Home-Office-Pflicht? Der Datenschutz bleibt beim Unternehmen

Die Corona-Pandemie hat weitreichende Folgen für Gesellschaft und Wirtschaftsleben. Das öffentliche Leben ist stark eingeschränkt, viele Verwaltungen begrenzen den Besucherverkehr, zahlreiche Unternehmen werden für ihre Arbeitskräfte auf das Instrument der Kurzarbeit zurückgreifen müssen. Dies fordert auch Bundesarbeitsminister Hubertus Heil.

Die Unternehmen werden alles daransetzen, zumindest in großen Teilen weiter arbeits- und handlungsfähig zu sein. Um dies zu erreichen, sowie die Gesundheit der Bediensteten zu schützen und die wirtschaftlichen Folgen für das eigene Unternehmen zu begrenzen, ordnen viele Firmenchefs für ihre Mitarbeiter die Arbeit im Home-Office an. „Diese Vorgehensweise ist nachvollziehbar. Allerdings verdient die Verlagerung der Arbeiten ins Home-Office eine genauere Betrachtung. Ansonsten wird neben dem Coronavirus auch das Home-Office zu einem unternehmerischen Problem“, empfiehlt der erfahrene Datenschutzfachmann Dr. Jörn Voßbein genaue Überlegungen und Prüfungen im Vorfeld anzustellen. „Denn neben der Gesundheit sind auch die Persönlichkeitsrechte zu schützen, welche im Datenschutzrecht verankert sind!“

Anzeige

„Aktuell werden verschiedene ‚Corona-spezifische‘ Datenschutzfragen an uns gerichtet. Ferner setzen wir uns aktuell mit organisatorischen Fragen auseinander, weil die Institutionen ihre Geschäftstäigkeiten auch in Zeiten einer drohenden Quarantäne aufrechterhalten wollen“, Dr. Voßbein weiter. „Gerade das Home-Office ist aktuell ein vieldiskutierter Lösungsansatz.“ Die Vorteile von Home-Office sind offensichtlich (losgelöst von der aktuten Situation rund um die Pandemie-Problematik): Das Arbeiten im Home-Office ermöglicht ein ungestörtes Arbeiten zu Hause nach dem persönlichen Lebensrhythmus. Es kann zu einer Integration von Beruf und Familie führen. Darüber hinaus spart das Home-Office durch weniger Fahrten zwischen Wohnung und Arbeitsstätte Kosten und Zeit, was zudem die Umwelt schonen kann. In Zeiten von Corona bietet das Home-Office außerdem den großen Vorteil, dass kein direkter sozialer Kontakt mit Kolleginnen und Kollegen besteht und somit die Ansteckungsgefahr gemindert wird.

Fünf Maßnahmen

Doch gibt es – ähnlich wie bei der Infektion mit Covid-19 – auch Gefährdungslagen beim Home-Office: So erfordert dieses Arbeiten ergänzende organisatorische Absprachen zwischen Mitarbeitern und Vorgesetzten sowie dem Arbeitgeber. So sollten Verfügbarkeitszeiten festgelegt werden. Aber auch Sicherheitsfragestellungen sind zu definieren. Neben einer grundsätzlichen Sensibilisierung im Hinblick auf Informationssicherheit und Datenschutz sollten zusätzlich Maßnahmen ergriffen und Vorgaben gemacht werden:

1. Es sollten ausschließlich firmeneigene und keine privaten Geräte (Laptops, Smartphones etc) genutzt werden. Ausnahmen sind nur dann möglich, wenn die tatsächliche Datenverarbeitung trotz privatem Endgerät auf den Firmen-Servern stattfindet (beispielsweise mittels Terminalsession).
2. Alle Unterlagen und sonstigen Datenträger mit vertraulichen Daten sind bei Nichtgebrauch und außerhalb der Arbeitszeiten in geeigneten (abschließbaren) Schränken aufzubewahren.
3. Nicht mehr benötigte Unterlagen sind zu vernichten (sofern im Home-Office keine sichere Vernichtung mittels Shredder möglich ist, sollten die Datenträger und Unterlagen sicher verwahrt und am Firmensitz vernichtet werden).
4. Sofern das heimische WLAN-Netzwerk genutzt werden soll, so sind auch hier Vorgaben zur sicheren Konfiguration zu machen.
5. Es ist klarzustellen, dass auch Familienangehörige als Firmenfremde gelten und als Unbefugte weder Laptop nutzen noch Unterlagen und Daten einsehen dürfen.

Anzeige

„Vielleicht sollte genau diese Situation auch zum Anlass genommen werden, die Mitarbeiter im Hinblick auf die Sicherheitsanforderungen wie Passwortgebrauch, Verhinderung der Einsicht von Unterlagen und Monitoren sowie der Vertraulichkeit des gesprochenen Worts bei Telefonaten noch einmal zu sensisibilisieren. Da E-Learning unabhängig von Ort und Zeit gut funktioniert, eignet sich diese Methode aktuell besonders gut“, so Dr. Voßbein weiter.

