Im Blickpunkt: Geschäftsgeheimnis- und Datenschutz

Beitrag als PDF (Download)

Seit dem 27.01.2021 unterliegen Unternehmen in Deutschland wegen der Corona-Arbeitsschutzverordnung einer Homeofficepflicht. Damit wird vorgeschrieben, dass Unternehmen ihren Mitarbeitern ermöglichen müssen, aus dem Homeoffice zu arbeiten. Nicht nochmals explizit geregelt ist, dass Unternehmen besondere Schutzmaßnahmen bei dem Umgang mit sensiblen Daten und Geschäftsgeheimnissen auch im Homeoffice vorsehen müssen. Tatsächlich müssen Unternehmen dies aber dennoch – ansonsten lauern Bußgeld- und Haftungsgefahren.

Daten- und Geheimnisschutz im Homeoffice
Seien es Kunden- oder Mitarbeiterdaten, Innovations­ideen oder Vertriebsstrategien – Mitarbeiter arbeiten täglich mit einer Vielzahl von sensiblen Daten und Geschäftsgeheimnissen. Am Arbeitsplatz im Unternehmen sind solche Daten und Geschäftsgeheimnisse oft durch Zugangsbeschränkungen, eine gesicherte IT und überprüfbare Verhaltensregeln geschützt.

Bei vielen Unternehmen ist die Möglichkeit der Arbeit aus dem Homeoffice noch keine geübte Praxis. Nicht selten ist es schon eine Mammutaufgabe, durch die Zurverfügungstellung der Infrastruktur überhaupt erst die Voraussetzungen zur Arbeit aus dem Homeoffice zu schaffen. Dabei wird leicht übersehen, dass im Homeoffice besondere Risiken beim Umgang mit sensiblen Daten und Geschäftsgeheimnissen bestehen. Im Homeoffice können Telefonate leichter von unbefugten Dritten mitgehört werden. Vertrauliche Papierdokumente liegen offen einsehbar im Homeoffice und werden vielleicht nicht rechtskonform entsorgt. Die IT-Umgebung ist anfälliger für Cyberangriffe, und Daten werden auf Datenträgern zwischen dem Homeoffice und dem Büro hin- und hertransportiert.
Folglich besteht im Homeoffice ein höheres Risiko, dass es zu einer meldepflichtigen Datenschutzverletzung oder einem bußgeldbewehrten Datenschutzverstoß kommt. Auch besteht eine größere Gefahr, dass Geschäftsgeheimnisse von Geschäftspartnern an Dritte gelangen und das Unternehmen deshalb auf Schadensersatz haftet. Auch die eigenen Geschäftsgeheimnisse sind gefährdet. Gelangen diese nach außen, geht schnell ein Wettbewerbsvorteil verloren und es entsteht dem Unternehmen ein wirtschaftlicher Schaden. Um diese Risiken im Homeoffice zu minimieren, sollten Unternehmen besondere Schutzmaßnahmen für die Arbeit im Homeoffice vorsehen und implementieren.

Schutzmaßnahmen auf drei Ebenen
Um sensible Daten und Geschäftsgeheimnisse im Homeoffice angemessen zu schützen, kommen Schutzmaßnahmen insbesondere auf drei Ebenen in Betracht:

  • Auf rechtlicher Ebene sollten Unternehmen, unter anderem, arbeitsvertragliche Regelungen oder gegebenenfalls eine Betriebsvereinbarung vorsehen, die zu erhöhter Sorgfalt bei der Arbeit aus dem Homeoffice verpflichten. Dabei ist es sinnvoll, konkrete Pflichten wie das gesicherte Verwahren von vertraulichen Papierdokumenten vorzusehen. Entsprechende Pflichten sollten vertraglich auch an Dritte weitergegeben werden. Mit Dienstleistern sollten die erforderlichen Datenschutzvereinbarungen geschlossen werden.
  • Die organisatorische Ebene umfasst konkrete Arbeitsanweisungen zum Verhalten im Homeoffice. Diese beinhalten insbesondere eine Clean Desk Policy, die Pflicht, beim Verlassen des Homeofficeplatzes den Computer zu sperren, Regelungen zur sicheren Aufbewahrung von Dokumenten und zur Dokumentenentsorgung, Schutzmaßnahmen bei Videokonferenzen und die Festlegung eines Zugriffs- und Berechtigungskonzepts.
  • Auf technischer Ebene ist es beispielsweise sinnvoll, eine Remotewartung und ständige Aktualisierung der IT-Systeme vorzusehen. Datenträger sollten automatisch verschlüsselt werden. Es sollten technische Beschränkungen des Zugriffs auf und der Druckbarkeit von Dokumenten oder der Nutzung externer Datenträger eingerichtet werden. Auch ist die Vorgabe eines starken Passwortschutzes, gegebenenfalls einer Zwei-Faktor-Authentifizierung, sinnvoll.

