Sind Sie auf die Zusammenarbeit während einer Krise vorbereitet?

In Italien, das eine sehr intensive landesweite Quarantäne durchmachte, verzeichnete man schon früh einen viel höheren Datenverkehr im Internet. Insider gehen davon aus, dass mindestens 30 Prozent der Home-PC-Anwender Opfer von Cyber-Bedrohungen (z.B. Phishing-Angriffen) wurden. Sowohl Organisationen wie auch Privatpersonen auf der ganzen Welt sind von einer funktionierenden IT-Infrastruktur abhängig.

In den meisten Fällen hat die Gesundheit und Sicherheit der Mitarbeiterinnen, Mitarbeiter und Kunden für Unternehmen eine hohe Priorität, doch zu Hause und allein Geschäften nachzugehen kann sich auch negativ auf die Geschäftserfolge niederschlagen. Die Ermutigung der Mitarbeitenden, von zu Hause aus zu arbeiten, kann sich auf die gesamtbetriebliche Leistung, Qualität und Sicherheit auswirken.

Risiken liegen zum einen in der IT-Infrastruktur, die nicht unbedingt auf dezentrales Arbeiten vorbereitet ist. Zudem sollte auch das Personal für die neuen Anforderungen geschult sein.

Die Leistung, Zuverlässigkeit oder Sicherheit der IT-Infrastruktur ist hier ausschlaggebend.

IT-Infrastruktur für dezentrales Arbeiten

IT- und Informationsverantwortliche eines Betriebs sollten daher sicherstellen, dass die folgenden Aufgaben gelöst sind:

• Die Mitarbeitenden verfügen über die nötigen Berechtigungen, um produktiv arbeiten zu können.
• Die nötigen Lizenzen sind vorhanden und eine Multi-Faktoren-Authentisierung sorgt dafür, dass nur Berechtigte Zugriff auf die Unternehmensdaten erhalten.
• Wenn Mitarbeitende ihre privaten Geräte nutzen, sollten diese Mindeststandards hinsichtlich der Sicherheit erfüllen und über eine Schutzsoftware verfügen. Dazu gehört auch, auf dem eigenen System die aktuellsten Updates zu installieren.
• Die Mitarbeitenden sollten sensibilisiert sein und über die wichtigsten sicherheitsrelevanten Gefahren (Phishing, Malware etc.) im Bilde sein.

Anforderungen an das Personal

Das standortverteilte Arbeiten und insbesondere Homeoffice bringt auf allen Hierarchiestufen neue Herausforderungen mit sich:

• Es fehlt der schnelle, einfache und spontane Kontakt. Grundsätzlich ist der Kontakt und auch der informelle Informationsaustausch reduziert. Dadurch ergibt sich die Gefahr der Isolation.
• Die Kommunikation läuft plötzlich vor allem über elektronische Medien und Tools.
• Aufgrund der reduzierten Kontakte und des geringeren Austausches ist die Leistungsbeurteilung schwieriger.
• Die Abstimmung mit den Mitarbeitenden oder Teams ist schwieriger und oft auch aufwendiger.
• Um ein dezentrales Team erfolgreich zu führen, müssen folgende Punkte erfüllt werden:
• Ohne Gemeinschafts- bzw. Teamgefühl läuft nicht viel. Besonders in der Startphase muss daher viel Zeit in die Teambildung investiert werden.
• Strukturen bieten Orientierung: Regelmässige Meetings oder andere Termine helfen, um einerseits den Tag und die Aufgaben zu strukturieren, und andererseits, um zwischenmenschliche Kontakte zu pflegen.
• Setzen Sie klare Regeln: Innerhalb welcher Zeit muss bspw. auf Anfragen reagiert werden, welche Erwartungen bestehen bzgl. fixer Präsenzzeit? Wer rapportiert an wen, wer informiert und wer hat Zugriff auf welche Daten?

Da der informelle und schnelle Austausch eingeschränkt ist und alle dezentral arbeiten, ist zudem eine einheitliche und systematische Dokumentation der Ergebnisse wichtig.

Nicht zu vergessen ist, dass nicht alle Mitarbeitenden das gleiche technische Know-how und die entsprechenden Skills im Umgang mit digitalen Werkzeugen mitbringen. Daher ist eine Schulung der involvierten Mitarbeitenden (und auch Vorgesetzten) umso wichtiger, um allen einen guten Start in die neue Arbeitsform zu gewährleisten.

