Homeoffice und Datenschutz - was Sie zuhause beachten sollten!

Ist Homeoffice in Zeiten des Coronavirus DIE Lösung? Funktioniert konzentriertes Arbeiten unter den aktuellen Bedingungen wirklich? Welche Punkte müssen Unternehmen unbedingt berücksichtigen, um auch bei kurzfristig organisierten Homeoffice- Lösungen ein Mindestmaß an Sicherheit zu gewährleisten? Ein persönlicher Erfahrungsbereicht - in mehrerer Hinsicht.

Homeoffice und Datenschutz mit Text im Bild zu I love my data

Zwangs-Homeoffice aufgrund Corona

Aus aktuellem Anlass, in allen Bundesländern schließen aufgrund der Corona-Krise Schulen und Kitas, wird gerade das Thema „Homeoffice“ ganz heiß gekocht.

Sicherlich müssen sich nun viele Unternehmen und deren Arbeitnehmer/-innen Gedanken machen, wie das Betreuungsproblem gelöst werden kann. Erschwerend kommt hinzu, dass zwar das Schießen der Schulen und Kindergärten absehbar war, dies letztendlich aber in NRW am Freitag, 13.03.2020 doch sehr kurzfristig mitgeteilt wurde. Viele betroffene Mütter und Väter hatten nicht mehr die Möglichkeit, die Problematik in ihren Unternehmen mit Kolleg/-innen oder Vorgesetzen zu klären.

Betroffene werden kurzfristig mit einer neuen Situation konfrontiert, können aufgrund der notwendigen Kinderbetreuung vielleicht nicht zur Arbeit gehen und müssen zusätzlich noch die Funktion der Lehrerin oder des Lehrers übernehmen. Das die Kinder nicht zur Schule dürfen, bedeutet ja längst nicht, dass sie Ferien haben. Auch wenn es vielerorts noch so scheint!

Auch ich bin davon betroffen, auch in meiner Familie geht es am Montag vermutlich erst einmal darum zu schauen, welche Lösungen sich finden. Laut Presse ist es so, dass wohl für Montag und Dienstag noch eine Übergangsregelung existiert und dadurch die Möglichkeit besteht, die Kinder an den Schulen betreuen zu lassen. Hintergrund ist, dass zunächst Lösungen in den Firmen gefunden werden sollen, jeder sich neu organisieren kann, bevor die Kinder endgültig zuhause bleiben müssen.

Leider existiert jedoch die Idee scheinbar nur aus politischer Sicht und in den Medien. Aus eigener Erfahrung kann ich sagen, dass die Realität anders aussieht. An den Schulen, die mich persönlich und auch den Bekanntenkreis sowie die Kolleginnen und Kollegen betreffen, wird diese Möglichkeit nicht angeboten! Die Schulen bleiben ab Montag zu. Man ist also gezwungen, schon über das Wochenende eine Lösung zu finden. Ganz abgesehen vom Betretungsverbot, welches für Kindergärten herrscht. Selbst wenn man die schulpflichtigen Kinder noch unterbringen könnte, wäre das Problem für die Kindergartenkinder nicht gelöst.

Großeltern kommen für Betreuung nicht infrage
In den meisten Fällen ist es so, dass wenn es mal irgendwo eng wird und klemmt, die Großeltern einspringen. Aber genau das darf jetzt nicht sein! Diese zählen zur Risikogruppe und dürfen nicht unnötig belastet werden, wodurch diese Option als Unterstützung entfällt. Auch die Option, die Kinder tageweise bei anderen Elternteilen einer Klassengemeinschaft unter zu bringen, scheint hier wohl nicht die Beste und Geschickteste zu sein. Dadurch würden die Maßnahmen hinsichtlich der Ziele "Verhinderung Virus-Ausbreitung und Virus-Eindämmung nicht besonders erfolgreich sein. Zumal auch weiterhin mitgeteilt wird, dass soziale Kontakte vermieden werden sollen.

„Die Eltern sind verpflichtet, ihre Aufgabe zur Erziehung der Kinder wahrzunehmen“, so die Aussage von Ministerpräsident Armin Laschet.

