Blog
CMS Deutschland bloggt
Aktuelle Rechtsthemen und was eine Großkanzlei sonst bewegt
23. Juni 2021
modernes Arbeiten IT-Sicherheit
Modernes Arbeiten

IT-Sicherheit und Datenschutz | Unverzichtbar bei neuen Arbeitsformen!

Lisa-Marie Niklas und Daniela Rindone SEITE DRUCKEN   SEITE SCHICKEN

Mobiles Arbeiten erhöht das Risiko eines Datenverlustes. Arbeitgeber müssen daher organisatorisch und technisch vorsorgen.

Moderne Arbeitsformen zeichnen sich insbesondere durch flexible und durch die Beschäftigten frei wählbare Arbeitsorte aus. So unterschiedlich die Arbeitsorte – etwa zu Hause im Wohnzimmer, im Park, im Café oder Schwimmbad – sind, eins haben sie doch gemeinsam: Daten und IT-Technik sind hier der unmittelbaren Kontrolle des Arbeitgebers entzogen. 

Gleichzeitig ist das Risiko eines Datenverlustes deutlich höher, als dies bei einer Tätigkeit im Büro der Fall ist. Dies kann zu erheblichen finanziellen Auswirkungen und Reputationsschäden für Unternehmen führen. Unternehmen müssen daher Maßnahmen ergreifen, um den Datenschutz und die IT-Sicherheit auch bei modernen Arbeitsformen zu gewährleisten. Unausweichlich sind in diesem Zusammenhang technische und organisatorische Maßnahmen (TOM). Insbesondere der Einsatz von IT-Security-Systemen ist zwingend. Deren Einführung muss aber – ebenso wie die TOM – rechtskonform erfolgen, damit diese auch genutzt werden können. 

Verantwortlicher für den Datenschutz ist der Arbeitgeber

Auch bei modernen Arbeitsformen und damit einer Tätigkeit außerhalb der Räumlichkeiten des Arbeitgebers gilt, dass der Arbeitgeber für den Datenschutz verantwortlich ist und auch bleibt. Auch wenn der Arbeitgeber selbstverständlich auf Unterstützung der Beschäftigten angewiesen ist und diese entsprechend unterweisen muss, ist eine Übertragung dieser Verantwortlichkeit in Bezug auf die datenschutzrechtlichen Pflichten auf die Beschäftigten, nicht möglich. Der Arbeitgeber bleibt damit verantwortlich, auch wenn er ggf. gegenüber seinen Beschäftigten arbeitsrechtliche Konsequenzen – Abmahnung oder Kündigung – ergreifen kann. Nur in absoluten Ausnahmefällen, sog. Exzessen, kommt eine Haftung des Beschäftigten in Betracht. 

Es ist mithin Sache des Arbeitgebers, durch TOM ein angemessenes Schutzniveau für die verarbeiteten personenbezogenen Daten zu gewährleisten. Dabei sind insbesondere die Risiken zu berücksichtigen, die – unbeabsichtigt oder unrechtmäßig – durch Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von personenbezogenen Daten bestehen. 

IT-Systeme als Grundlage für modernes Arbeiten

Darüber hinaus ist zu beachten, dass New Work nur mit Hilfe von IT-Systemen überhaupt erst möglich ist. Denn nur mit Hilfe von diversen Systemen können die Beschäftigten unabhängig von Zeit und Ort auf die erforderlichen Daten und Systeme sowie ihre E-Mails zugreifen. Persönliche Kommunikation mit Kunden und Kollegen in Echtzeit ohne Videokonferenzen ist inzwischen undenkbar geworden. Dies gilt auch mit Blick auf die Arbeitszeiterfassungsthematik, die bei modernem Arbeiten effektiv und sinnvoll eigentlich nur noch mit Hilfe von Apps bzw. IT-Tools erfolgen kann.

Deutlich gesteigertes Risiko von Cyber-Angriffen bei mobiler Tätigkeit

Die Tätigkeit außerhalb der Büroräume kann das Risiko für Datenverlust und sonstige Datenschutzverstöße erheblich erhöhen. Denn insbesondere sind die hierbei verwendeten Netzwerke in der Regel nicht so gut gesichert, wie dies in den Räumen der Unternehmen der Fall ist. Dies erleichtert den Zugriff für Hacker. Cyber-Kriminelle scheinen dies sogar bewusst auszunutzen und in ihren Aktivitäten offenbar durch die Corona-Pandemie geradezu „beflügelt“ worden zu sein. So sind laut der vierten Ausgabe des Phishing and Fraud Reports von F5 Labs allein die Phishing-Vorfälle in nur einem Monat, namentlich im November 2020, im Vergleich zum Jahresdurchschnitt um 220 (!) Prozent gestiegen. Aber auch Malware – etwa Trojaner, Spyware und Ransomware – sowie Viren werden von Cyber-Kriminellen vermehrt in den Umlauf gebracht. 

