in einer entsprechenden Vereinbarung zwischen Arbeitgeber und Arbeitnehmer geklärt werden.
Die Ausgangslage ist, dass im Home Office nicht der selbe (Sicherheits-)Standard umgesetzt werden kann, wie dies im Organisationsumfeld üblich ist. Denken wir nur an die unterschiedliche Hardware – die Hardware der Organisation ist für den Dauerbetrieb ausgelegt, Hardware im Privathaushalt ist das nicht. Bei dem Einsatz von Software im privaten Umfeld stellt sich die Frage, was ist deren Status – Aktualität, Wartung, Lizenzierung, Kompatibilität und mögliche Schwachstellen. Eine private Firewall und ein VPN Zugang zum Unternehmen sind in diesem Fall nicht ausreichend für die Organisation, um möglichen Schaden vorzubeugen.
Vor allem muss in diesem Zusammenhang darauf hingewiesen werden, dass der Dienstgeber zumindest während der vereinbarten Arbeitszeit im Home Office, die Haftung nicht auf den Dienstnehmer so einfach überwälzen kann.
Konkretes Beispiel, aus der Home Office Umgebung wird eine Schadsoftware durch fahrlässige Handlung in eine Organisation – in das Unternehmen – eingebracht. Hier kommt das Dienstnehmerhaftpflichtgesetz zur Anwendung. Der Arbeitnehmer ist auch im Home Office durch dieses Haftungsprivileg geschützt. Eine Haftung entfällt bei einer entschuldbaren Fehlleistung, bei einer leichten Fahrlässigkeit gibt es ein richterliches Mäßigungsrecht, beziehungsweise kann dadurch die Haftung für den Dienstnehmer auch komplett entfallen. Das wird im Regelfall wahrscheinlich zur Anwendung kommen.
Bei einer groben Fahrlässigkeit gibt es nur die Möglichkeit der Mäßigung durch ein Gericht, um die Haftung durch den Arbeitnehmer herabzusetzen. Das setzt aber ein gerichtliches Verfahren voraus. Vorsatz sieht überhaupt keine Haftungsminderung vor. Es gibt Versicherungen für Organisationen, die dieses Risiko übernehmen. Diese Art der Risikobewältigung, Risikoübernahme durch Dritte, kostet Geld und ist an einen strengen vertraglichen Rahmen gebunden.
Damit das endgültige Fazit nicht lautet, Home Office auf keinen Fall, sollten diese Themenbereiche durch die Organisation zumindest ab- und ausgearbeitet werden.
Themen von Home Office
Richtlinien und Prozesse
Die Organisation, das Unternehmen, sollte Sicherheitsrichtlinien, Abläufe und Prozesse etablieren, die die Datenverarbeitung im Home Office betreffen. Das sind vor allem klare Regeln und Verhaltensweise im Umgang mit Daten der Organisation. Was ist zulässig, was nicht, was ist unter dem Begriff Home Office überhaupt zu verstehen – Verfügbarkeit, zeitlicher Rahmen, Ausstattung, Entgelt, Aufwandsentschädigung …
Verschlüsselung von Daten
Daten können gespeichert, übertragen und verarbeitet werden. In jedem Fall ist die Vertraulichkeit von Daten der Organisation gegenüber der Home Office Umgebung zu gewährleisten. Die Vertraulichkeit wird durch Verschlüsselung und logischer Trennung umgesetzt. Verschlüsselt werden die Daten und getrennt werden die Netzwerke – Privat und Organisation. Bei Verschlüsselung ist, wie bei allen technischen Maßnahmen, darauf zu achten, dass diese dem Stand der Technik entspricht und auch ihre Wirksamkeit entfalten kann. Das darf und sollte dokumentiert und laufend protokolliert werden. Eine solche Erfassung muss dem betroffenen Mitarbeiter zur Kenntnis gebracht werden vor Aufnahme der Verarbeitung. Der Einfachheit empfiehlt sich in diesem Fall eine Betriebsvereinbarung, wenn möglich.
