Home-Office – Worauf müssen Unternehmen und Mitarbeiter achten?
Juli 16, 2020 1:38 pmHaftungsrisiken aus internetrechtlicher und datenschutzrechtlicher Sicht
Arbeiten Sie auch im Home Office? Immer mehr Unternehmen bieten ihren Mitarbeitern verschiedene Möglichkeiten an, mobil zu arbeiten und mittels Fernzugriff auf die betrieblichen Daten zuzugreifen. Oft sind hierfür Cloud-Lösungen im Einsatz oder es gibt einen betrieblichen Server, der einen Daten-Zugang auch außerhalb des Unternehmensstandortes zulässt. Die Vorteile hierfür liegen auf der Hand: Für den Arbeitnehmer auf der einen Seite geht mit dem mobilen Arbeiten eine enorme Zeitersparnis einher, etwa durch den Wegfall des Arbeitsweges. Ferner besteht für ihn die Möglichkeit, von jedem Ort der Welt zu arbeiten – eine ungeahnte Freizügigkeit. Für den Arbeitgeber auf der anderen Seite ergibt sich daraus eine konstante Einsatzfähigkeit der Mitarbeiter, ohne dass diese persönlich am Arbeitsplatz sein müssen.
Gerade in der derzeitigen Lage ist das für die Unternehmen von unschätzbarem Wert. Trotz der Kontaktbeschränkungen zur Eindämmung des Coronavirus kann so in vielen Betrieben die Arbeitsfähigkeit erhalten bleiben – gerade im Bereich der Verwaltung. ‚Home-Office‘ ist das momentan präferierte Arbeitsmodell. Vielerorts wird daher versucht, im Schnellverfahren die technischen Voraussetzungen für ein Arbeiten im Home-Office beträchtlich zu erhöhen. Der Österreichische Rundfunk (ORF) beispielsweise hat binnen einer Woche insgesamt 2000 neue digitale Arbeitsplätze für Mitarbeiter im Home-Office geschaffen. Unter normalen Umständen hätte dieser Vorgang einer Planungsphase von etwa einem Jahr bedurft. Das sagte Alexander Wrabetz, Generaldirektor der Medienanstalt, in einem Radio-Interview (29.03.2020).
Dies zeigt eindrücklich, wie sehr die Unternehmen derzeit darauf bedacht sind, eine zügige Dezentralisierung der eigenen Personalkapazitäten zu erreichen. Eine Entwicklung, die sicherlich auch über die Dauer der Corona-Pandemie hinaus anhalten wird. Das Arbeiten von Zuhause aus wird bei vielen Unternehmen zum Bestandteil der Firmenkultur werden.
Home Office birgt Risiken
Doch so komfortabel Home-Office-Lösungen sowohl für Unternehmen als auch für die Mitarbeiter sein mögen, es sind auch einige Risiken damit verbunden. So entstehen durch die laufende Online-Datenübertragung verstärkt Angriffspunkte für Cyberattacken und Datenlecks.
Rechtliche Vorgaben zum Arbeiten über das Internet – IT-Sicherheit und Datenschutz
Mitarbeiter im Home-Office kommunizieren zwangsläufig über das Internet mit der IT-Infrastruktur ihres Unternehmens. Was passiert aber, wenn die so übermittelten Daten in die Hände Dritter geraten? Welche Anforderungen haben die Unternehmen und die Mitarbeiter im Einzelnen zu erfüllen, um sicher im Home-Office mit dem Server zu kommunizieren?
Richtschnur ist das 2015 in Kraft getretene IT-Sicherheitsgesetz (ITSiG), welches verschiedene bis dato bestehende Gesetze ergänzt bzw. abändert. Die wesentliche enthaltene Regelung: Jenen Unternehmen, die kritische Dienstleistungen etwa aus den Bereichen Strom- oder Wasserversorgung, Finanzen oder Ernährung erbringen, werden einige Mindestanforderungen an die eigene IT Sicherheit auferlegt. Bei deren Verletzung können Geldbußen oder Anordnungen durch die Bundesnetzagentur erfolgen. Diese Unternehmen haben Vorkehrungen zur Gewährleistung der IT-Sicherheit zu leisten, die dem aktuellen Stand der Technik entsprechen und spätestens alle zwei Jahre nachgerüstet werden müssen.
