„Ein Unternehmer sollte der IT-Service Provider seiner Mitarbeiter sein.“
Bildrechte: Ext-Com
Mobiles Arbeiten und Home-Office boomen und vielen kleinen und mittelständischen Unternehmen ist oftmals nicht bekannt, welche Risiken entstehen können, wenn Mitarbeiter: innen Ihre vom Arbeitgeber gestellten Arbeitsrechner, Laptops und Handys für private Zwecke nutzen. Gleiches gilt auch für Firmensoftware, wenn ein Mitarbeiter zum Beispiel den Firmen-Account für private Emails und private Bilddateien oder anderes verwendet. Überdies kommt es immer wieder vor, dass Mitarbeiter: innen Ihre privaten Rechner für berufliche Zwecke verwenden. Für alle Use Cases braucht es folglich einzuhaltende IT-Richtlinien, da Arbeitgeber: innen ansonsten im Schadensfall, selbst haften. Die Übergabe eines Firmengerätes impliziert also nicht automatisch, dass das Gerät nur zur Erfüllung beruflicher Aufgaben verwendet werden darf.
François Baumgartner, Business Consultant der Ext-Com IT GmbH sprach mit Micha Pfisterer, Geschäftsführer der Ext-Com IT GmbH über die Notwendigkeit von klaren Vorgaben und IT-Richtlinien für Arbeitnehmer: innen, insbesondere in kleinen und mittelständisch geprägten Unternehmen.
Herr Pfisterer, Home-Office und mobiles Arbeiten führen bei Mitarbeiter: innen oftmals zu einer Verschmelzung der beruflichen Welt und dem Privatleben. Warum ist das gerade aus der Perspektive der europäischen Datenschutzgrundverordnung (EU-DS-GVO) und der IT-Infrastruktur problematisch?
Grundsätzlich ist die Situation so, dass die meisten Arbeitnehmer: innen kein separates Arbeitszimmer haben, das sie absperren können. Das heißt, der Mitarbeiter arbeitet beispielsweise zwischen Küche und Wohnzimmer, das er sich für gewöhnlich mit anderen Familienmitgliedern teilt. Es liegt also zunächst ein räumliches und organisatorisches Problem vor, weil unter anderem sichergestellt werden muss, dass Familienangehörige weder eine Einsicht in noch einen Zugang zu Firmendaten haben. Im Idealfall dürfen selbst arbeitsbedingte Telefongespräche, in denen datenschutzrelevante Daten besprochen werden, nicht im Beisein von Familienmitgliedern oder anderen firmenexternen Personen geführt werden. Der Arbeitgeber hat in diesem Fall also nur die Möglichkeit, die Arbeitnehmer zu verpflichten, bestimmte Vorgaben einzuhalten. Ob der Arbeitnehmer diese einhalten kann, kann der Arbeitgeber indessen nicht vollends kontrollieren.
„Es geht um die Schaffung von Home-Office-Strukturen, die sicher sind.“
Micha Pfisterer - Geschäftsführer der Ext-Com IT GmbH
Gibt es Handlungsempfehlungen, die man berücksichtigen sollte?
Der wichtigste Punkt sind IT-Richtlinien, die klar vorgeben, dass Firmengeräte und -software nur für berufliche Zwecke genutzt werden dürfen. Darüber hinaus sollte darin ebenso festgelegt sein, dass Familienmitglieder keinen Zugang zu Arbeitsgeräten haben. Das kann via Passwörter, biometrische Authentifizierungsmöglichkeiten, wie Fingerscan oder Gesichtserkennung sowie per Token relativ gut geregelt werden. Es geht infolgedessen um die Schaffung von Home-Office-Strukturen, die sicher sind. Da kann auch eine Firewall helfen – und zwar vor Ort im Home-Office selbst. Damit ist ebenso eine Trennung vom privaten und geschäftlichen Netz stets gewährleistet. Ein Unternehmer ist damit der IT-Service Provider seiner Mitarbeiter: innen.
Was müssen Arbeitgeber: innen in diesem Zusammenhang sicherstellen und beachten?
Die vorgenannten IT-Richtlinien sollten in Schriftform ebenfalls in den Arbeitsvertrag aufgenommen werden. Eine räumliche Trennung zwischen Arbeit und Privatleben ist im Home-Office nur schwer möglich. Der Rechner sollte dementsprechend immer mit einer Sperrvorrichtung versehen sein, sobald sich im Home-Office der Arbeitnehmer nicht am Arbeitsplatz befindet.
„Es gibt Branchen, die sehr intensiv mit personenbezogenen Daten arbeiten. Hierzu zählen zum Beispiel Arztpraxen, medizinische Labore oder Anwaltskanzleien, Makler und Steuerberatungsgesellschaften.“
Micha Pfisterer - Geschäftsführer der Ext-Com IT GmbH
Welche Dienstanweisungen und Pflichten müssen Mitarbeiter: innen befolgen und erfüllen?
Mitarbeiter: innen müssen ihre arbeitsvertraglichen Pflichten befolgen. Dazu gehören dann auch die IT-Richtlinien. Dort steht dann auf jeden Fall drin, dass Passwörter mit niemandem geteilt werden dürfen, der Zugriff auf Firmendaten nur über verschlüsselte Verbindungen erfolgen darf, der Bildschirm beim Verlassen des Arbeitsplatzes gesperrt sein muss und Hard- sowie Software des Arbeitgebers, eben nicht privat genutzt werden darf.
Sehen Sie weitere branchenspezifische Besonderheiten und was bedeutet hier Best Practice?