Dass gerade derartige Cyber-Angriffe für Unternehmen eine ernstzunehmende Gefahr sind, zeigt sich auch daran, dass laut einem Bericht der ZDNet in den letzten Jahren eine neue „Hacker-Industrie“ entsteht. Dabei spezialisieren sich einzelne Hacker-Gruppen – die häufig in Russland und China beheimatet sind – auf bestimmte Angriffstypen und bieten diese ihren Kunden an. Die Kunden der Hacker können sich so je nach Bedarf und Ziel die Services zielgerichtet zusammenstellen. 

Attacken durch die Verwendung künstlicher Intelligenz (KI) nehmen dabei stark zu. Dem Bericht der ZDNet zufolge sind die Angriffe nicht zuletzt deshalb mittlerweile deutlich erfolgreicher geworden. Allein ein einzelnes Unternehmen registrierte danach im Jahr 2019 – d.h. bereits vor der Corona-Pandemie und dem damit einhergehenden Zuwachs an Cyber-Kriminalität – bis zu 46 Millionen Cyber-Angriffe pro Tag! Dass derartige Cyber-Angriffe – neben den damit einhergehenden Reputationsschäden, die erst kürzlich wieder durch die beiden Datenlecks bei Facebook und Linked.in deutlich wurden – mit immensen Kosten für die betroffenen Unternehmen verbunden sein können, zeigt beispielsweise die NotPetya-Lösegeldkampagne. Sie kostete das Unternehmen Merck allein in einem Quartal mehr als USD 300 Millionen. Ein vergleichbarer Schaden würde für eine Reihe anderer Unternehmen vermutlich das Ende der Geschäftstätigkeit und damit den Arbeitsplatzverlust für sämtliche Beschäftigten bedeuten.

Risiko von Datenverlust bei mobiler Arbeit ebenfalls deutlich erhöht 

Auch das Risiko, dass die Beschäftigten ihre Geräte – Laptop, Handy, Convertible oder Tablet – und Unterlagen – egal ob im Ausdruck oder auf einem Speichermedium – verlieren oder diese ihnen gestohlen werden, ist außerhalb des Büros deutlich erhöht. Hinzu kommt die Zugriffsmöglichkeit durch anwesende Dritte – etwa Familienangehörige –, die im Büro nicht oder nur sehr eingeschränkt besteht. 

Fest steht damit: Die verarbeiteten personenbezogenen Daten sind bei modernen Arbeitsformen einem deutlich höheren Risiko ausgesetzt als dies bei der klassischen bzw. ausschließlichen Bürotätigkeit der Fall ist oder war.

Organisatorische Maßnahmen zum Schutz der Daten von Kunden und Beschäftigten einführen

Unternehmen sind daher gut beraten, die erforderlichen organisatorischen Schritte zum Schutz vor möglichen Datenschutzverstößen zu ergreifen. Diese können insbesondere in folgenden Maßnahmen bestehen:

  • Erstellung einer Richtlinie zur mobilen Arbeit;

    Tipp: Wird diese als Zusatz zum Arbeitsvertrag vereinbart oder als Betriebsvereinbarung ausgestaltet, besteht die Möglichkeit, dass der Arbeitgeber sich bei etwaigen Verstößen organisatorisch exkulpieren kann. Zudem werden hierdurch die Beschäftigten für mögliche Gefahren sensibilisiert. 

  • Festlegung eines Zugriffskonzepts;
  • schriftliche Verpflichtung der Beschäftigten, personenbezogene Daten auch bei mobiler Arbeit zu schützen;
  • Schulung der Beschäftigten zu den datenschutzrechtlichen Gefahren mobiler Arbeit inkl. der erforderlichen Handlungen bei einem Datenschutzverstoß;
  • Anweisung zur Entsorgung von Papierunterlagen ausschließlich im Büro;
  • Sicherstellung der Erreichbarkeit des IT-Supports / Datenschutzbeauftragten auch von außerhalb des Büros;
  • Erstellung eines Notfallplans für den Fall, dass es doch zu einem Datenschutzverstoß kommt.

Hilfreich hierbei ist der „Selbst-Check“ des bayerischen Landesamts für Datenschutzaufsicht (Stand: Juli 2020).