Schon krass, wie schnell so etwas gehen kann. Wie schnell wir doch in vielen Bereichen in ganz kurzer Zeit ganz extrem eingeschränkt werden können.

Was gibt es für uns zu tun?
Dem Arbeitnehmenden bleibt also zunächst einmal nur die Option, Urlaub zu nehmen (bezahlt oder notfalls unbezahlt) oder Überstunden abzubauen. Oder aber, die plötzlich besagte und jetzt überall favorisierte Lösung Homeoffice zu nutzen.

Aber welche Probleme bekommen die Unternehmen dadurch, wenn von heute auf morgen eine Vielzahl an Arbeitnehmer/-innen gleichzeitig gezwungen sind, zuhause zu bleiben? Die Option des Homeoffice fällt zudem in produzierenden Bereichen eh komplett aus. Wie auch in Bereichen des Einzelhandels. Die Mitarbeiter/-innen in den Supermärkten müssen trotzdem ihren Job erledigen, der unter diesen Bedingungen sicherlich alles andere als einfach ist.

Stellen wir uns ehrlich folgende Frage 
Funktioniert das mit dem plötzlich aus der Taufe gehobenen Homeoffice unter diesen Bedingungen wirklich? Das Thema Homeoffice ist sicherlich und grundsätzlich eine gute Idee. Ich verwende hier übrigens bewusst den Begriff „Homeoffice“ und nicht „Telearbeit“ oder „mobiles Arbeiten“, da Telearbeit oder mobiles Arbeiten eigentlich nicht das sind, was hier teilweise spontan herbeigezaubert werden muss. Durchaus kann man sich vorstellen, auch von zuhause prima arbeiten zu können. Vielleicht sogar besser und ruhiger, wenn man die Möglichkeit hat, sich allein irgendwo in sein Büro zurück zu ziehen und dort komplett ungestört und frei von sonstigen Einflüssen ist.

Was sind die Voraussetzungen für Homeoffice?

Zunächst ein paar grundsätzliche Anforderungen und Punkte, die geregelt sein müssen.

  • Die technische Möglichkeit muss gegeben sein. Der Arbeitgeber muss also zunächst einmal dafür sorgen, dass technisch die Mitarbeiter/-innen in der Lage sind, von zuhause aus zu arbeiten.
  • Eine geeignete Internetanbindung, Laptops und Telefon oder Handy müssen angeschafft und zur Verfügung gestellt werden, sofern nicht schon vorhanden.
  • Es müssen unbedingt Regeln zur Kommunikation über E-Mail, Telefon, Skype oder sonstiges aufgestellt werden.
  • VPN (Virtual Private Network) Zugänge müssen geschaffen werden.
  • Es braucht zwingend Richtlinien und Arbeitsanweisungen, um zum Beispiel meldefplichtige Datenpannen zu vermeiden.
  • Eventuell müssen die Mitarbeiter/-innen zusätzlich geschult werden.
  • Arbeitgeber müssen sich Gedanken zur Zeiterfassung machen.
  • Auch Punkte der Arbeitssicherheit und gesetzliche Vorschriften müssen berücksichtigt werden. Diese gibt es für „Telearbeit“ und „mobiles Arbeiten“, nicht jedoch für den Begriff „Homeoffice“.
  • Personenbezogene Daten müssen sicher transportiert werden, zum Beispiel in verschließbaren Koffern, sofern es um Akten geht.
  • Unterlagen müssen auch zuhause entsprechend gesichert gelagert werden und vor den Blicken Dritter, wie Bekannte oder Familienangehörigen geschützt werden.
  • Die eingesetzten Geräte (USB Sticks, Laptops...) müssen verschlüsselt werden.
  • Es braucht Maßnahmen für die Einhaltung der Sicherheitsvorgaben des Unternehmens. (Wie bekomme ich diese beispielsweise auch auf mobilen Geräten durchgesetzt?)
  • Ein Backup der Geräte und eventuell darauf gespeicherten Daten muss berücksichtigt werden.
  • Insgesamt muss es möglich sein, die Datenverarbeitung (auch im Homeoffice) datenschutzkonform zu erledigen. Die personenbezogenen Daten müssen also vor unbeabsichtigtem Verlust, vor Einsichtnahme Dritter und vor Beschädigung geschützt werden.
  • Letztendlich müssen die Beschäftigten in ihrer Umgebung aber überhaupt erst einmal die Möglichkeit haben, die Arbeiten im Homeoffice gewissenhaft durchführen zu können. Es braucht zum Beispiel ein separates Arbeitszimmer. Arbeiten "so nebenbei" am Küchen- oder Wohnzimmertisch oder vielleicht noch unter dem Apfelbaum sollten verhindert werden.
     