Angemessene technische und organisatorische Massnahmen

Ebenso müssen wichtige Datenschutzprinzipien weiterhin eingehalten werden. Dies kann bei Missachtung Konsequenzen nach sich ziehen.

Auch wenn der Arbeitnehmer von zu Hause aus arbeitet, so bearbeitet er dennoch Personendaten für und im Auftrag des Arbeitgebers. Der Arbeitgeber bleibt somit verantwortlich für den datenschutzkonformen Umgang mit diesen Daten. Entsprechend hat er nach Art. 7 Datenschutzgesetz (DSG) die Datensicherheit durch angemessene technische und organisatorische Massnahmen sicherzustellen.

Ist auf Ihre Tätigkeit die Datenschutz- Grundverordnung (DSGVO) anwendbar, so sieht Art. 24 Abs. 1 DSGVO dieselben Regeln vor.

Bei der Bearbeitung von Personendaten ist beispielsweise darauf zu achten, dass Familienmitglieder keine Einsicht in diese Daten erhalten – Bildschirmsperre bei Verlassen des Arbeitsplatzes gilt somit auch zu Hause. Dokumente in Papierform müssen sicher aufbewahrt werden, entweder in einem abschliessbaren Schrank oder zumindest in einem separaten, abschliessbaren Zimmer. Keinesfalls dürfen nicht mehr benötigte Akten im heimischen Altpapier landen; diese sind sicher aufzubewahren und anschliessend im Büro des Arbeitgebers gemäss interner Vorschrift zu vernichten. Sie können im Homeoffice vernichtet werden, wenn ein Aktenvernichter mit entsprechender Sicherheitsstufe verwendet wird. Für den Zugriff auf die Systeme des Arbeitgebers verwenden Sie am besten ein Virtual Private Network (VPN), um eine verschlüsselte Datenübertragung sicherzustellen.

Je nach Branche, in der Sie tätig sind, werden unterschiedliche Daten mit einem unterschiedlichen Grad an Sensibilität verarbeitet. Bei der Bearbeitung besonders schützenswerter Personendaten wie Gesundheitsdaten haben die Regeln zur Datensicherheit einen besonders hohen Stellenwert und dürfen keinesfalls vernachlässigt werden.

Um genug hohe Sicherheitsstandards zu gewährleisten, sollte der Arbeitgeber klare Nutzungsregelungen in eindeutigen geschäftlichen Richtlinien wie einer Benutzerweisung schriftlich regeln. Dadurch wissen die Angestellten, welche Massnahmen sie für ihr Homeoffice ergreifen müssen.

Tools für die digitale Zusammenarbeit

Der Datenschutzbeauftragte des Kantons Zürich hat einige der beliebtesten Instrumente für die digitale Zusammenarbeit auf ihre Datenschutzkonformität geprüft. Die Liste kann unter folgendem Link konsultiert werden: https://dsb.zh.ch/internet/datenschutzbeauftragter/ de/themen/digitale-zusammenarbeit. html

Arbeiten auf eigenen Geräten

Wenn Sie den Angestellten das Arbeiten auf dem eigenen Smartphone und/oder Laptop erlauben, sind zusätzliche Datenschutzvorkehrungen zu beachten. Dazu konsultieren Sie am besten den News-Beitrag von Swiss Infosec unter dem Titel «BYOD – Private Arbeitsgeräte im Geschäft» vom Juli 2019.

Fazit

Zusammengefasst kann festgehalten werden, dass Homeoffice durchaus datenschutzkonform ausgestaltet werden kann. Wichtig ist, dass alle Mitarbeitenden wissen, welche Massnahmen sie zu treffen haben, um die Datensicherheit zu Hause zu gewährleisten. Auch ist darauf zu achten, dass datenschutzkonforme Kommunikationskanäle gewählt werden. Grundsätzlich sind alle datenschutzrelevanten Punkte zu klären, bevor ein Arbeitgeber Homeoffice zulässt. Die jetzige ausserordentliche Lage führte wohl regelmässig zum privaten Einsatz, noch bevor die Arbeitnehmer mit den entsprechenden Vorschriften vertraut gemacht wurden. Es ist also zwingend notwendig, entsprechende Weisungen möglichst früh zu erlassen.

Gerne beantwortet die Swiss Infosec AG (Kompetenzzentrum Datenschutz) Ihre Fragen und unterstützt Sie bei der Einhaltung von spezifischen Schweizer Datenschutz- und DSGVO-Richtlinien