Homeoffice, Videokonferenzen, Cloud

Trends für den Datenschutz

Wenn ihr eure Augen nicht gebraucht, um zu sehen, werdet ihr sie brauchen, um zu weinen.

Seit Dezember 2019 hat das Virus SARS-CoV-2 die Welt zunehmend im Griff. Auch diese Pandemie ist – wie zuletzt im Jahr 2002 - auf ein SARS-Virus zurückzuführen. Im März 2020 ist Europa der Schwerpunkt der Pandemie und ist von weitgehenden Konsequenzen betroffen: Grenzsperrungen, Einreiseverbote, Ausgangsverbote, häusliche Quarantäne und Homeoffice in den Unternehmen. Die Menschen werden nun (zeitlich begrenzt) einen erhöhten räumlichen Abstand voneinander halten müssen. All dies hat auch Auswirkungen auf den Datenschutz, weil dieser räumliche Abstand durch digitale Mittel (VPN-Zugänge, Videokonferenzen, etc.) kompensiert werden muss. Das langfristige Ergebnis wird eine konsequente Digitalisierung sein, und diese wird uns in den nächsten Jahren noch intensivster beschäftigen.

 
Digitalisierung der Unternehmen wird RAPIDE zunehmen

Digitalisierung der Unternehmen wird RAPIDE zunehmen

Die zunehmende Digitalisierung der Wirtschaft war schon immer ein Thema, aber durch die Corona-Pandemie wird dies wahrlich explosionsartig intensiviert. Im März 2020 wurden wir alle insofern um ein Jahrzehnt in die Zukunft geschleudert. Das gilt für alle Unternehmen und auch für die öffentlichen Verwaltungen. Die zunehmende Digitalisierung entspricht dem „Zeitgeist“ und wird deswegen rapide zunehmen. Insofern hat die sowieso bestehende Digitalisierung unseres (Arbeits-) Lebens nun einfach nur noch eine zusätzliche Raketen-Stufe hinzugewonnen. Die Corona-Pandemie wird sich zu einem Kollektiven Trauma entwickeln. Auch wenn sie (hoffentlich bald) überstanden sein wird, so wird die Welt nicht mehr sein wie vorher. Zukünftig werden Banken, Wirtschaftsprüfer und Berater für viele Jahre EINE ganz bestimmte Frage stellen: Wie ist Ihr Unternehmen auf elementare Krisen (Epidemie, Nuklear-Katastrophe, Stromausfall und sogar Krieg) vorbereitet? Die Antwort wird oftmals lauten: Durch konsequente Digitalisierung in all ihren Aspekten! Spätestens im März 2020 sollte eines klar geworden sein: Wer sein Unternehmen nicht (belastbar!) digitalisiert, der hat in der nächsten Krise schlechte Chancen auf wirtschaftliches Überleben. ACHTUNG: Die konsequente und belastbare Digitalisierung von Geschäftsprozessen stellt hohe Anforderungen an die IT-Sicherheit und den Datenschutz! Ihr betrieblicher Datenschutzbeauftragter unterstützt Sie bei der zukunftssicheren Investition von Zeit und Geld.

⇧ zurück

 
Herausforderung der IT-Sicherheit

Herausforderung der IT-Sicherheit

Hinsichtlich der IT-Sicherheit und der Corona-Pandemie bekommt der Artikel 32 plötzlich eine ganz andere Bedeutung: Der Verantwortliche trifft Maßnahmen, um (a) die Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen und (b) die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen. Das mit dem Artikel 32 verbundene Informations-Sicherheits-Managementsystem bekommt plötzlich eine ganz neue Bedeutung. Sämtliche Dokumentationen – sofern schon vorhanden – werden überarbeitet werden müssen. Beispiel: Verfügt Ihr Unternehmen über einen Stromgenerator, der zumindest die unternehmerische „Vitalfunktion“ im Krisenfall aufrechterhalten kann? Nein? Dann wurde möglicherweise nicht konsequent digitalisiert. Auch die Datenschutz-Folgenabschätzung in Hinblick auf den Artikel 35 bekommt eine ganz neue Perspektive. Die Risiken mangelnder Verfügbarkeit von Ressourcen-, Daten- und Personal-Verfügbarkeit werden um neue Risiko-Szenarien erweitert werden müssen.

⇧ zurück

 
Herausforderung des Datenschutzes

Herausforderung des Datenschutzes

Hinsichtlich des Datenschutzes und der Corona-Pandemie gilt: Wer bei dieser zunehmenden Digitalisierung das Thema „Datenschutz“ nicht von Anfang an einbezieht, der hat später ein Problem. Viele grundsätzliche Entscheidungen lassen sich später nicht „einfach mal“ rückgängig machen. Daher muss JETZT in der Konzeptions-Phase über den Datenschutz nachgedacht werden. Konzeptionelle Mängel im Datenschutz führen bei der Digitalisierung von Geschäftsprozessen (fast) garantiert zu Untersagungen, Bußgeldern, Beschwerden und Schadenersatzforderungen. Diesem Risiko sollte sich niemand aussetzen. An dieser Stelle ist die Benennung eines Datenschutzbeauftragten im Sinne des Artikel 37 von herausragender Bedeutung. Auch die Bedeutung eines Datenschutz-Managementsystems gemäß Artikel 5 und das Einrichten desselben wird zunehmen.

