Die Entwicklung der Corona-Pandemie in den letzten Wochen hat in allen Unternehmen zur Überlegung geführt, wie Arbeitsprozesse ggf. auch im Homeoffice weitergeführt werden können. Fast alle unsere europäischen Nachbarn haben bereits restriktive Ausgangssperren verhängt und auch in Sachsen-Anhalt sind seit gestern die ersten beiden Gemeinden abgeriegelt. Vor diesem Hintergrund ist der Wunsch von Unternehmen nachvollziehbar, die Arbeitsfähigkeit auch unter diesen erschwerten Bedingungen aufrecht zu erhalten.

Dabei wird nun zum Teil, auch auf Grund der bereits erfolgten Schließung von Elektronikmärkten und der eingeschränkten Verfügbarkeit von Online-Lieferungen, auf private Geräte zurückgegriffen.

Für die Arbeit im Homeoffice müssen grundlegend dieselben datenschutzrechtlichen Bedingungen wie für einen Büro-Arbeitsplatz erfüllt werden. Diese lauten:

1. Sichere Aufbewahrungsorte

Das Prinzip der sicheren Aufbewahrungsorte gilt für Unterlagen und den im Homeoffice genutzten PC gleichermaßen. Ein abschließbarer Schrank und ein separates Arbeitszimmer gehören dazu, damit Ihnen niemand bei der Arbeit über die Schulter schauen oder sich unbefugt Zugang verschaffen kann.

2. Verschlüsselung

Mittlerweile Standard, aber immer noch einen Hinweis wert: Sowohl E-Mails, Festplatten als auch der Zugang zum Firmennetzwerk sollten verschlüsselt sein.

3. Firmen-Hardware statt Privatrechner

Im Homeoffice sorgen Sie stets für aktuelle Sicherheits- und Virensoftware, indem Mitarbeiter mit Firmen-Hardware ausgestattet werden. Das hat auch den Vorteil, dass Daten nicht auf privaten Datenträgern gespeichert werden.

Hierfür bietet sich beispielsweise eine zentrale Patchmanagement-Software an. Wir beraten Sie hierzu.

4. Trennung von privaten Daten

Wenn Ihr Mitarbeiter die Firmen-Hardware nutzt, sollten Sie darauf hinweisen, dass keine privaten Daten darauf gespeichert werden. Persönliche Daten und Software stellen immer ein Sicherheitsrisiko dar. Wird ein Privatrechner genutzt, dann gehören Firmendaten nicht gespeichert. Es empfiehlt sich ein rein browserbasierter Zugang zu E-Mail & Co.

5. Datenmüll vermeiden

E-Mail-Ausdrucke oder Notizen mit personenbezogenen Daten müssen auch datenschutzgerecht entsorgt werden. Das ist im Büro einfacher als im Homeoffice. Deswegen diesen Datenmüll direkt vermeiden!

6. Automatische Sperre des Computers

Der Computer sollte auch bei kurzem Verlassen immer gesperrt werden. Unser Tipp: den Bildschirm so einstellen, dass nach kurzer Inaktivität eine automatische Bildschirmsperre erfolgt.

7. Sichere Passwörter

Passwörter sollten besonders sicher sein, im besten Fall werden diese von der IT-Abteilung eingerichtet.

Zur Verwaltung von sicheren und komplexen Passwörtern bietet sich z. B. der GfI-Tresor an. Eine Demo-Version können Sie unter https://demo.gfi-tresor.de testen.

Aufgrund der vorliegenden Ausnahmesituation sind nicht mehr alle Punkte kurzfristig umsetzbar. Die DSGVO hilft hier im Art. 32 übergangsweise weiter: 

“Art. 32 Sicherheit der Verarbeitung

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: […]”

Die Pandemie-Sondersituation kann hier also durchaus als Umstand angesehen werden, der berücksichtigt werden soll. Nichtsdestotrotz hebt dieser nicht die gebotene Sorgfaltspflicht des Verantwortlichen auf.

Wir würden daher einen Mittelweg empfehlen, der zwar den Einsatz von privater Technik ermöglicht, aber dennoch ein Schutzniveau nach aktuellem Stand der Technik vorsieht. Unser Vorschlag sieht daher folgendermaßen aus:

1. Firmen-Hardware

Nutzen Sie nach Möglichkeit dienstliche und vom Unternehmen verwaltete Geräte auch im Homeoffice.