Schutz vor privaten Endgeräten
Werden organisationsfremde Endgeräte eingesetzt, dann ist eine Mindestanforderung an Konfiguration und Ausstattung zu definieren. Nur ein erfüllter Nachweis der Mindestanforderung kann zu einem Zugriff auf Organisationsdaten führen. Die Überprüfung und Zulassung ist nur durch die Organisation selbst zulässig, da die Organisation auch allein verantwortlich für die Datenverarbeitung zeichnet. Eine Delegation von Funktionalitäten, wie sie Clouddienste bieten, ist natürlich möglich, entbindet aber nicht von der Organhaftung der Organisation. Die Organisation, das Unternehmen, bleibt alleinig der Ansprechpartner auch für alle seine Mitarbeiter. Zielführend ist es da natürlich dem Anwender auch konkrete Hilfestellung zu leisten, um sein Endgerät fit für den Organisationszugriff zu machen.
Trennung von Privat- und Organisationsgeräten
Wie schon Organisationsdaten besonders zu schützen sind bei dem Einsatz von privaten Endgeräten, so sind auch Organisationsgeräte vor privaten Daten zu schützen. Nicht die Trennung von Geräten, in Organisation und Privat, alleine reicht aus, auch die Vermischung von beiden Arten ist zu vermeiden. Vor allem sollten möglichst keine Organisationsdaten auf privaten Endgeräten gespeichert werden. Die Organisation muss auf alle Fälle vor Schadsoftware von infizierten Privategeräten und -dateien des Arbeitnehmers geschützt werden.
Hierzu gibt es Lösungen, die im Hintergrund die Einhaltung und Umsetzung der Richtlinien gewährleisten. Konkret, Daten, die auf privaten USB Sticks gespeichert werden, werden automatisch mit einem Organisationsschlüssel verschlüsselt. Die Schlüsselverwaltung und -ausgabe zur Entschlüsselung ist nur durch die Organisation möglich. Aber wie immer ist im Regelfall eine reine logische Trennung ein Entgegenkommen gegenüber der Benutzbarkeit. Gängige Lösungen benutzen Verfahren mit Bezeichnungen, wie Sandboxing, Transparent Encryption, Overlay Filesystems etc.
Überwachung und Protokollierung
Ein sehr heikler Punkt, weil er vor allem einen Eingriff in die Privatsphäre des Benutzers darstellen kann. Die Überwachung und Protokollierung von Benutzerzugriffen ist an sich nicht kompliziert und dient vor allem die Einhaltung und Durchsetzung von Maßnahmen und Regeln zu dokumentieren und mögliche Verhaltensabweichungen zu erkennen. Bei Privatgeräten ist dies aber in der Regel zu unterlassen und wenn doch, dann nur nach expliziter Einwilligung und Aufklärung machbar. In diesem Fall wird ein berechtigtes Interesse des Arbeitgebers gegenüber dem Arbeitnehmer schwer darzustellen sein.
Standards als Hilfe
Immer wieder hört man in diesem Zusammenhang das Akronym TOMs. TOMs ist die Abkürzung für technische und organisatorische Maßnahmen. Die Maßnahmen sind dazu gedacht, Gesetze, Richtlinien und Regeln im Organisationsumfeld umzusetzen. Solche Maßnahmen können auf verschiedenen Ebenen, wie den Daten an sich, den Systemen auf denen Daten verarbeitet, transportiert und gelagert werden, wie auch in kompletten Abläufen und Prozessen definiert und eingesetzt werden.