⇧ zurück

 
Mobiles Arbeiten im HomeOffice

Mobiles Arbeiten im HomeOffice

Im Zuge der Corona-Pandemie wurden in Deutschland auf einen Schlag hunderttausende Mitarbeiter ins HomeOffice geschickt. Fast alle betroffenen Unternehmen hat es „kalt erwischt“. Die Grenze zwischen betrieblichen und privaten Ressourcen weicht damit zunehmend auf. Die Beschäftigten arbeiten mitunter außerhalb des Büros (Homeoffice) bzw. mit privater Hard- und Software (BYOD).

Nicht jedes „Homeoffice“ ist auch „Telearbeit“ im Sinne des § 2 Abs. 7 Arbeitsstättenverordnung, denn bei Telearbeit muss Mobiliar und Computerhardware durch den Arbeitgeber gestellt werden (siehe Datenschutz-PRAXIS 05/2020 Seite 5-6).

Der betriebliche Gebrauch von privaten Ressourcen unterläuft alle Sicherheitsrichtlinien des Unternehmens; betroffen sind z.B. private Computer, Smartphones, Drucker, USB-Datenträger, E-Mail-Accounts, Datei-Sharing-Portale und WLAN-Hotspots. Streng genommen kann allein schon die Tatsache von unkontrolliertem BYOD eine Datenschutzverletzung darstellen (siehe Artikel 33). Das ist auch im Rahmen des Betriebsrats zu beachten, weil hier manchmal private Computer und E-Mail Accounts genutzt werden. Diese „weiche“ Pflicht gilt als erfüllt, wenn Homeoffice und BYOD zunächst einmal grundsätzlich verboten werden. Darauf aufbauend können im Einzelfall präzise formulierte Ausnahmen genehmigt werden (wer? was? wann? unter welchen Sicherheitsvorkehrungen?).

⇧ zurück

 
Videokonferenzen und Webinare

Videokonferenzen und Webinare

So wichtig der persönliche Kontakt im Geschäftsleben auch ist: Die Bedeutung von Dienstreisen und Messen wird abnehmen. Stattdessen werden Videokonferenzen und Webinare an Bedeutung gewinnen. Vermutlich wird die Videokamera am Arbeitsplatz zukünftig doch häufiger eingeschaltet, um einen kleinen Rest an „Persönlichkeit“ zu retten. Sämtliche Dienste stellen (zumindest teilweise) eine Auftragsverarbeitung gemäß Artikel 28 dar und bedürfen einer sorgfältigen Auswahl und Vertragsgestaltung. Falls diese Konferenzen in Wort und Bild aufgezeichnet werden, so sollte dies datenschutzrechtlich geprüft werden. Die aufgezeichneten Daten sollten im Verarbeitungsverzeichnis dokumentiert werden (siehe Artikel 30]

⇧ zurück

 
Daten-Fernzugriff (VPN etc.)

Daten-Fernzugriff (VPN etc.)

Der Fernzugriff auf die betrieblichen Ressourcen wird ein Dauerthema sein. Hier ist auf sichere Passwörter und auf konsequente Verschlüsselung zu achten (siehe weiter unten). Idealerweise wird eine 2-Faktor-Authentifizierung vorgesehen, damit von ausspionierten Passwörtern (bzw. systematischem Ausprobieren von Passwörtern) keine Gefahr ausgeht.

⇧ zurück

 
Tendenz zu Cloud-Diensten (Web-Mailer, Onlinespeicher und Team-Portale)

Tendenz zu Cloud-Diensten (Web-Mailer, Onlinespeicher und Team-Portale)

Die gesamte US-Software-Industrie will uns seit vielen Jahren massiv in „die Cloud“ locken. Aus Sicht von Microsoft, Google, Apple etc. sollen unsere Daten möglichst nicht mehr lokal gespeichert werden, sondern auf den Servern der Hersteller. Diese Dienste werden quasi verschenkt. Das ist verlockend! Viele Unternehmen nutzen diese Möglichkeiten und verzichten auf eine vollständige Installation von Office-Software auf den lokalen PCs. Einerseits ist dies sehr produktiv und konsequent digitalisiert. Andererseits werden personenbezogene Daten unverschlüsselt auf US-amerikanischen Servern gespeichert, und wir wissen nicht genau, was mit den Daten dort passiert. Die (vertrags-) rechtlichen Fragen sind längst nicht abschließend geklärt (beispielsweise wird die Nutzung von Google-Analytics seit Dezember 2019 als „gemeinsame Verantwortlichkeit“ angesehen. Bedenken Sie Folgendes: Sie begeben sich (fast) unwiederbringlich in die Hände dieses Anbieters. Darauf spekulieren diese Anbieter! Wenn Sie sich also heute für ein datenschutzrechtlich fragwürdiges Produkt entscheiden, dann könnten Sie dies zukünftig bitter bereuen. Planen Sie daher immer von vornherein auch eine „Exit-Strategie“.

