Nach und nach füllen sich die Arbeitsstätten wieder mit Leben. Viele Mitarbeiter kehren vom Homeoffice zurück ins Büro oder arbeiten dort wieder häufiger. Sowohl für den Datenschutz als auch für die IT-Sicherheit ergeben sich dadurch neue Herausforderungen und Fragen. Mareike Vogt, Datenschutzexpertin und Stefan Vollmer, CTO bei TÜV SÜD Sec-IT, erklären, worauf in beiden Themenbereichen jetzt besonders zu achten ist.
Richtiger Umgang mit Gesundheitsdaten
Um die Verbreitung des Coronavirus im Betrieb einzuschränken, überlegen viele Unternehmen, entsprechende Maßnahmen einzuleiten. Oftmals wird dabei auch über Gesundheitsprüfungen wie beispielsweise die regelmäßige pauschale Temperaturmessung nachgedacht. Doch gerade bei dieser Messung werden teilweise sensible Daten in Form von Gesundheitsdaten erhoben, welche nur entsprechend den Vorgaben der DSGVO verarbeitet werden dürfen:
„Gesundheitsdaten sind besonders schützenswert. Sie bilden meist Informationen ab, die, in den falschen Händen und unabhängig von ihrem Umfang, größere Auswirkungen für den Betroffenen haben können. Daher verbietet Artikel 9 Absatz 1 der EU DS-GVO die Verarbeitung von besonderen Kategorien personenbezogener Daten noch einmal strikt.
Allerdings weist der Gesetzgeber konkrete Ausnahmetatbestände auf, unter denen eine Verarbeitung von besonders sensiblen Daten möglich ist. Insbesondere betrifft dies die konkrete Einwilligung des Betroffenen sowie gesetzliche Anforderungen des Arbeitsrechts oder eine Verarbeitung zum Schutz lebensnotwendiger Interessen des Betroffenen oder einer anderen natürlichen Person.
Sie benötigen daher in Kombination zu einer Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO ebenso eine der Voraussetzungen des Art. 9 DSGVO zur Verarbeitung von Gesundheitsdaten. Für jede Datenerhebung benötigen Sie jedoch ebenfalls einen legitimen Zweck, der durch die Verarbeitung erfüllt wird.“, erklärt Mareike Vogt, Datenschutzexpertin bei TÜV SÜD Sec-IT.
Zwar wird eine erhöhte Temperatur als eins der häufigsten Symptome im Fall einer Infektion gehandelt, doch lässt die Körpertemperatur eines Mitarbeiters alleine meist keine Aussage über die Erkrankung an COVID-19 zu. Es stellt sich bei solch weitreichenden Maßnahme daher, neben der Rechtsgrundlage, regelmäßig bereits die Frage eines legitimen Zwecks.
Krankheitsfall bei COVID-19
Während der ersten Jahreshälfte gab es so wenige Krankmeldungen wie noch nie. Unter anderem die Techniker Krankenkasse hatte hierzu Zahlen veröffentlicht. Generell aber gibt es im Umgang mit personenbezogenen Daten im Krankheitsfall einige Fallstricke für Arbeitgeber. Vor allem, wenn die Daten aufgrund einer COVID-19-Erkrankung an die Gesundheitsämter geleitet werden müssen.
„Der Arbeitnehmer unterliegt grundsätzlich erst einmal keiner Verpflichtung, seinem Arbeitgeber den Grund einer Arbeitsunfähigkeit mitzuteilen. Durch das Infektionsschutzgesetz ist jedoch bereits der Arzt dazu verpflichtet einen Verdacht sowie eine Erkrankung an COVID-19 dem zuständigen Gesundheitsamt mitzuteilen. Dieses leitet dann weitere Maßnahmen ein und kann infolgedessen auch den Arbeitgeber des Infizierten kontaktieren.
Sollte der Arbeitgeber also durch den Arbeitnehmer oder dem Gesundheitsamt über eine Erkrankung am neuartigen Corona-Virus erfahren, sollte diese Information zunächst nicht pauschal im Unternehmen verteilt werden. Es sollte jedoch gegebenenfalls gemeinsam geklärt werden, ob dieser Mitarbeiter beispielsweise Kontakt zu Kollegen hatte und Maßnahmen im Sinne der Fürsorgepflicht des Arbeitgebers getroffen werden müssen. Dies kann beispielsweise die erneute Anordnung von Tele-Arbeit oder die Information der betroffenen Mitarbeiter über eine mögliche Infektion umfassen.“, erklärt Vogt.
Check-Liste mit Empfehlungen für eine DSGVO-konforme Datenverarbeitung
- Abklärung des Zwecks einer Verarbeitung – Wofür benötige ich diese Daten und was möchte ich mit der Verarbeitung erreichen?
- Milderes Mittel – Was möchte ich tun? Und kann ich den Zweck mit milderen Mitteln erreichen?
- Datenminimierung – Welche Daten benötige ich wirklich zur Erfüllung des Zwecks? Benötige ich ggf. wirklich besonders sensible Daten zur Erfüllung des Zwecks?
- Rechtsgrundlage vorhanden – Habe ich überhaupt eine hieb- und stichfeste Rechtsgrundlage für die Verarbeitung?
