Nicht nur personenbezogene Daten brauchen Schutz – gerade im Homeoffice!
Homeoffice ist für uns mittlerweile normal geworden. Doch mit der Arbeit außerhalb des Firmennetzwerkes sind zahlreiche Datenrisiken verbunden, alleine schon deshalb, weil die zentralen Sicherheitsmaßnahmen, die ein Unternehmen ergriffen hat, nicht ohne weiteres an den verteilten Standorten für Schutz sorgen. Das gilt vor allem für Datenspeicherung und Datentransfer.
Datenschutz gilt auch im Homeoffice
Die Datenschutzbehörden haben deshalb zahlreiche Hinweise gegeben, wie der Datenschutz im Homeoffice organisiert werden soll. So sagt zum Beispiel die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen: Bei der Festlegung, was im Homeoffice bearbeitet werden darf und was nicht, obliegt es dem/der Verantwortlichen, Art, Umfang, Umstände und Zwecke der jeweiligen Verarbeitung festzulegen.
Unter Berücksichtigung dieser Voraussetzungen müssen in einer Risikoanalyse die Gefährdungen für die Rechte der Betroffenen, die jeweilige Schadenshöhe und die Eintrittswahrscheinlichkeit untersucht werden. Auf Grundlage des ermittelten Risikowertes, in Abwägung mit den Implementierungskosten und unter Berücksichtigung des Standes der Technik, muss der/die Verantwortliche schließlich wirksame und angemessene technische und organisatorische Maßnahmen (TOM) festlegen und implementieren.
Personenbezogene Daten müssen geschützt werden
Diese müssen den Schutz der Verarbeitung gewährleisten, indem sie die Risiken auf ein vertretbares Maß reduzieren. Es müssen also in jedem Fall vor dem Beginn der Tätigkeit im Homeoffice die dem Risiko, der Arbeitssituation und dem Verarbeitungskontext entsprechenden Prüfschritte absolviert und Vorarbeiten geleistet werden. Wurde die Telearbeit beziehungsweise das mobile Arbeiten neu eingeführt, sollten Regelungen zu Datenschutz und Datensicherheit im Homeoffice getroffen und diese den Beschäftigten verständlich und nachvollziehbar erläutert werden.
Bekanntlich dreht es sich im Datenschutz um die Gewährleistung einer rechtskonformen Verarbeitung und Übermittlung personenbezogener Daten. Bei der Festlegung von Maßnahmen im Datenschutz müssen deshalb zuerst die zu schützenden personenbezogenen Daten identifiziert und klassifiziert werden, um den Schutzbedarf zu ermitteln. Besonders zu schützen sind nach Artikel 9 Datenschutz-Grundverordnung (DSGVO) zum Beispiel Gesundheitsdaten.
Was für Daten ohne Personenbezug gilt
Natürlich gibt es auch Daten ohne Personenbezug, bei denen die Vertraulichkeit, Integrität und Verfügbarkeit sichergestellt sein muss. Als Unternehmen denkt man dabei an alle Daten, die für die Produktivität und den Geschäftserfolg wichtig sind und an Betriebsgeheimnisse oder Geschäftsgeheimnisse.
Im Vergleich zum Datenschutz werden jedoch die rechtlichen Vorgaben im Bereich Geschäftsgeheimnisse wenig diskutiert, zu Unrecht. Tatsächlich ist es so, dass ein Geschäftsgeheimnis ohne Schutzmaßnahmen rechtlich gar nicht existiert, anders als bei den personenbezogenen Daten.
So besagt das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG): Im Sinne dieses Gesetzes ist ein Geschäftsgeheimnis eine Information
- die weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne Weiteres zugänglich ist und daher von wirtschaftlichem Wert ist und
- die Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist und
- bei der ein berechtigtes Interesse an der Geheimhaltung besteht.
Insbesondere bedeutet das, dass derjenige, der sich auf das Vorliegen eines Geschäftsgeheimnisses beruft, zusätzlich nachweisen muss, dass er angemessene Schutzmaßnahmen für die in Frage kommenden Informationen, zum Beispiel in Form von Schutzkonzepten, getroffen hat.
Ohne Schutz kein Geschäftsgeheimnis, auch im Homeoffice
Wenn man also Schutzmaßnahmen nicht nachweisen kann, kann man auch den rechtlichen Schutz von Geschäftsgeheimnissen nicht für sich in Anspruch nehmen, darunter Beseitigung und Unterlassung, Vernichtung, Herausgabe, Rückruf, Entfernung und Rücknahme vom Markt durch denjenigen, der sich des Geschäftsgeheimnisses unerlaubt bemächtigt hat.
Was aber hat dies mit den Schutzmaßnahmen im Home-Office zu tun? Sehr viel, wie ein aktuelles Urteil unterstreicht.
So hat das LAG Düsseldorf (Landesarbeitsgericht Düsseldorf, Urteil vom 03.06.2020 – Az.: 12 SaGa 4/20) entschieden: Bei privaten Aufzeichnungen eines Arbeitnehmers über Kundenbesuche und Kundendaten handelt es sich ebenso um Geschäftsgeheimnisse wie bei Kundenlisten mit Kundendaten und Absatzmengen. Dieses setzt dabei angemessene Geheimhaltungsmaßnahmen voraus. Ohne solche Maßnahmen fehlt es am Geschäftsgeheimnis und es besteht kein Unterlassungsanspruch.
Das bedeutet: Sind vertrauliche Daten zum Beispiel im Homeoffice eines Mitarbeiters oder einer Mitarbeiterin unzureichend geschützt, handelt es sich bei diesen Daten um keine Geschäftsgeheimnisse, mit massiven, rechtlichen Folgen, wie oben bereits betrachtet.
Geschäftsgeheimnisse bei Remote Work
Wenn Unternehmen somit Geschäftsgeheimnisse schaffen wollen, indem sie die entsprechenden Daten schützen, , so müssen diese Maßnahmen auch für Remote Work und auch im Home-Office gelten und greifen.
Bei kurzfristigem Wechsel auf mobiles Arbeiten fehlen normalerweise VPN und Firewalls. Sensible Daten werden dann gerne einfach per Mail ausgetauscht – unverschlüsselt. Für Cyberkriminelle leichte Beute und überhaupt nicht im Sinne der DSGVO. Große Dateien erschweren den Datentransfer zusätzlich: Clouddienste wie WeTransfer, Google Drive oder Dropbox bieten bzgl. Datenschutz keine sicheren Standards und haben ihre Server- oder Unternehmensstandorte in den USA. Hier empfiehlt es sich auf sichere Datentransferlösungen, wie FTAPI zurückzugreifen, die Ende-zu-Ende-Verschlüsselung und das Versenden von unbegrenzt großen Dateien ermöglichen.
Auch falls VPN-Verbindungen vorhanden sind, sind diese beim Zugriff auf große Dateien meist sehr langsam und bremsen den Workflow. Virtuelle Datenräume sind hier eine sinnvolle Alternative. Als Projektraum genutzt bieten diese eine hochsichere Zusammenarbeits- und Austauschplattform für alle sensiblen Daten.