Um möglichst eine gesamtheitliche Sichtweise zu etablieren – vor allem, um nichts zu vergessen und alle Aspekte in Betracht zu ziehen – haben sich Rahmenwerke mit konkreten Handlungsvorlagen und Normen mit abstrakten Beschreibungen herausgebildet. Auf der Seite der konkreten Handlungsanleitungen haben wir zum Beispiel das österreichische Informationssicherheitshandbuch, den IT-Grundschutz des BSI, ITIL Best Practice Guides und das NIST Cybersecurity Framework. Auf der anderen Seite ist hier vor allem die Normenreihe ISO/IEC 27000 zu nennen, vor allem 27001, 27002 und 27018.
Ein Vorteil ist, dass Maßnahmen in Abstimmung mit einer Norm, oder Rahmenwerk immer im Gesamkonext in ihrer Wirkungsweise betrachtet werden. Das sollte vor allem Effizienz beim Mitteleinsatz gewährleisten, eine vergleichbare Kontrolle der Maßnahmen ermöglichen und auch als Nachweis gegenüber einer Aufsichtsbehörde dienen.
Compliance – Datenschutz
Auch im Umfeld von Home Office ist sicherzustellen, dass gesetzliche, vertragliche und interne Regelungen und Bestimmungen eingehalten werden. Unter der Bezeichnung Compliance sind hier alle Maßnahmen zusammengefasst. Vor allem sollten in Bezug auf Home Office auch bestehende Compliance Themen wieder angesprochen und überarbeitet werden.
Prüfung/ Anpassung Verträge bzgl. neuer Arbeitssituation
- Auftragsverarbeitung
- Gemeinsame Verantwortlichkeiten
- SLAs/ OLAs
(Service Level Agreements/ Operations Level Agreement)
Aktualisierung bestehender Aufzeichnungen zu Home-Office-Organisation
- VVZ
(Verarbeitungsverzeichnis – Aufzählung aller Verarbeitung nach Zweck gegliedert, dass alle relevanten Informationen umfasst. Das sind Aufbewahrung- und Löschfristen, Zugriffsberechtigungen, Datenkategorien, etc. - Interne Sicherheitsrichtlinien
- Datenschutzerklärungen/-hinweise
Adaptierung der Risikobetrachtung
- Berücksichtigen von Home-Office-Aktivitäten in der Datenschutz Folgenabschätzung und Risikobewertung
Keine Umsetzung ohne Kontrolle – Pragmatismus zählt
Jede Organisation ist angehalten sicherzustellen, dass die umgesetzten TOMs auch wirksam sind und eingehalten werden. Bleibt es bei der reinen Wirkungskontrolle, dann stellt das eine zusätzliche Herausforderung für das Management dar, die durch die Verlagerung ins Home Office noch verstärkt wird. Nur wer das als Prozess sieht und optimiert wird letzten Endes auch erfolgreich sein können. Bestehende gesetzliche Regelungen sind (zum Glück) nicht weitreichend genug, um die aktuelle Situation und Bedrohung in den Griff zu bekommen.
Eine weiteres Moment bei Führungskräften kann beobachtet werden. Es ist der gefürchtete Kontrollverlust über den Mitarbeiter. Eine Begehung des Home Office durch den Vorgesetzten, um sicherzustellen, dass die Standards und Richtlinien eingehalten werden, ist zum Beispiel nicht gesetzlich vorgesehen. Hier ist Eigenverantwortung und vor allem Vertrauen Voraussetzung für eine funktionierende Home Office Lösung.
Home Office entbindet aber die Führung weder von Ihrer Obsorgepflicht noch von Ihrem Kontrollrecht. Sie müssen halt entsprechend der jeweiligen Situation ausgeübt und angepasst werden. Als effektive Hilfsmittel haben sich die als Gewährleistungsziele formulierten Bereiche der Datenschutz Grundverordnung herausgestellt. Vor allem ist es aber das Ziel die Arbeitsfähigkeit und damit Überlebensfähigkeit der Organisation zu gewährleisten und nicht eine weitere hemmende administrative Eben einzuführen. Datenschutz ist als Ermöglicher – enabler – zu verstehen und nicht als weitere bürokratische Bürde, die er nicht ist.