8.04.2020 |
In Krisenzeiten wie der aktuellen, mit Kontaktsperren und Social-Distancing, muss sich jede Unternehmensleitung unter anderem schnell überlegen:
- Wie sichere ich mein Geschäft ab?
- Wie sichere ich meine Mitarbeiter*innen (im Folgenden zur sprachlichen Vereinfachung nur Mitarbeiter genannt) gegen Infektionen und deren Konsequenzen (Quarantäne, Schließung des Standortes, gestörte Betriebsabläufe) ab?
Hier gibt es einige Möglichkeiten, Risiken zu reduzieren, z.B.:
- Schichtarbeit im Büro einführen – morgens arbeitet der eine Teil der Mitarbeiter, dann Büroreinigung und nachmittags arbeitet die andere Hälfte.
- Einführung von Kurzarbeit für die meisten und nur wenige Mitarbeiter sichern den Restgeschäftsbetrieb ab.
- Möglichst viele Mitarbeiter arbeiten von zu Hause aus und nur die absolut notwendigen Mitarbeiter vor Ort im Office.
Die letzte Lösung bietet sich an, weil sie scheinbar einfach und schnell zu implementieren ist und das gesundheitliche Ansteckungsrisiko in betrieblichem Umfeld deutlich reduziert wird. Zuerst ist dabei die arbeitsrechtliche Seite zu prüfen. Gibt der Arbeitsvertrag es her. Wie werden die Arbeitszeit-Regelungen eingehalten und nachweislich sichergestellt. Dann ist da eventuell auch ein Betriebsrat, der ein Mitbestimmungsrecht hat, z.B. bei Arbeitszeit, Gesundheitsschutz oder den Unfallverhütungsvorschriften. Hier möchte ich aber nicht weiter darauf eingehen. Siehe hierzu die Ausführungen von Prof. Dr. Oliver Ricken auf Haufe.de[1].
Den Rest muss dann nur noch die IT machen! Die meisten haben einen Internetanschluss zu Hause sowie einen PC, Laptop oder ein Tablet. Ansonsten nehmen die Mitarbeiter einfach ihren Office-PC mit. Der „mobile“ Arbeitsplatz wird plötzlich zur Normalität: Immer mehr Unternehmen schicken ihre Mitarbeiter nach Hause und von dort sollen sie Teile ihrer beruflichen Tätigkeit erledigen. Diese sogenannte „Telearbeit“ oder neudeutsch „Home-Office“ hat aber ihre Tücken in der genutzten Technik, den Leitungskapazitäten (Bandbreiten), der IT-Security und den Compliance-Anforderungen. Und dann gilt es noch, die eigenen Geschäftsgeheimnisse zu schützen und die Anforderungen an den Datenschutz zu beachten.
Insbesondere für die letzten beiden Themen ist es existenziell, die IT-Security bzw. Informationssicherheit im Auge zu behalten und vorher zu prüfen. Sonst tauscht man schnell das Risiko der Quarantäne der Mitarbeiter gegen die Quarantäne der Rechner-Landschaft durch Ransomware aus.
Dabei ist eine der ersten und wichtigsten Kriterien: Arbeitet der Mitarbeiter zu Hause auf eigenem Rechner oder wird der Rechner oder der Laptop vom Unternehmen gestellt? In jedem Fall sollten für die Arbeit außerhalb der Geschäftsräume eindeutige und transparente Regeln aufgestellt sein, um die Rechte und Pflichten beider Seiten klarzustellen. Dies betrifft insbesondere den einzuhaltenden Datenschutz und Vorgaben zur Informationssicherheit – egal wo und auf welchem Endgerät die Mitarbeiter tätig werden.
Richtlinie zum Arbeiten im Home-Office
Wenn Sie noch keine Richtlinie für die Tele-Arbeit bzw. Arbeit im Home-Office haben, ist jetzt der Zeitpunkt, eine zu entwickeln und nachweislich zu kommunizieren. Es darf niemand hinterher sagen können, „…das hat mir aber keiner gesagt“.
Regeln Sie Themen wie
- Datensicherheit im Home-Office (Geheimhaltungspflichten)
- Informationspflichten an den Arbeitgeber (Arbeitgeber unverzüglich über alle relevanten Umstände zu informieren)
- Speicherung von privaten Daten auf betrieblichen Rechnern
- Arbeiten über Fern-Verbindung zum Unternehmens-Netzwerk (Zugang zum Netzwerk von außerhalb darf nur über starke Sicherheitsmechanismen, Nutzung von WLANs nur mit mindestens WPA2-Verschlüsselung erfolgen)
- Arbeiten mit privaten Geräten (u.a. Zugriff des Unternehmens auf private Rechner)
- Nutzung von mobilen Wechselmedien (USB-Sticks nur im Notfall und für den temporären Transport, keine personenbezogenen Daten)
- Back-up von Home-Office-Endgeräten (z.B. kein Back-up auf privaten Geräten)
- Download von Apps aus dem App-Store
- Einschränkung von Software-Installationen
- Haftung des Arbeitgebers (Haftungsausschluss für Verlust, Schäden oder Folgeschäden)
- Sowie unternehmensspezifische Regelungen
Geschäfts-PC oder -Laptop im Home-Office
Im Idealfall sollte Ihr Mitarbeiter nicht mit einem privaten PC oder Laptop arbeiten. Stellen Sie Ihren Mitarbeitern für das Home-Office einen eigenen Arbeitscomputer zur Verfügung.
