Datenschutz Archive - Seite 91 von 135

05/2020 – Fachartikel Swiss Infosec AG

Ein Schreibtisch, ein Stuhl, ein Notebook mit Zugriff auf die Geschäftsdaten und ein Telefon – schon steht das Homeoffice bereit. Aber wie sieht es mit der Sicherheit aus? Gerade Mitarbeitende, die normalerweise in einer physisch geschützten Umgebung arbeiten, finden sich daheim in einem völlig anderen Arbeitsumfeld wieder. Worauf ist zu achten?

In unserem letzten Beitrag sind wir bereits auf die beim Arbeitgeber – vom Arbeitsort der Mitarbeitenden unabhängige – verbleibende Verantwortlichkeit bei der Bearbeitung von Personendaten und auf die Notwendigkeit angemessener technischer und organisatorischer Massnahmen eingegangen.

Da es in dieser Hinsicht noch einiges mehr zu beachten gilt, haben unsere Sicherheitsexperten für Sie eine Reihe von Grundsätzen zusammengestellt, die bei der Arbeit im Homeoffice (oder auch unterwegs) beachtet werden sollten.

Konzentration auf elektronische Datenverarbeitung

Homeoffice sollte grundsätzlich als eine voll elektronische Datenverarbeitung ohne Medienbruch ausgestaltet werden. D.h., die schriftliche Kommunikation mit dem Arbeitgeber, die Entgegennahme von Aufgaben, der Umgang mit Personendaten und anderen sensitiven Informationen sowie die Übermittlung der Arbeitsergebnisse sollten automatisiert mit Hilfe von IT-Einrichtungen und über verschlüsselte elektronische Kommunikationswege stattfinden. Dadurch entfällt die Notwendigkeit, Unterlagen zu transportieren, was ein hohes Risiko des Verlusts, der Beschädigung sowie der unbefugten Kenntnisnahme birgt.

Zutritt und Zugriff

Auch im Homeoffice ist sicherzustellen, dass Unbefugte zu keiner Zeit Zugang zu Geschäftsunterlagen erhalten – die Clear Desk Policy gilt auch daheim. Die Zugriffsmöglichkeiten auf Informatikmittel sowie Zugriffsrechte müssen kontrolliert sein.

Passwortschutz

Jeder Nutzeraccount ist mit einem sicheren Passwort zu schützen; Best Practice ist zurzeit eine Mindestlänge von 8 bis 12 Zeichen, bestehend aus Gross- und Kleinbuchstaben, Sonderzeichen und Zahlen. Der Einsatz einer Zwei-Faktor-Authentifizierung erhöht den Schutz zusätzlich.

Datenspeicherung

Es bedarf klarer Regeln, wo Personendaten und Informationen gespeichert werden dürfen. Sofern eine VPN-Verbindung zum Firmenserver eingerichtet wurde oder ein Cloud-System im Einsatz ist, sollten ausschliesslich diese Datenspeicher verwendet werden. Gibt es keine andere Möglichkeit, als die Daten lokal zu speichern, so müssen diese bei der nächstmöglichen Gelegenheit auf den üblicherweise verwendeten Datenspeicher übertragen und sicher aus dem lokalen Speicher gelöscht werden.

Sicherheitstechnische Anforderungen an die Informatikmittel

Zur Minimierung der Angriffsﬂäche sind bei Informatikmitteln nicht benötigte Funktionen zu entfernen und Standard-Schutzmassnahmen (z.B. das Einspielen aktueller Software-Patches und AV-Signaturen) vorzunehmen. Die eingesetzten Geräte sollten über eine aktuelle Firewall und Viren- und Malware-Erkennungssoftware verfügen. Installierte Software ist immer auf dem aktuellen Stand zu halten. Datenträger sind zu verschlüsseln.

Sicherer Remote-Zugriff auf das Geschäftsnetzwerk

Die privaten WLAN-Zugangspunkte müssen mit einem mindestens 20-stelligen Passwort geschützt und mit dem WPA2-Standard verschlüsselt sein. Idealerweise sollte die Verbindung zum Geschäftsnetzwerk über VPN erfolgen, damit eine verschlüsselte Datenübertragung gewährleistet ist. Alternativ kann eine Cloud-Lösung mit automatischen Backup-Funktionen und Berechtigungskonzepten eingesetzt werden.

Audio- und Videokonferenzen

Audio- und Videokonferenzen sind praktisch, bergen aber auch die Gefahr in sich, dass Unbefugte mithören oder unerlaubterweise Aufzeichnungen erstellt werden. Zu beachten ist, dass datenschutzrechtlich das Unternehmen verantwortlich bleibt und nicht etwa der Anbieter des Tools.

Soweit das eingesetzte Tool Funktionen enthält, die über das betrieblich Erforderliche hinausgehen (z.B. das Fertigen von individuellen Nutzungsstatistiken), sollten diese deaktiviert werden. Sind besonders schützenswerte Personendaten, Geschäftsgeheimnisse oder Informationen, die einem Berufsgeheimnis unterliegen, Gegenstand der Kommunikation, ist eine verschlüsselte Übertragung Pflicht.

Typischerweise ist zwischen dem Unternehmen und dem Anbieter der Tools ein Vertrag abzuschliessen. Im Anwendungsbereich der DSGVO muss dieser Art. 28 DSGVO entsprechen. Sofern das Hosting bzw. die Bereitstellung des Tools (auch) auf Servern ausserhalb der Schweiz, der EU und des EWR stattfindet, müssen mit dem Anbieter zusätzliche Garantien vereinbart werden (z.B. Standard-Vertragsklauseln, Zertifizierung unter dem US-CH Privacy Shield).