Für Unternehmen, die für Datenschutz sorgen müssen, ist Homeoffice kein Unterfangen für  auf die Schnelle
Das bedeutet, dass Unternehmen jetzt eventuell ein großes Problem haben, der allgemeinen Forderung zum Arbeiten im Homeoffice nachzukommen, selbst wenn sie es wollten. Sofern es nicht schon konkrete, umsetzbare Lösungen gibt, die bereits genutzt werden. In so einem Fall sind die grundsätzlichen Anforderungen, Dokumentationen, Arbeitsanweisungen und Konzepte für Backups und sonstige Themen im besten Fall bereits vorhanden und umgesetzt. In Bezug hierauf besteht vielleicht noch die Herausforderung, die Anzahl der Mitarbeitenden kurzfristig zu erhöhen, denen diese Möglichkeit des Arbeiten von zuhause jetzt auch gegeben werden soll.

Hier droht schnell die Gefahr, dass Insel- oder Notlösungen geschaffen werden und IT-Sicherheit komplett außer Acht gelassen wird.

Die Technik! Nicht improvisieren und das Firmennetzwerk unbedacht öffnen. Private Geräte sind tabu! 
Auf keinen Fall sollte aus Sicht der IT-Sicherheit jetzt der Fehler gemacht werden, kurzfristig und unüberlegt Homeoffice Lösungen für die Mitarbeiter/-innen zu „improvisieren!“ Um schnell Möglichkeiten für diese zu schaffen, die dann womöglich auch noch mit ihren privaten Geräten VPN Verbindungen zum Firmennetzwerk aufbauen! Ohne, dass die Einhaltung der Sicherheitsvorgaben des Unternehmens gewährleistet werden kann. Das wäre sicherlich der falsche Weg! 

Private Geräte sind und bleiben ein Risiko, selbst wenn sich ein VPN Client darauf installieren lässt. Berücksichtigen Sie bei der Planung, dass eventuell, je nach verwendetem VPN Gateway oder Client, uneingeschränkt sämtlicher Traffic vom privaten Endgerät über die VPN Verbindung in das Firmennetzwerk gelangen kann! Dabei kann dann auch schadhafter Code oder Ransomware übertragen werden, was vielleicht noch auf dem privaten Endgerät schlummert. Oder wissen Sie, welche „Vorbelastung“ das private Endgerät eventuell hat?

Auch das Öffnen irgendwelcher Ports, um den Mitarbeiter/-innen die Möglichkeit zu geben, auf interne Sharepoint Server oder Outlook Web Access direkt vom eigenen PC zuhause zugreifen zu können, ist der falsche Weg. Lassen Sie in diesem Fall auch gleich die Tür zum Bürogebäude oder Unternehmen offen ;-).

Auch die Verwendung („unüberlegt“ und „auf die Schnelle“) irgendwelcher, normalerweise für den privaten Bereich gedachter Cloud Dienste, wie OneDrive im Windows 10, Dropbox oder Ähnliches, ist auf jeden Fall der falsche Weg!

Das Eröffnen dieser Möglichkeiten sorgt zwar dafür, dass die Mitarbeiter/-innen schnell und unkompliziert (theoretisch) von zuhause arbeiten könnten, auch ohne das die Firma in Technik investieren muss. Aus Sicht der IT-Sicherheit muss von derartigen Lösungen aber ganz dringend abgeraten werden!