Für Unternehmen, die keine kritischen Leistungen in diesem Sinne erbringen, gelten diese Vorschriften nicht unmittelbar. Dennoch ist es sinnvoll, in Sicherheitsfragen dem aktuellen Stand der Technik zu entsprechen und regelmäßige Kontrollen sowie Aktualisierungen durchzuführen. Rechtliche Schwierigkeiten können sich nämlich nicht nur mangels Einhaltung öffentlicher Vorgaben ergeben, sondern auch aus den vertraglichen Beziehungen des Unternehmens zu Lieferanten, Kunden und weiteren Stakeholdern.
Diese Vertragsbeziehungen fallen in den Anwendungsbereich des Privatrechts. Nach privatem Recht begründen Vertragsverhältnisse immer Sonderbeziehung zwischen den Parteien, die unter anderem zur Rücksichtnahme auf die Belange des Vertragspartners verpflichten. Erhält daher ein Vertragspartner zur Erfüllung seiner Pflichten sensible Daten des anderen Partners, so hat der Verpflichtete dafür Sorge zu tragen, dass diese Daten vor dem Zugriff Dritter geschützt werden. Wird mit dieser Verpflichtung allzu sorglos umgegangen und werden Sicherheitsvorkehrungen stiefmütterlich behandelt, so entstehen hieraus nicht nur Risiken im Hinblick auf die eigene Reputation, sondern auch wirtschaftliche Bedrohungen.
Werden infolge mangelnder IT-Sicherheit etwa vertragliche Geheimhaltungsvereinbarungen gebrochen oder Geschäftsgeheimnisse im Sinne des Geschäftsgeheimnisgesetzes verletzt, können Strafen durchaus empfindlich ausfallen. Dabei sollte auch nicht außer Acht gelassen werden, dass das Unternehmen grundsätzlich auch für Fehlverhalten der Mitarbeiter haftet. Vergisst beispielsweise ein Mitarbeiter, die Verbindung mittels Virtual Private Network (VPN) zu sichern oder den Virenschutz zu aktualisieren und kommt es so zu einer Datenpanne, haftet grundsätzlich das Unternehmen gegenüber den Vertragspartnern. Ein Regress gegenüber dem Mitarbeiter ist hingegen nur dann möglich, wenn er vorsätzlich oder grob fahrlässig gehandelt hat.
Bei der Übertragung personenbezogener Daten haben Unternehmen und Mitarbeiter neben den nationalen und privatrechtlichen Vorschriften auch die Regelungen der im Mai 2018 in Kraft getretene Datenschutzgrundverordnung (DSGVO) der Europäischen Union einzuhalten. Die Übertragung, das Speichern auf einem Endgerät des Mitarbeiters und die weitere Verarbeitung haben in diesem Fall den Anforderungen der Verordnung zu entsprechen. Insbesondere sind dann geeignete technische und organisatorische Maßnahmen zum Schutz der Daten zu treffen. Wird dies missachtet, können ebenfalls Schadensersatzansprüche entstehen. Die zuständigen Datenschutzbehörden können außerdem konkrete Anordnungen zur Herstellung der Datensicherheit treffen und Bußgelder verhängen.
Mindestanforderungen an die IT-Sicherheit des Unternehmens
Unternehmen, die ihre Mitarbeiter im Home-Office beschäftigen, sollten darauf achten, dass ausreichende Sicherheitsvorkehrungen getroffen sind. Die Kommunikation der Mitarbeiter mit dem Unternehmensverband sollte mindestens über einen VPN-Tunnel gesichert sein. Grundsätzlich sollte jede Kommunikation, auch der Betrieb der eigenen Homepage, nur mittels SSL-Verschlüsselung (Secure Sockets Layer, ein hybrides Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet) betrieben werden.
Darüber hinaus sollte eine Zwei-Wege-Autorisierung unternehmensweiter Standard sein. Was bedeutet, dass eine Anmeldung mittels Benutzername und Passwort nicht mehr ausreichend ist. Zusätzlich sollte ein zufälliger Zugangscode über ein Gerät oder eine Applikation generiert werden. Dies erschwert den Zugriff Unbefugter auf die betrieblichen Daten erheblich. Ergänzend sollten die Mitarbeiter dennoch angehalten werden, starke Passwörter zu vergeben.
Auch sollte im Betrieb ein Rechtemanagement existieren, welches den Zugriff auf einzelne besonders sensible Datenbereiche nur ausgewählten Mitarbeitern erlaubt.
weitere Informationen zum Thema IT-Recht finden Sie hier