Klarer Prozess bei Datenpannen und IT-Problemen

IT-Support und Incident Management-Prozesse sollten so ausgelegt sein, dass sie auch im Homeoffice funktionieren und nicht an der räumlichen Distanz zum Geschäftssitz scheitern. Der Einsatz von Fernwartungstools wie TeamViewer kann hilfreich sein.

Sensibilisierung der Mitarbeitenden

Bei der regelmässigen Schulung der Mitarbeitenden im sicheren und datenschutzgerechten Umgang mit Informatikmitteln sollte der Arbeitgeber dem richtigen Verhalten im Homeoffice die nötige Beachtung schenken.

Einräumung von Kontrollrechten des Arbeitgebers

Damit der Arbeitgeber die Einhaltung der Sicherheitsvorschriften auch im Homeoffice überprüfen kann, sollte er sich ein vertragliches Kontrollrecht einräumen lassen. Das mag unangenehm sein, ist aber unverzichtbare Bedingung für das Arbeiten zu Hause.

Weiterführende Literatur

Gerne beantworten wir Ihre Fragen und unterstützen Sie bei der Einhaltung von Schweizer Datenschutz und DSGVO.

Ausgangslage

Die heutige Lage in der Schweiz und weltweit führt dazu, dass Social Distancing auch im Beruf ausgeübt wird und viele Menschen mit Bürotätigkeit von zuhause aus arbeiten. Die plötzliche Umstellung auf Home Office birgt jedoch nicht nur Unannehmlichkeiten wie fehlende gemeinsame Kaffeepausen oder nicht funktionierende Mikrofone bei Skype-Meetings; auch wichtige Datenschutzprinzipien müssen weiterhin eingehalten werden und können bei Missachtung Konsequenzen nach sich ziehen.

Angemessene technische und organisatorische Massnahmen

Auch wenn der Arbeitnehmer von zuhause aus arbeitet, so bearbeitet er dennoch Personendaten für und im Auftrag des Arbeitgebers. Der Arbeitgeber bleibt somit Verantwortlicher für den datenschutzkonformen Umgang mit diesen Daten. Entsprechend hat er nach Art. 7 Datenschutzgesetz (DSG) die Datensicherheit durch angemessene technische und organisatorische Massnahmen sicherzustellen. Ist auf Ihre Tätigkeit die Datenschutz-Grundverordnung (DSGVO) anwendbar, so sieht Art. 24 Abs. 1 DSGVO dieselben Regeln vor.

Bei der Bearbeitung von Personendaten ist beispielsweise darauf zu achten, dass Familienmitglieder keine Einsicht in diese Daten erhalten – Bildschirmsperre bei Verlassen des Arbeitsplatzes gilt somit auch zuhause. Dokumente in Papierform müssen sicher aufbewahrt werden, entweder in einem abschliessbaren Schrank oder zumindest in einem separaten, abschliessbaren Zimmer. Keinesfalls dürfen nicht mehr benötigte Akten im heimischen Altpapier landen; diese sind sicher aufzubewahren und anschliessend im Büro des Arbeitgebers gemäss interner Vorschrift zu vernichten. Sie können im Home Office vernichtet werden, wenn ein Aktenvernichter mit entsprechender Sicherheitsstufe verwendet wird. Für den Zugriff auf die Systeme des Arbeitgebers verwenden Sie am besten ein Virtual Private Network (VPN), um eine verschlüsselte Datenübertragung sicherzustellen.

Je nach Branche, in der Sie tätig sind, werden unterschiedliche Daten mit einem unterschiedlichen Grad an Sensibilität verarbeitet. Bei der Bearbeitung besonders schützenswerter Personendaten wie Gesundheitsdaten haben die Regeln zur Datensicherheit einen besonders hohen Stellenwert und dürfen keinesfalls vernachlässigt werden.

Um genug hohe Sicherheitsstandards zu gewährleisten, sollte der Arbeitgeber klare Nutzungsregelungen in eindeutigen geschäftlichen Richtlinien wie einer Benutzerweisung, schriftlich regeln. Dadurch wissen die Angestellten, welche Massnahmen sie für ihr Home Office ergreifen müssen.

Tools für die digitale Zusammenarbeit

Der Datenschutzbeauftragte des Kantons Zürich hat einige der beliebtesten Instrumente für die digitale Zusammenarbeit auf ihre Datenschutzkonformität geprüft. Die Liste kann unter folgendem Link konsultiert werden: https://www.datenschutz.ch/datenschutz-in-oeffentlichen-organen/digitale-zusammenarbeit

Arbeiten auf eigenen Geräten

Wenn Sie den Angestellten das Arbeiten auf eigenem Smartphone und/oder Laptop erlauben, sind zusätzliche Datenschutzvorkehrungen zu beachten. Dazu konsultieren Sie am besten unseren News-Beitrag «BYOD – Private Arbeitsgeräte im Geschäft» vom Juli 2019.

Unser Fazit

Zusammengefasst kann festgehalten werden, dass Home Office durchaus datenschutzkonform ausgestaltet werden kann. Wichtig ist, dass Ihre Mitarbeitenden wissen, welche Massnahmen sie zu treffen haben, um die Datensicherheit zuhause zu gewährleisten. Auch ist darauf zu achten, dass datenschutzkonforme Kommunikationskanäle gewählt werden.

Grundsätzlich sind alle datenschutzrelevanten Punkte zu klären, bevor ein Arbeitgeber Home Office zulässt. Die jetzige ausserordentliche Lage führte wohl regelmässig zum Home Office-Einsatz, noch bevor die Arbeitnehmer mit den entsprechenden Vorschriften vertraut gemacht wurden. Es ist also zwingend notwendig, entsprechende Weisungen unverzüglich zu erlassen. Gerne unterstützen wir Sie umgehend bei der Erstellung einer solchen Weisung.