Das Eröffnen dieser Möglichkeiten für Ihre Mitarbeiter/-innen eröffnet auch viele neue Möglichkeiten für Cyberkriminelle, die dadurch in den nächsten Tagen sicherlich neue Angriffsszenarien auf Dienste, wie Microsoft Sharepoint oder den Outlook Web Access des womöglich nicht ganz aktuell gepatchten eigenen Exchange Servers im Unternehmen entwickeln oder nutzen werden.

Die Sicherheitslücken auf diesen Systemen sind schon vorhanden, auch die notwendigen Exploits für die Angriffe existieren bereits. In den meisten Fällen waren die Systeme aber abgeschirmt und wurden rein intern eingesetzt.

Durch eine unüberlegte Bereitstellung der Dienste nach außen stellen Sie eventuell vorhandene Sicherheitslücken frei im Internet bereit. Das Mindeste was zu tun wäre ist, den aktuellen Patchstand zu überprüfen.

Auch hier sollte ein Sicherheitskonzept ausgearbeitet werden, bevor Sie derartige Dienste bereitstellen. Denken Sie auch über sichere Kennwörter nach. Noch besser: Verwenden Sie eine 2-Faktor Authentifizierung für im Internet bereitgestellte Onlinedienste. Das hält zwar nicht den Cyberkriminellen ab, der es auf die Sicherheitslücken des Systems abgesehen hat, aber zumindest diejenigen, die sich unberechtigten Zugang über das Benutzerkonto verschaffen. E-Mails einsehen oder die Dateien auf dem Sharepoint manipulieren oder stehlen wollen.

In den meisten Fällen benötigt man zur Einführung einer 2-Faktor-Authentifizierung nicht einmal teure Token oder besonders teure Hard- oder Software. Viele Firewallsysteme bringen entsprechende Mechanismen bereits mit und bei Cloud Diensten muss die Funktion nur aktiviert werden. Für den Endanwender funktioniert das Ganze meistens mit kostenlosen Apps auf sowieso schon vorhandenen Mobiltelefonen oder als kostenlose Software auf den Laptops.

Neben all der Technik – im Homeoffice gehen meist keine 100 Prozent 

Es stellt sich eine ganz andere und grundsätzliche Frage: Ist Homeoffice überhaupt die Lösung wenn zeitgleich die Kinder, vor allem kleinere Kinder, betreut werden sollen und müssen?

Ist es unter diesen Voraussetzungen überhaupt möglich, konzentriert und produktiv für den Arbeitgeber im Homeoffice tätig zu sein? Je nach Anzahl und Alter der Kinder muss man sich doch fragen, ob es überhaupt möglich ist, konzentriert sein Arbeitspensum zu schaffen, welches zur tatsächlichen Erfüllung der Arbeitszeit notwendig wäre.

„Papa ich habe Durst“, „Papa darf ich in den Garten?“, „Papa mir ist langweilig, was machen wir jetzt?“, „Papa, der hat mein Lego geklaut“, macht es nicht gerade einfacher.

Die Frage aus meiner Sicht ist: Wie lange kann man tatsächlich am Stück konzentriert arbeiten 1.) ohne gestört zu werden und 2.) ohne mit den Gedanken abzuschweifen und sich zu fragen „Warum ist es jetzt so still?"

Wollen wir ehrlich sein? Wenn es hochkommt und ganz gut läuft, 30 Minuten? Wahrscheinlich eher weniger. Und  Studien belegen, dass bei jeder Störung und Arbeitsunterbrechung wir jedes Mal viele Minuten brauchen, um wieder ins konzentrierte Arbeiten rein zu kommen. Ergebnisorientieres und konzentriertes Arbeiten bei ständigen Unterbrechungen, fällt da schwer. Und die Arbeitszeit komplett auf den Abend zu verlegen, kann  auch nicht die beste Lösung sein.

Am Ende des Tages möchte der Arbeitgeber bestmögliche Ergebnisse sehen. Was sein gutes Recht ist. Und was mich betrifft, ich ihm dies auch gerne so präsentieren möchte. 

Im Umkehrschluss bedeutet das aber auch, das Homeoffice und Kinderbetreuung nicht unbedingt so ganz perfekt zusammen passen. Auch wenn man zum Organisationstalent wird, passieren oft zu viele unvorhersehbare Dinge bei der Betreuung von Kleinkindern.  

