Da nun wieder erste Dienst- und sonstige Reisen möglich sind, droht die nächste Gefahrenquelle für Datenschutz- und IT-Sicherheitsverletzungen: das Mobile Office.
Mobile Office
Unter dem Begriff Mobile Office – oder auch mobiles Arbeiten – versteht man Organisationsformen, bei denen die Anwesenheitspflicht des Arbeitnehmers am Arbeitsplatz ganz oder teilweise aufgehoben ist. Im Gegensatz zum Homeoffice ist dabei die Tätigkeit des Arbeitnehmers nicht auf den Arbeitsplatz in der eigenen Wohnung beschränkt.
Letztendlich hat der Arbeitnehmer im Rahmen seiner vereinbarten Arbeitszeiten die Freiheit, dort tätig zu werden, wo es ihm gefällt. Das gilt auch im Rahmen von Reisen jeder Art. Ob am Flughafen, am Strand, im Zug oder im Restaurant – dank mobiler Datennetze und freier WLAN-Verbindungen sind der Gestaltung des mobilen Arbeitens fast keine Grenzen gesetzt.
Die Risiken
Für das Homeoffice besteht grundsätzlich für den Arbeitgeber die Möglichkeit, durch gezielte Maßnahmen und Anweisungen für die Einhaltung der Datenschutzbestimmungen und der IT-Sicherheit zu sorgen. Ein festes Arbeitsumfeld mit gleichbleibenden Rahmenbedingungen ermöglichen dies, obgleich es hier in der Praxis sicher noch sehr oft Nachholbedarf gibt.
Beim mobilen Arbeiten sind diese gleichmäßigen Rahmenbedingungen meistens nicht gegeben. Die Arbeit erfolgt auf mobilen Geräten, gelegentlich in der Öffentlichkeit oder unter Anwesenheit Dritter, und es werden die unterschiedlichsten Computernetzwerke genutzt. Hinzu kommen Gefahren des Diebstahls, Abhandenkommens oder der Beschädigung der mobilen Geräte insbesondere auf Reisen. Die drei Grundsätze der IT-Sicherheit und des Datenschutzes – Vertraulichkeit, Verfügbarkeit und Integrität – sind in hohem Maß in Gefahr.
Die Maßnahmen
Diese Situation erfordert verschiedene Maßnahmen. Die wichtigsten sind:
1. Verschlüsselung
Alle Datenträger und jede elektronische Kommunikation müssen nach dem Stand der Technik verschlüsselt sein.
2. Diebstahlschutz
Die betroffenen Mitarbeiter müssen im Bereich Diebstahlschutz unterwiesen und angewiesen werden. Das Ziel dabei ist die Sensibilisierung, dass die finanziellen Folgen eines Verlustes eines mobilen Gerätes für das Unternehmen deutlich höher sein kann als nur der reine Gerätewert. Sofern die Geräte über eine Ortungsfunktion verfügen, die im Falle eines Diebstahls aktiviert werden kann, sollte diese Funktion genutzt werden.
3. Sichtschutz und Vertraulichkeit
Die Bildschirme der Geräte sollten mit einer Sichtschutzfolie versehen werden. Diese erschwert die Einsichtnahme durch unbefugte Dritte. Generell müssen auch hier die Mitarbeiter bezüglich der vertraulichen Datenverarbeitung und Kommunikation sensibilisiert und angewiesen werden.
4. Nutzung sicherer Netzwerkverbindungen
Frei zugängliche Netzwerke sind anfällig für Cyber-Angriffe. Die Netzwerkkommunikation kann beispielsweise über einen „Man-in-the-Middle-Angriff“ abgefangen werden. Daher sollten freie Netzwerke vermieden werden, oder man nutzt sie nur, um über diese eine geschützte Verbindung, etwa einen VPN-Tunnel, aufzubauen.
5. Passwort-Sicherheit
In der Öffentlichkeit können Kennwörter auch leicht ausgespäht werden. Der Zugang zum mobilen Gerät sollte daher zusätzlich über eine 2-Faktoren-Autentifizierung gesichert sein. Dass Passwörter eine hinreichende Komplexität und Länge haben sollten, versteht sich von selbst.
6. Vermeidung externer Cloud-und Web-Dienste
Cloud-und Web-Dienste, die nicht zum üblichen Unternehmensnetzwerk gehören, dürfen die Mitarbeiter nicht nutzen. Das ist in besonderem Maß wichtig, wenn das mobile Arbeiten an einem Ort außerhalb der europäischen Union stattfindet.
7. Private Nutzung
Die Nutzung dienstlicher Geräte zu privaten Zwecken oder die Nutzung privater Geräte zu dienstlichen Zwecken mag im Mobile Office sehr verführerisch sein, sie stellt aber sehr hohe Hürden an die Einhaltung von Datenschutz und IT-Sicherheit dar. Technisch sichere Lösungen, die auch dem Datenschutz Genüge tun, sind grundsätzlich möglich aber kostspielig und zeitaufwendig. Daher ist meistens der beste Weg, von Vornherein darauf zu verzichten
Formelle Pflichten
Zu guter Letzt sind für das Mobile Office die üblichen formellen Vorgaben zu erfüllen, die auch für andere Bereiche gelten. Diese sind in Kurzform: Definition der Verarbeitung im Verzeichnis der Verarbeitungstätigkeiten, Aufnahme in die Datenschutzinformation für die Beschäftigten und je nach individueller arbeitsrechtlicher Gemengelage im Betrieb eine Einwilligung der Beschäftigten oder eine entsprechende Betriebsvereinbarung.
Einer besonderen Bedeutung kommen in diesem Zusammenhang die Auftragsverarbeitungsverträge nach Art. 28 DSGVO zu, insbesondere dann, wenn der Betrieb Auftragnehmer eines solchen Vertrages ist. Denn viele Verträge verbieten grundsätzlich die Datenverarbeitung außerhalb der Betriebsstätten des Auftragnehmers oder machen diese von der konkreten – meist schriftlichen – Zustimmung abhängig.
Fazit
Die Pandemie hat die Einführung neuer Organisationsformen in den Unternehmen stark begünstigt. Diese positive Entwicklung hat im Gegenzug die Gefahrenlage für die Unternehmen erhöht. Mit welchen Maßnahmen die Risiken minimiert und gemanagt werden können, hängt vom Einzelfall ab. In jedem Fall ist aber jede Maßnahme erstmal besser als gar keine.