⇧ zurück

 
Computer-Verschlüsselung (auch USB-Sticks)

Computer-Verschlüsselung (auch USB-Sticks)

Alle Computer sollten voll-verschlüsselt werden, sodass auch bei Diebstahl ein unbefugter Zugriff verhindert wird. Das gilt auch für die „großen“ ArbeitsplatzPCs, weil in Zeiten von „spontanem“ HomeOffice auch diese Rechner das Unternehmen verlassen und dann in den Wohnräumen der Beschäftigten stehen. Dies ist eine der Lehren aus der Corona-Pandemie.

Weil mitunter auch große Datenmengen ins HomeOffice transportiert werden müssen, werden USB-Datenträger eine größere Rolle spielen (die Internetverbindungen sind einfach zu langsam für viele Gigabyte an Information). Hier ist auf eine konsequente Verschlüsselung zu achten.

⇧ zurück

 
Verschlüsselung der Daten wird NOCH wichtiger

Verschlüsselung der Daten wird NOCH wichtiger

Die Daten werden immer mobiler und sind somit einer erhöhten Gefahr von Verlust und Diebstahl ausgesetzt. In vielen Fällen kann eine konsequente Verschlüsselung helfen.

⇧ zurück

 
E-Mail-Verschlüsselung

E-Mail-Verschlüsselung

Die Bedeutung von E-Mails wird noch weiter zunehmen. Viele sensible Inhalte, die bisher lokal innerhalb des Unternehmens flossen, werden nun auch über das Internet übertragen. Die wirksame Verschlüsselung wird immer wichtiger. Das gilt insbesondere für Berufsgeheimnisträger (Ärzte, Apotheker, Rechtsanwälte, Steuerberater, etc.), die der beruflichen Schweigepflicht des § 203 StGB unterliegen. Bitte denken Sie über PGP bzw. S/MIME nach! Achten Sie auch unbedingt, dass Ihr E-Mail-Server TLS beherrscht. Sie können dies bequem unter https://www.checktls.com herausfinden.

⇧ zurück

 

Sämtlicher Datenverkehr wird verschlüsselt

Welche Daten auch immer fließen: Sie müssen verschlüsselt sein. Nutzen Sie sFTP statt FTP. Nutzen Sie https://-Webseiten. Statt http://-Webseiten. Nutzen Sie POPs statt POP und SMTPs statt SMTP bzw. IMPAPs statt IMAP. Nutzen Sie WebDAV mittels SSL-Verschlüsselung. Das gilt für alles, was Sie nutzen. Wenn Sie nicht sicher sind, dass der Datenverkehr verschlüsselt ist, dann lassen Sie die Finger davon!

⇧ zurück

 
Digitale Verträge

Digitale Verträge

In einer stark digitalisierten Welt mit intensivem HomeOffice stellen sich auch Fragen zu den Unterschrifts-Prozeduren und der Rechtssicherheit von Verträgen. In vielen Unternehmen müssen Verträge ab einem bestimmten Wert von mehreren Personen unterschrieben werden. Doch wie soll dies zügig und sicher vonstattengehen, wenn die Personen im HomeOffice tätig sind? Die qualifizierte elektronische Signatur ist hier die Lösung, denn die relevanten Personen können das jeweilige Vertragsdokument im PDF-Format nacheinander digital unterschreiben. Wird hierbei auch der qualifizierte Zeitstempel genutzt, so steht auch das Datum der Unterschrift nicht zur Diskussion.

⇧ zurück

"All dies wird bald ein Thema sein. Die Unternehmer müssen sich bald nicht nur um Quartals- und Jahresergebnisse kümmern, sondern auch um die Krisenfestigkeit des ganzen Unternehmens."

Zertifizierung

logo dekra Fachkraft Datenschutz

Mitgliedschaft

logo bvd ev
logo bsb mit system

Kontakt

Externer Datenschutzbeauftragter in Hamburg
André Schombel

Harksheider Strasse 93b, 22399 Hamburg

Tel: 040-97 07 19 15
Fax: 040-97 07 19 15

Datenschutz

für Unternehmen in Hamburg, Schleswig-Holstein, Mecklenburg-Vorpommern und Niedersachsen
© 2023, André Schombel