4Max - stock.adobe.com
Warum der Datenschutz bei mobiler Arbeit besser werden muss
Die IT-Nutzung unterwegs gehört oftmals zum betrieblichen Alltag, doch die mobilen Datenrisiken werden unterschätzt. Aufsichtsbehörden geben Hinweise zum mobilen Datenschutz.
Mobiles Arbeiten führt in vielen Unternehmen zu Problemen mit der Cybersicherheit: Gut jedes vierte Unternehmen in Deutschland stimmt der Aussage zu, dass mobiles Arbeiten erhebliche IT-Sicherheitsprobleme verursacht, so eine Umfrage im Auftrag des TÜV-Verbandes. Die Unternehmen bestätigen in der Umfrage, dass mobiles Arbeiten die Wahrscheinlichkeit von IT-Sicherheitsvorfällen erhöht.
So stimmten 73 Prozent der Befragten der Aussage zu, dass die Anfälligkeit für Cyberangriffe steigt, wenn Endgeräte des Arbeitgebers auch privat genutzt werden. Sind die Beschäftigten mit den Geräten im heimischen oder in öffentlichen Netzwerken unterwegs, erhöht dies ebenfalls das Risiko eines Angriffs (71 Prozent). Etwas weniger als die Hälfte der Unternehmen (44 Prozent) befürchtet mehr Angriffe durch Social Engineering, weil sich die Mitarbeitenden nicht mehr persönlich kennen.
Gleichzeitig stimmt ein Drittel (33 Prozent) der befragten Unternehmen der Aussage zu, dass es schwierig ist, das Bewusstsein für Cybersicherheit bei mobil Arbeitenden aufzubauen und aufrechtzuerhalten. 23 Prozent geben an, dass es schwierig ist, den mobil arbeitenden Mitarbeitenden bei IT-Problemen zu helfen.
Doch aus Gründen des Datenschutzes und der IT-Sicherheit wird kaum jemand auf mobile Arbeit verzichten wollen. In einer Umfrage von Fraunhofer IAO berichteten knapp 90 Prozent der Befragten, dass sie mobil störungsfreier und konzentrierter arbeiten. Gut zwei Drittel gaben an, weniger unproduktive Zeiten zu haben.
Offensichtlich muss mobile Arbeit ermöglicht werden, und zwar sicher und datenschutzkonform.
Was der Datenschutz zur mobilen Arbeit sagt
Datenschutzaufsichtsbehörden mussten sich zum Beispiel damit auseinandersetzen, ob auch so sensible Daten wie die bei Finanzämtern üblichen Daten in einem Home-Office oder mobil verarbeitet werden dürfen.
Von Seiten der Datenschutzaufsicht wurde erklärt, dass der Datenschutz Telearbeit und mobiles Arbeiten nicht grundsätzlich ausschließt. Es sollte aber in jedem Einzelfall unter Berücksichtigung der Art der zu verarbeitenden Daten und ihres Verwendungszusammenhangs sorgfältig und differenziert geprüft werden, ob die Wahrnehmung der jeweiligen Aufgaben oder Tätigkeiten im Rahmen von Telearbeit und Mobilem Arbeiten datenschutzrechtlich vertretbar ist.
Das Gefahrenpotential bei der Mobilen Arbeit sei im Vergleich zur Arbeit im Büro etwas höher. Jedoch sei dieses leicht erhöhte Gefahrenpotential nach einer Gesamtabwägung aller Umstände in Kauf zu nehmen.
Eine klare gesetzliche Regelung für die datenschutzrechtliche Zulässigkeit von Telearbeit und Mobilem Arbeiten gibt es indes nicht, so die Datenschützer. Es bedarf also einer Risikoanalyse, bevor man mobile Arbeit etabliert.
Schutzmaßnahmen müssen dem Risiko entsprechend erhöht werden
Die Datenschutzaufsichtsbehörde in Hessen hat sich nun nochmals ausführlich zum Datenschutz bei mobiler Arbeit zu Wort gemeldet: Um ein datenschutzkonformes Arbeitsumfeld zu schaffen, ist der Arbeitgeber demnach zum Ergreifen besonderer technischer und organisatorischer Schutzmaßnahmen und der Arbeitnehmer zur Einhaltung besonderer Verhaltensregeln angehalten.
Bei der Bestimmung der zu ergreifenden technischen und organisatorischen Maßnahmen müsse den besonderen, mit dem mobilen Arbeiten einhergehenden Gefahren Rechnung getragen werden. Als konkrete Beispiele nennen die Datenschützer etwa die beschränkte Einwirkungs- und Kontrollmöglichkeit der Arbeitgeber (aufgrund der räumlichen Trennung) sowie die Nutzung technischer Einrichtungen außerhalb ihres Einflussbereichs (wie Gebrauch des privaten Internetanschlusses der Beschäftigten).
Zu denken sei in diesem Zusammenhang auch an die besonderen Risiken des Datenverlustes, Datenmissbrauchs oder des Zugriffs durch unbefugte Dritte, wodurch Gefahren für die Vertraulichkeit, die Integrität und die Verfügbarkeit personenbezogener Daten entstehen könnten.
Zu den besonderen technischen Schutzmaßnahmen gehören demnach eine soweit möglich betrieblich gestellte IT-Ausstattung, die Verschlüsselung von Speichermedien, Firewalls und Virenschutzprogramme und Sicherheits-Updates auf allen Endgeräten.
Mobil genutzte Endgeräte sollten aus der Ferne verwaltet oder kontrolliert werden können (Mobile Device Management). Um einen sicheren Zugriff auf die Unternehmensinfrastruktur zu gewährleisten, bedarf es sicherer, autorisierter und authentifizierter Verbindungen, wie einen über entsprechende Zertifikate abgesicherten VPN-Tunnel, die Nutzung von Cloud-Speichern, die den datenschutzrechtlichen Anforderungen genügen und eine Zugriffskontrolle für die IT-Infrastruktur des Unternehmens mittels einer Multifaktor-Authentifizierung.
Alle Geräte sowie alle weiteren Datenträger sind nach dem Stand der Technik zu verschlüsseln, der Anschluss privater Hardware (auch Drucker und Scanner) sollte verboten und soweit technisch möglich blockiert werden.
Zudem nennen die Datenschützer regelmäßige Backups, Remote-Wipe-Lösungen für den Verlustfall und eine strikte Trennung (separierte Bereiche ohne Möglichkeit der Interaktion) von privaten und beruflichen Dateien, Dokumenten und Programmen, zum Beispiel mittels einer Container-Lösung.
Wer jetzt denkt, dass dies doch keine besonders hohen Sicherheitsanforderungen sind, hat einerseits recht, doch in der Praxis finden diese Maßnahmen bei mobiler Arbeit nicht immer statt, wie die in den genannten Umfragen sichtbare Furcht vor Cyberangriffen bei mobiler Arbeit zeigt.
Offensichtlich erschwert also nicht der Datenschutz die mobile Arbeit, sondern vielfach nimmt man den Datenschutz bei der mobilen Arbeit zu leicht. Das muss sich in Zeiten von Hybrid Work aber dringend ändern.