Dabei gibt es allerdings keine allgemeingültige Lösung. Damit ein angemessener Schutz besteht, sind die Schutzmaßnahmen auf die konkret im Homeoffice verwendeten Daten und Geschäftsgeheimnisse und deren Risikolage abzustimmen. Nur auf diese Weise können die beschriebenen Bußgeld- und Haftungsgefahren minimiert werden.

Einführung eines Homeoffice-Schutzkonzepts
Es wäre sicherlich zu viel verlangt, würde man fordern, dass Unternehmen für jedes sensible Datum und jedes Geschäftsgeheimnis konkrete Schutzmaßnahmen individuell vorsehen müssten. Aufgrund des Umfangs wäre dies schon tatsächlich nicht möglich. Um dieses Problem praktisch in den Griff zu bekommen und zur Vermeidung eines nicht mehr stemmbaren Aufwands sollten Unternehmen in drei Schritten ein Homeoffice-Schutzkonzept ausarbeiten und implementieren.

  • Bestandsaufnahme und Kategorisierung: Zunächst sind die im Unternehmen vorhandenen sensiblen Daten und Geschäftsgeheimnisse möglichst umfangreich im Rahmen einer Bestandsaufnahme zu erfassen. Zu der Bestandsaufnahme gehört auch eine Kategorisierung nach Wichtigkeit und bestehender Risikolage. Etwaige bereits bestehende Schutzmaßnahmen sind im Wege einer Gap-Analyse auf Anpassungs- und Ergänzungsbedarf zu überprüfen.
  • Erstellung und Implementierung eines Schutzkonzepts: Gemessen an der jeweiligen Kategorie, also insbesondere der Art der Daten und der Risikolage, ist ein passendes Bündel an Schutzmaßnahmen auszuarbeiten. Die Kategorisierung und die für jede Kategorie vorgesehenen Maßnahmenbündel stellen das Homeoffice-Schutzkonzept dar. Dieses ist bestmöglich umzusetzen.
  • Check-up: Insbesondere rechtliche und technische Anforderungen an angemessene Schutzmaßnahmen ändern sich stetig. Aus diesem Grund sollte eine regelmäßige Überprüfung und Aktualisierung des Schutzkonzepts vorgenommen werden. Nur so kann sichergestellt werden, dass das Schutzkonzept aktuell bleibt und dem Stand der Technik entspricht. Dabei sollten die Abstände zwischen den Überprüfungen nicht zu groß gewählt werden. Beispielsweise könnte eine halbjährliche Überprüfung sinnvoll und angemessen sein.

Fazit
Auch nach Ende der Pandemie wird der Anteil der Arbeit im Homeoffice weiterhin hoch bleiben. Unternehmen sollten daher ein umfassendes und schlüssiges Homeoffice-Schutzkonzept entwickeln und implementieren, um die beschriebenen Haftungs- und Bußgeldrisiken zu minimieren. Hinzu kommt ein weiterer wichtiger Faktor: Durch regelmäßige Schulungen, Informationsschreiben und individuelle Hinweise sollten Unternehmen das nötige Bewusstsein bei den Mitarbeitern für erhöhte Sicherheitsmaßnahmen beim Daten- und Geheimnisschutz (auch) im Homeoffice schaffen. Gerade weil die Arbeit aus dem Homeoffice nicht in der kontrollierten Unternehmenssphäre stattfindet, ist es umso wichtiger, ein solches Bewusstsein zu schaffen.

michael.kraus@cms-hs.com

alexander.leister@cms-hs.com

Aktuelle Beiträge