- Aufbewahrungsfrist beachten – Wenn die Verarbeitung personenbezogener Daten auf einer gesetzlichen Anforderung basiert, kann eine Aufbewahrungsfrist damit einhergehen. Wie lange muss und darf ich die Daten also aufheben?
- Datenschutzbeauftragten einbinden – Binden Sie frühzeitig Ihren Datenschutzbeauftragten beim Aufsetzen von neuen Datenverarbeitungen ein.
„Back-to Office“: Das sollte man beim Thema IT-Sicherheit wissen
Nach längerem Einsatz im Homeoffice entstehen für die IT-Infrastruktur eine ganze Reihe von Sicherheitsrisiken, wenn Mitarbeiter wieder verstärkt oder im Wechsel im Büro arbeiten. Die größte Gefahr geht dabei von den Endgeräten aus, die von den Mitarbeitern ins Büro zurückgebracht werden – egal ob es sich dabei um firmeneigene oder private Geräte handelt.
Vorsicht vor Homeoffice-Nutzerverhalten und ungesicherten Endgeräte
Mit der Rückkehr aus dem Homeoffice geht wieder ein großer Teil der Sicherheitsverantwortung an den Arbeitgeber über. Wie der Wechsel zur Tele-Arbeit, verlangt nun der Schritt zurück ins Büro, dass sich Unternehmen an neue Umstände anpassen:
„Grundsätzlich besteht die größte Gefahr darin, dass sich Mitarbeiter im Homeoffice unbemerkt Schadsoftware eingefangen haben. Diese bringen sie dann am ersten Arbeitstag unabsichtlich mit ins Büro und somit in das Firmennetzwerk.
Außerdem ist davon auszugehen, dass Mitarbeiter daheim ihrem alltäglichen Nutzungsverhalten von IT-Geräten nachgingen. Sie bedienten sich also am liebsten der Programme und Medien, welche sie auch privat nutzen. Das kann im schlimmsten Fall dazu führen, dass externe Speichermedien genutzt wurden oder Software auf den Firmenrechnern installiert wird, welche nicht vom Unternehmen freigegeben wurde“, warnt Stefan Vollmer.
„Diesen Umstand kann man teilweise als Risiko einstufen, sollte ihn aber auch als Chance begreifen. Die Nutzer gehen nämlich immer den Weg des geringsten Widerstands. So kann die selbst installierte Software als Signal verstanden werden, dass die vom Unternehmen freigegebenen Programme vielleicht nicht die nutzerfreundlichsten oder effizientesten sind. Dies kann eine Chance für die Digitalisierung und Transformation von Arbeitsabläufen sein. Natürlich muss aber stets die Risiko-Bewertung an erster Stelle stehen, um Zwischenfälle zu vermeiden.“
IT-Sicherheitscheckliste für Büro-Rückkehrer
Unternehmen sollten sich an dieser Checkliste für Bürorückkehrer orientieren.
- Schrittweise Rückkehr: Wenn alle Mitarbeiter gleichzeitig ins Büro wechseln, dann könnte das die IT-Abteilung überfordern. Ein handlungsunfähiges und überfordertes IT-Team aber birgt hohe Risiken, da im Ernstfall nicht schnell reagiert werden kann.
- Inventarisierung: Bei der Entscheidung, alle Mitarbeiter mit sofortiger Wirkung ins Homeoffice zu schicken, blieb meist keine Zeit für ein geordnetes Vorgehen. Umso wichtiger ist es jetzt, dass Geräte, welche nun wieder in die Firma zurückgebracht werden, akribisch erfasst und inventarisiert werden. Damit wäre man im Falle eines Zwischenfalles in der Lage, sehr schnell Rückschlüsse auf den Ursprung zu ziehen.
- Verpflichtender Passwortwechsel: Bei der Rückkehr sollten alle Mitarbeiter dazu angehalten werden, die Passwörter ihrer Firmenzugänge und Hardware zu ändern. Es kann nicht ausgeschlossen werden, dass im Zuge eines Phishings die Zugangsdaten gestohlen wurden und somit nun ein Zugang zum Firmennetzwerk möglich ist.
- Private IT-Geräte nicht erlauben: Zuhause wird gerne private Hardware für Geschäftszwecke genutzt. Die Gefahr besteht, dass diese Hardware nun auch ins Büro gebracht wird, um weiter, wie nun gewohnt, arbeiten zu können. Dies sollte im Zuge der zuvor angesprochenen Inventarisierung verhindert werden.
- Endpoint-Scan: Falls eine phasenweise Rückführung der Mitarbeiter ins Büro möglich ist, sollte während und nach jeder Phase ein Scan der mitgebrachten Hardware durchgeführt werden. Dies dient nicht nur der Erkennung von Schadsoftware, sondern auch der Validierung und Inventarisierung von selbst installierter Software, welche nicht zuvor vom Unternehmen freigegeben wurde.
- Patching: Bei allen Geräten, welche in das Firmennetz eingebracht werden, müssen sofort und zwingend alle Updates eingespielt werde, ohne die Möglichkeit, diese zu verschieben oder abzubrechen.
#TÜVSÜD
