Es mag schwerfallen, in Zeiten wie diesen, ein Glas lieber halbvoll als halbleer zu sehen. Zwar geschieht es unter widrigen Umständen, doch Deutschland erlebt im Moment einen Schub in Sachen Digitalisierung, den es zu begrüßen gilt. Viele Unternehmen werden aus diesen Monaten wichtige Erfahrungen für die zukünftige Telearbeit ihrer Mitarbeitenden ziehen; ganz gleich ob diese Lektionen technischer Natur sind oder alltägliche Arbeitsroutinen betreffen. Gleichzeitig sollten sich die Verantwortlichen jedoch auch der Bedeutung von konkreten Richtlinien für das Homeoffice bewusst sein. Im Sinne der DSGVO stellt die Telearbeit (Homeoffice und mobile Arbeit) nämlich ein Risiko für Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten da. Die Erfahrung zeigt, dass sich vor allem kleine und mittelständische Unternehmen dessen häufig nicht ausreichend bewusst sind und es daher unterlassen die entsprechenden technischen und organisatorischen Maßnahmen (TOMs) zu treffen, die für einen regelkonformen Betrieb im Homeoffice notwendig sind. Käme es im Rahmen dessen zu einer Datenschutzverletzung, setzt sich die Geschäftsführung, bzw. der Verantwortliche im Sinne der DSGVO, dadurch potenziell erheblichen rechtlichen und finanziellen Risiken aus.
Die potenziellen Sicherheitsgefährdungen im Homeoffice sind derart vielfältig und sektorspezifisch, dass eine Aufzählung an dieser Stelle wenig Sinn ergäbe. Zur großen Mehrzahl stehen sie allerdings im Zusammenhang mit Fahrlässigkeiten seitens der Mitarbeitenden. Hierzu gehören beispielsweise die Verwendung von USB-Sticks, den digitalen Virenschleudern der Gegenwart, die private Verwendung von Dienstrechnern oder eine Missachtung der Clear Desk und Clear Screen Policy am heimischen Arbeitsplatz. Ebenso muss dafür Sorge getragen werden, dass sogenannte Data Loss Prevention (DLP) Protokolle und Programme auch für das heimische Netzwerk und den Arbeitsplatz gelten. Gegebenenfalls müssen hier aufgrund der aktuellen Herausforderungen grundlegende Systemänderungen vorgenommen werden; beispielsweise der Wechsel von einem Network zu einem Endpoint DLP. Besonders für dieses Thema empfiehlt sich die Konsultation von Spezialisten. Gleiches gilt für die Übersendung wichtiger Daten und Informationen und deren Ende-zu-Ende Verschlüsselung. Während dies bei fast allen E-Mail-Diensten kein Problem darstellt, gibt es bei Messenger- und Video-Chat-Anbietern große Unterschiede (Dieses Thema wird uns noch einmal konkret beschäftigen). Zwar ist die gängigste Methode für das Teilen gemeinsam bearbeiteter Dokumente mittlerweile die Nutzung von Cloud-Diensten, jedoch bedarf es auch hierfür konkreter Vorschriften seitens der Arbeitgeber. Neben den Systemanforderungen zur sicheren Umsetzung, ist es mindestens genauso wichtig die Mitarbeitenden im sicheren Umgang zu schulen und für das Thema Informationssicherheit zu sensibilisieren.
Die Bedeutung der Richtlinien für Telearbeit zeigt sich allein darin, dass auch die Unterwelt derzeit die Gelegenheit nutzt, um ihre digitalen Kompetenzen auszubauen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte kürzlich davor, dass es vermehrt Versuche gebe mithilfe von Webseiten, die angeblich der Registrierung für Soforthilfen dienen, an private und Unternehmensdaten zu gelangen. Hierfür wird auch das Informationsbedürfnis der Bevölkerung ausgenutzt. Denn eine Vielzahl von Websites dienen nur dem Schein (bzw. der URL) nach dazu Aufklärung über Covid-19 zu leisten. Stattdessen fungieren sie zur Verbreitung von Schadsoftware.
Die Richtlinien zu erlassen ist allerdings das eine. Das andere und viel Wichtigere ist deren Implementierung. Datenschutzberater haben die gängigen Dokumente in der Regel als Vorlage vorhanden und müssen nur wenige individuelle Anpassungen vornehmen. Die langfristig gesehen wichtigste Aufgabe liegt in den Schulungen der Mitarbeitenden, deren regelmäßiger Überprüfung und im Vorleben dieser Datenschutzkultur von der Spitze eines Unternehmens hinab.
Denn nur wo ein Bewusstsein für den Datenschutz vorhanden ist, kann von Verbesserungen ausgegangen werden. Auch wenn viele Unternehmen in der gegenwärtigen Corona Krise vermeintlich andere Probleme als die datenschutzkonforme Gestaltung des Homeoffice haben, sind die kurz- wie langfristigen Risiken einer fehlenden Richtlinie für das Homeoffice immens. Gegen das analoge Virus gibt es möglicherweise Staatshilfen, gegen das digitale jedoch nicht.