Technische Maßnahmen ergreifen

Weiter müssen die Unternehmen auch technische Maßnahmen ergreifen, um IT -Sicherheit und Datenschutz zu gewährleisten. Diese können insbesondere wie folgt aussehen:

  • Ermöglichung mobiler Arbeit ausschließlich auf dienstlichen Geräten (d.h. keine BYOD-Policy) und Zurverfügungstellen von Speichermedien / Cloud zum Abspeichern dienstlicher Daten;
  • Zugriffsberechtigung nur unter Nutzung eines verschlüsselten Virtual Private Network (VPN) oder mittels einer sonstigen Zugriffskontrolle;
  • Ggf. Sperrung gewisser Anwendungen / Seiten / Dienste (wie zum Beispiel WhatsApp, Cloud-Dienste mit Servern in USA);
  • Festlegung und Bereitstellung der zu verwendenden Videokonferenzsysteme;
  • Verhinderung des Ausdrucks / der Vervielfältigung sensitiver Dokumente durch entsprechende technische Einrichtungen.

Einsatz von IT-Security-Systemen kann Cyber-Angriffe frühestmöglich abwehren

Besonders hervorzuheben ist hierbei auch die Einführung und Nutzung intelligenter Lösungen, die Cyber-Angriffe mit Hilfe von KI so früh wie möglich erkennen und damit verhindern können.

Bei Datenschutz und Datensicherheit gilt: Auch der Betriebsrat muss mit ins Boot

Die Umsetzung der TOM ist aber nur mit der ordnungsgemäßen Einbindung eines bestehenden Betriebsrats möglich. Dies gilt insbesondere für die technischen Maßnahmen, wie die Einführung von IT-Security-Systemen. Das Betriebsverfassungsgesetz (BetrVG) sieht ein zwingendes Mitbestimmungsrecht insbesondere dann vor, wenn mit Hilfe von technischen Einrichtungen das Verhalten oder die Leistung der Beschäftigten überwacht werden kann (§ 87 Abs. 1 Nr. 6 BetrVG). 

IT-Security-Systeme nehmen eine detaillierte Überwachung von Benutzeraktionen, Verhalten und Kommunikation vor, um hierdurch ungewöhnliche bzw. abnormale Aktionen, Verhalten oder Kommunikation zu erkennen. Sie ermöglichen zudem durch das sog. „hunting“ konkrete Auswertungen, die – je nach dem eingesetzten System – bis hin zum Titel eines von einem konkreten Mitarbeiter bearbeiteten Dokuments bzw. Betreff einer E-Mail reichen können. Dass dies die Möglichkeit der Überwachung von Leistung oder Verhalten der Beschäftigten ermöglicht, steht außer Frage. Ob dies die Absicht des Unternehmens ist, ist nicht entscheidend. Allein die technische Möglichkeit hierzu reicht für die Mitbestimmungsrechte aus. 

Auch der Entwurf eines Betriebsrätemodernisierungsgesetzes (vormals Betriebsrätestärkungsgesetz) ist hierbei zu beachten. Denn bei der Einführung und Nutzung von IT-Security-Systemen geht es jeweils auch um die Anwendung von KI. Sollte das Gesetz so verabschiedet werden, würde dies dazu führen, dass der Betriebsrat bei der Einführung derartiger IT-Security-Systeme einen Sachverständigen hinzuziehen kann, ohne dass es auf die Erforderlichkeit im Einzelfall ankäme.

Transparent sein und frühzeitig starten

Fest steht, dass Betriebsräte aufgrund der umfassenden Überwachungsmöglichkeiten derartigen IT-Security-Systemen in der Praxis häufig erst einmal skeptisch gegenüber stehen. Es ist damit von maßgeblicher Bedeutung für das Gelingen der Einführung und damit für die Umsetzung des Datenschutzes und der IT-Sicherheit, den Betriebsrat frühzeitig einzubinden und das System sowie den dahinterliegenden Prozess transparent zu machen. Hierzu bietet sich etwa eine „live-Vorführung“ des Systems an. 

Wichtig ist, den Betriebsrat ins Boot zu holen, das heißt von der Notwendigkeit des Einsatzes der IT-Security-Systeme zu überzeugen. Hierfür sollten in jedem Fall auch die im Unternehmen für den Datenschutz zuständigen Personen sowie Datenschutzrechtler von Anfang an beteiligt werden. Die hierfür und für die sich anschließenden Verhandlungen mit dem Betriebsrat erforderliche Zeit muss zwingend eingeplant werden. Dann gelingt in der Regel das Projekt Datenschutz und IT-Sicherheit, auch bei modernen Arbeitsformen. 

In unserer Blog-Serie „Modernes Arbeiten“ zeigen wir die Hintergründe für den Wandel der Arbeitswelt auf. Den Beginn macht das Work-Life-Blending, gefolgt von der Arbeitszeiterfassung sowie der IT-Sicherheit und Datenschutz.

Tags: Betriebsrat Datenschutz Homeoffice IT-Security-System IT-Sicherheit modernes Arbeiten


Lisa-Marie Niklas

weitere Artikel der Autorin
Avatar-Foto

Daniela Rindone

weitere Artikel der Autorin
Autor:innenprofil
nach oben
© CMS Hasche Sigle 2024