Für den Notfall geht das bestimmt. Nur wissen wir nicht, wie lange die derzeitige Situation durch den Coronavirus anhält und sich weiterentwickelt. Ob man also die volle, vergleichbare Leistung wie im Büro erbringen kann, ist noch nicht abschließend geklärt ;-).

Die Arbeit von zuhause ist auf jeden Fall ein wichtiges Hilfsmittel, um Zeit oder lange Anfahrtswege zu sparen. Um Arbeitszeit insgesamt flexibler zu gestalten. Dies setzt in jedem Fall voraus, dass der/die Arbeitnehmer/-in sich gut abgrenzen kann, um tatsächlich die volle Leistung erbringen zu können. 

HILFE - Szenarien im Homeoffice
Da bei der jetzigen Situation eigentlich noch niemand weiß, wie lange Kindergärten und Schulen geschlossen bleiben, ergibt sich daraus die Frage, ob Bund und Länder nicht die Zeit nutzen sollten, um sich Gedanken über gesetzliche Hilfen und Lösungen für Eltern oder Unternehmen zu machen. Vielleicht sollte die Idee verabschiedet werden, dass Arbeiten und eine gleichzeitige Kinderbetreuung möglich und fair für Arbeitgeber und Arbeitnehmenden sein kann. Sicherlich treibt die Lösung nicht gerade die Wirtschaft voran, sondern eher alle Beteiligten in den Wahnsinn, weil das Szenario dann vielleicht so aussieht https://youtu.be/9Jp86FV5wIE.

Wesentlich ungünstiger ist eine derartige Situation, in welcher Professor Robert E. Kelly aus dem Homeoffice ein Skype-Interview mit der BBC zur Lage in Südkorea führt https://youtu.be/CinH2UnzcXM. Dieses Szenario betrifft sicherlich eher diejenigen, die sonst im Berufsalltag Videokonferenzen führen müssen.

Sofern aber dennoch für Sie und Ihr Unternehmen in den nächsten Wochen die Homeoffice-Lösung eine mögliche Variante ist, berücksichtigen Sie unbedingt die zu beachtenden Grundlagen aus Sicht der DSGVO und IT-Sicherheit.

Schauen Sie auch, dass im Homeoffice technische und organisatorische Maßnahmen eingehalten werden. Es geht auch im Homeoffice unter anderem um Vertraulichkeit und Verfügbarkeit der Daten sowie allgemein um die Sicherheit der Daten, insbesondere personenbezogener Daten. Noch kritischer wird es, sofern Sie in Bereichen tätig sind, in denen Daten verarbeitet werden, die unter Artikel 9  (also den Bereich der besonders schützenswerten Daten, wie z.B. Gesundheitsdaten) fallen.

Sie haben es bis hierher geschafft. Schon an dieser Stelle vielen Dank fürs Lesen. 

Fazit:

Mir ist mehr als bewusst: Die Umsetzung all dieser Dinge ist sehr komplex und mit viel (aber notwendiger) Arbeit verbunden. Die Fima werning.com GmbH steht Unternehmen, egal welcher Größe, mit individuellen Lösungen, Vorlagen und bei der Umsetzung helfend zur Seite. Rufen Sie mich oder uns an oder schreiben Sie eine E-Mail an teamDatenschutz@werning.com und wir besprechen die Einzelheiten. 

Hilfreiche Links:

  • Unter https://www.werning.com/hilfe-service/ erhalten Sie regelmäßig aktuelle Informationen und Termine für Webinare und zu 15 min. Coffee-StandUps@home. Dabei handelt es sich um ein kurzes Treffen in der virtuellen Kaffeeküche mit Austausch zu verschiedensten Themen. Erster virtueller Kaffeeküchen-Treff ist am 19.03. um 14 Uhr.
  • Eine weitere, interessante Lektüre ist der CORONAHOMEOFFICE-GUIDE von T3N. Steht HIER zum Download bereit.
  • HIER finden Sie einen weiteren Artikel zu "Home Office: Datenschutz bei der Arbeit von Zuhause."