Es gibt Branchen, die sehr intensiv mit personenbezogenen Daten arbeiten. Hierzu zählen zum Beispiel Arztpraxen, medizinische Labore oder Anwaltskanzleien, Makler und Steuerberatungsgesellschaften. Dabei gilt im Hinblick auf Datensicherheit, dass eine Cloud, welche der EU-DS-GVO unterliegt, einer Festplatte eines Rechners oder einem Speicherstick immer vorzuziehen ist. Die Rechenzentren der Clouds sind einfach besser geschützt. Gleichwohl sollte man auch mit Festplatten-Verschlüsselungen arbeiten. Denn wenn der Laptop tatsächlich einmal gestohlen wird, kann der Dieb auf die Daten nicht zugreifen. Im Idealfall kann man als rechtmäßiger Besitzer einen Fernlöschungsvorgang der Festplatte auslösen.
Auf was sollte man bei der richtigen Wahl der Hard- und Software achten?
Beim dezentralen Arbeiten ist wahrscheinlich ein Notebook besser als eine physische Workstation. Dadurch kann man sich an jede Dockingstation einklinken. Das ist auch für das Home-Office die beste Lösung. Bei der Software kann man auch mal auf das „Made in Germany“ achten. Gerade dann, wenn es um IT-Sicherheit geht.
„Stabiles Internet ist für das Home-Office das A und O. Außerdem muss der Versicherungsschutz für das Home-Office zwischen Arbeitgebern und Arbeitnehmern geklärt werden. Das ist wichtig, um im Fall der Haftung zu wissen, wer letztendlich haftet, sobald etwas passiert."
Micha Pfisterer - Geschäftsführer der Ext-Com IT GmbH
Welche Produkte und Services erwarten Sie hier von Ihren B2B-Partnern?
Man sollte auf einen guten Provider achten. Auch Fernwartung ist im Home-Office unverzichtbar. Schnelles Internet ist wichtig – der Router kann durch eine LAN-Verkabelung unterstützt werden. Glasfaser-Angebote sind spannend, weil diese für große Datenmengen gut geeignet sind. Stabiles Internet ist für das Home-Office das A und O sozusagen. Außerdem muss der Versicherungsschutz für das Home-Office zwischen Arbeitgebern und Arbeitnehmern geklärt werden. Das ist wichtig, um im Fall der Haftung zu wissen, wer letztendlich haftet, sobald etwas passiert. Ein Beispiel für ein physische Risiko wären Einbrecher bei mir zuhause.
Cyber-Risiken nehmen im Home-Office zu. Wie kann man sich adäquat schützen?
Das größte Risiko ist der Mensch, sobald er sich gewollt oder unabsichtlich falsch verhält im Netz. Da wird vorschnell ein Link in einer seltsamen E-Mail geöffnet, man führt, aufgrund eines Anrufs von einem vermeintlichen Kunden, eine Aktion aus, die einen Schaden erzeugt oder wird Opfer anderer Formen des Social Engineering, wie Erpressungsversuche. Der Mitarbeiter ist im Home-Office, hat oftmals vielleicht nicht sofort Kontakt zu einem Kollegen. Deshalb empfehlen wir spezialisierte Dienstleister, die sich mit IT-Sicherheit via Fernwartung sehr gut auskennen. Ferner sollte man sich für sichere und datenschutzkonforme Collaboration Tools entscheiden. Hierzu zählen unter anderem Groupware, Messenger-Dienste und Videokonferenz-Systeme.
„Es müssen Compliance-gerechte Organisationsstrukturen geschaffen werden. Dazu benötigt man auf der einen Seite IoT-Anwendungen, die sich leicht in bestehende Workflows integrieren lassen und zum anderen ein Maximum an Datensicherheit bieten."
Micha Pfisterer - Geschäftsführer der Ext-Com IT GmbH
Welche weiteren Möglichkeiten gibt es firmenintern zu informieren und aufzuklären?
Der „Remote Worker“ sollte genauso wie alle anderen Mitarbeiter: innen via Newsletter oder Intranet zu Sicherheitsfragen informiert werden und fortlaufende Trainings zu Krisenszenarien absolvieren. Diese Trainings können an das individuelle Verhalten der einzelnen Mitarbeiter angepasst werden. Ein Beispiel: Manche klicken schneller Mal auf einen Link, andere eher seltener. Das alles sollte durch IT-Richtlinien, die das adäquate Verhalten der Mitarbeiter: innen regeln, flankiert werden. Die digitale Kommunikation gewinnt gerade in diesem Zusammenhang somit an Bedeutung.
Datenschutz sowie die Etablierung und Nutzung moderner Firmennetzwerke sollten Hand in Hand gehen. Welche Konfliktpunkte sehen Sie hier und wie kann man diese vorausschauend vermeiden?
Es müssen Compliance-gerechte Organisationsstrukturen geschaffen werden. Dazu benötigt man auf der einen Seite IoT-Anwendungen, die sich leicht in bestehende Workflows integrieren lassen und zum anderen ein Maximum an Datensicherheit bieten. IT-Anwendungen und smarte Lösungen können sogar helfen, alle Anforderungen zu erfüllen. Hierzu zählt beispielweise ein Datenschutz-Management-System.
Was heißt das für eine moderne Arbeitszeiterfassung?
Ich denke, dass viele Arbeitgeber erkannt haben, dass das Home-Office bei manchen Mitarbeitern die Produktivität sogar erhöht. Darüber hinaus verpflichtet das Urteil des Europäischen Gerichtshofs bekanntermaßen, dass Mitarbeiter-Überstunden durch Arbeitgeber: innen erfasst werden müssen, um gesetzeskonforme Pause- und Ruhezeiten nachweisen zu können. Auch das kann in IT-Richtlinien festgehalten werden.
Herr Pfisterer, ich danke Ihnen für das Gespräch.
Wir sind für Sie da!
Micha Pfisterer Geschäftsführer
Haben Sie Fragen rund um die Themen
IT Service & Sicherheit?