Datenschutz bei Sprachassistenten

Darüber hinaus können noch weitere datenschutzrechtliche Fragestellungen im Kontext Home-Office aufkommen. Sofern alle Mitarbeiter von zu Hause aus arbeiten und dennoch erreichbar sein sollen, so kann die Telefonanlage oftmals so programmiert werden, dass die eingehenden Telefonate direkt auf das Diensthandy des Mitarbeiters weitergeleitet werden. Dies ist datenschutzrechtlich unproblematisch. Aktuell sollen auch einige Mitarbeiter im Home-Office arbeiten, die normalerweise nicht für einen solchen Arbeitsplatz vorgesehen sind und kein Diensthandy haben. Das Hinterlegen einer privaten Telefonnummer (egal ob Mobil- oder Festnetz) ist mangels anderer Rechtsgrundlage einwilligungspflichtig. Gleiches gilt im Übrigen, wenn die private Telefonnummer für laufende Informationen des Arbeitgebers an die Mitarbeiter im Rahmen der Corona-Maßnahmen genutzt oder wenn ein privates Smartphone dafür genutzt werden soll, um eine „Soft-Token-App“ zur Absicherung des VPN-Zugangs zu installieren.

Doch auch Fragestellungen rund um den Datenschutz bei Sprachassistenten wie Alexa, Siri & Co. sind also höchstens verdrängt, aber keineswegs abschließend beantwortet. Der langjährige Datenschutzfachmann Dr. Jörn Voßbein aus Wuppertal hat den Bereich der Sprachassistenten seit langem im Blick und erklärt: „Es besteht ein starkes Spannungsfeld zwischen künstlicher Intelligenz und dem Datenschutz. Aber auch die Sicherheit der Daten von Unternehmen ist nicht gewährleistet. Deshalb ist eine besondere Sensibilität bei den Herausforderungen des Home-Office notwendig.“

Der Sprachassistent von Amazon „Alexa“ verfügt über sieben Mikrofone, die im 360 Grad-Radius angeordnet und allzeit bereit sind. Damit Alexa sofort auf die Wünsche seines Besitzers reagieren kann, muss das Gerät dauerhaft mithören. Bei direkter Ansprache „Alexa, tu dies oder mach das“ findet eine Datenübertragung an den Anbieterserver statt. Aber Pannen aus den letzten Monaten zeigen auch immer wieder, dass Gespräche oder Nebengeräusche (Bankdaten, Telefonnummern) übertragen werden, die nicht übertragen werden sollten. Dies lässt nur den Schluss zu, dass alles, was gesagt wird, in irgendeiner Form verarbeitet wird oder zumindest werden kann. Der Nutzer bleibt verunsichert mit Fragen zur Weiterverarbeitung und Speicherung der Daten zurück.

Tatsächlich befindet sich der Betroffene in einem Dschungel von Datenübermittlungen, die selbst die Datenschutz-Behörden vor erhebliche Herausforderungen stellen. Auch für Unternehmen bestehen Gefahren, wenn die Beschäftigten beispielsweise im Home-Office tätig sind. Bei vertraulichen Telefon- oder Videokonferenzen werden viele sensibilisierte Beschäftigte sicherlich Maßnahmen ergreifen, um fremde Ohren außen vor zu lassen (beispielsweise durch Schließen der Türe). Doch wird hierbei dann sicherlich häufig vergessen, dass „digitalen“ Ohren im gleichen Raum sind.

Unterzieht man diesen Befund einer Prüfung, lassen sich nachfolgende Punkte feststellen:

  • Sprachassistenten hören immer mit.
  • Alexa, Siri und Co. werden oftmals unbeabsichtigt aktiviert und senden die Daten an den Anbieterserver.
  • Es wurde nachgewiesen, dass auch Daten bei nicht aktivierten oder ausgeschalteten Geräten gesendet werden.
  • Welche Daten zu welchem Zweck erfasst werden, ist nicht wirklich nachvollziehbar.
  • Die Daten werden ganz überwiegend außerhalb der EU verarbeitet.

Für ein Unternehmen mit Sitz in der EU gilt die DSGVO immer. Es muss sicherstellen, dass diese eingehalten wird. Die Nutzung von Sprachassistenten – auch wenn die Daten im Nicht-EU-Ausland verarbeitet werden – unterliegt daher ebenfalls diesen gesetzlichen Vorgaben.

Da nicht klar ist, welche Daten vom Sprachassistenten übermittelt und in welcher Form (maschinell oder menschlich) weiterverarbeitet werden, sollte beim Thema Home-Office ein vorhandener Sprachassistent kritisch auf den Prüfstand gestellt werden. Sensible Unternehmensdaten, personenbezogene oder besonders schützenswerte Daten über Kunden oder Mitarbeiter sind nur einige Stichworte, die die Relevanz des Umgangs mit den vermeintlich hilfreichen Alltagshelferlein verdeutlichen.

„Im Home-Office sollten Sprachassistenten grundsätzlich ausgeschaltet sein oder bestenfalls entfernt werden. Die Gefahr, die von ihnen für den Datenschutz und die Sicherheit der Unternehmensinformationen ausgeht, ist nicht seriös abzuschätzen. Für Unternehmen bieten sich Maßnahmen zur Sensibilisierung der Belegschaft an. Von den politischen und administrativen Akteuren darf im Umgang mit den Anbietern der Sprachassistenten mehr Klarheit und Durchsetzungsfähigkeit erwartet werden“, unterstreicht UIMC-Geschäftsführer Dr. Jörn Voßbein.

www.uimc.de

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.