2. Private Geräte nur im Ausnahmefall

Sollten auf Grund der derzeit schwierigen Beschaffungssituation dies nicht sichergestellt werden, nutzen Sie private Geräte, bevorzugt Laptops, nur im Ausnahmefall.

3. Getrennte Nutzerkonten – Privates und berufliches trennen

Stellen Sie sicher, dass ihre Verwaltungsprogramme in einer separaten, ausschließlich dienstliche genutzten Benutzersitzung ohne Adminstratorenrechte ablaufen.

4. E-Mail-Weiterleitung

Leiten Sie keine dienstlichen E-Mail-Adressen auf private E-Mail-Konten um.

5. WLAN schützen

In der Regel werden die Zugangsdaten für das heimische WLAN nie geändert. Über Jahre wurden die Kennwörter an Gäste, Besucher und Freunde weitergegeben oder sind noch in alten, längst ausrangierten Geräten gespeichert. Spätestens jetzt ist es an der Zeit, das WLAN-Passwort zu aktualisieren. Prüfen Sie dabei auch, ob das WLAN den derzeit aktuellen Verschlüsselungsstandard WPA2 nutzt.

6. Sicherheitsupdate installieren / Virenschutz aktivieren

Installieren Sie die aktuellsten Sicherheitsupdates für das Betriebssystem und die Anwendungsprogramme. Kriminelle nutzen oft Schwachstellen aus, die gerade erst entdeckt wurden. Sie rechnen damit, dass viele Nutzer ihre Software noch nicht aktualisiert haben. Wer zum Update aufgefordert wird, sollte die Installation deshalb nicht hinauszögern. Vor allem Betriebssystem, Browser, Office-Software wie Microsoft Word oder der Acrobat Reader von Adobe sollten immer auf dem aktuellsten Stand sein. Das gilt auch für den Wlan-Router und andere IoT-Geräte, die mit dem Netzwerk verbunden sind. Dort finden sich die Firmware-Updates meist auf den Seiten der Hersteller. Oft lassen sich Updates auch automatisieren.

Hierfür bietet sich beispielsweise eine zentrale Virenschutz-Software an. Wir beraten Sie hierzu.

7. Arbeiten Sie weiterhin, auch aus der Ferne, im Büro

Am besten ist jedoch ein Fernzugriff auf den Unternehmensrechner über eine verschlüsselte Verbindung ins Unternehmensnetzwerk. Hierzu eignet sich besonders unter dem Kosten- und Leistungsaspekt OpenVPN für die Bereitstellung der verschlüsselten Verbindung und innerhalb der Unternehmens für den Fernzugriff die von Microsoft mitgelieferte Remotedesktop-Verbindung.

Für die VPN-Verbindung sollten Sie nach Stand der Technik 

• eine Schlüssellänge von mindestens 4096 bit, 
• als Verschlüsselungsalgorithmus AES 256 bit, 
• Authentifizierungsalgorithmus SHA 512

verwenden.

Aktuelle Computer-Prozessoren bieten standardmäßig eine Hardwarebeschleunigung für die AES-Verschlüsselung an, so dass hier keine Leistungsverluste bei der Ver- und Entschlüsselung der Daten zu erwarten sind.

Über diesen Fernzugriff arbeiten ihre Mitarbeiter*innen auch weiterhin auf dem Arbeitsplatz-PC im Büro, dieser muss natürlich eingeschaltet bleiben. Sensible Daten, egal ob Unternehmens- oder personenbezogene Daten werden nicht auf dem privaten Gerät im Homeoffice gespeichert.

In jedem Fall sollten Sie Ihre Mitarbeiter*innen nochmals schriftlich auf die Geheimhaltung von Unternehmens- und personenbezogenen Daten hinweisen, als Erinnerung auf Grund der besonderen Situation. Diese Regeln gelten natürlich auch im Homeoffice, bei denen der Zugang zu den genutzten Geräten nicht durch Sie als Verantwortlichen vollständig kontrolliert werden können.