- Verschlüsseln Sie die Festplatten: Im Fall von Diebstählen sind Sie so auf der sicheren Seite.
- Privates und Berufliches gehören nicht zusammen: Der Arbeitnehmer sollte die Home-Office Hardware nicht für private Zwecke nutzen.
- Familienmitglieder und andere Personen aus dem Haushalt des Arbeitnehmers sollten keinen Zugriff auf den Rechner haben.
- Verpflichten Sie Ihre Mitarbeiter, sichere Passwörter zu verwenden.
- Die Software des Rechners sollte auf dem neuesten Stand sein.
- Der Rechner sollte über ständig aktualisierte Virensoftware verfügen.
- Es sollte eine Firewall installiert und aktiv sein.
Diese Regelungen sind hoffentlich bereits in Richtlinien geregelt und lassen sich damit auf dem firmeneigenen Equipment gut umsetzen. Schwieriger wird die Umsetzung dieser Anforderungen, wenn ein privates Gerät zum Einsatz kommt. Hier könnte es empfehlenswert sein, dass die Mitarbeiter auf Terminalserver- bzw. Citrix-Servern zentral arbeiten und somit der eigene Rechner nur ein weitgehend „dummes“ Terminal ist. Das würde auch die eventuell nicht genügende Bandbreite im Home-Office kompensieren.
Sichere Anbindung des Home-Office an das Unternehmensnetzwerk
Egal, ob Geschäfts-Equipment oder private IT-Systeme – oberstes Gebot ist die sichere, verschlüsselte Anbindung an das Unternehmensnetzwerk per VPN oder über Webbrowser per https.
Prüfen Sie vorher aber auch, inwieweit die häusliche Bandbreite des Internet-Zugangs für die Home-Office-Lösung überhaupt ausreichend ist. Auch die zentralen Kapazitäten sollten einem externen Ansturm gewappnet sein. Am besten werden die Home-Arbeitsplätze in Gruppen ausgerollt, damit kann man sich an die Kapazitätsgrenzen heranarbeiten und Maßnahmen ergreifen, wen es eng wird. Der Mitarbeiter muss die für ihn notwendigen Applikationen auch laden und die Daten verarbeiten können.
Home-Office macht keinen Sinn, wenn der Mitarbeiter erst im Unternehmen die Dateien auf USB-Sticks kopiert, um sie dann zu Hause zu bearbeiten.
Absicherung der Home-Office-Endgeräte
Für Office-Equipment oder die private IT-Landschaft gilt: die Home-Arbeitsplätze müssen den IT-Sicherheitsstandards des Unternehmens entsprechen, im Idealfall noch höher sein. Insbesondere ein möglicher Zugriff auf die End-Geräte ist nicht so gut abgesichert wie im Unternehmen und darf zu dem noch nicht einmal kontrolliert werden. Häufig stehen die End-Geräte in Bereichen, die für alle Bewohner zugänglich sind.
Die nächste wichtige Frage ist, wie sichergestellt wird, dass sich eben nur der (zugelassene) Mitarbeiter einwählen kann und nicht ein unberechtigter Dritter. Hier ist eine Identifikation des Rechners und des Nutzers durch Zweifaktor-Identifikation empfehlenswert. Ein Mobile Device Management (MDM) oder noch besser ein Enterprise Mobility Management (EMM) wird bei Einsatz von vielen Home-Office-Plätzen meist unerlässlich.
Berechtigungen am Home-Office-Arbeitsplatz
Stellen Sie sicher, dass der Mitarbeiter im Home-Office die gleichen Berechtigungen wie im Unternehmen erhält und nicht aus Versehen, weil alles schnell gehen muss, er weiterreichende Berechtigungen erhält und so plötzlich auch auf die Personaldaten zugreifen kann, obwohl er im Marketing arbeitet.
Datenschutzvereinbarung zum Home-Office
Für die Arbeit im Homeoffice muss eine Datenschutzvereinbarung mit jedem Mitarbeiter getroffen werden. Diese Vereinbarung regelt, welche datenschutzrechtlichen Maßnahmen Arbeitnehmer im Homeoffice ergreifen müssen. Im Homeoffice haben Sie nämlich wenig Kontrolle darüber, wie Ihr Arbeitnehmer mit Ihren Daten umgeht. Sie bleiben aber verantwortlich!
Sie können den Home-Office-Platz zwar durch entsprechende Softwares vor IT-Angriffen schützen. Sie können dagegen aber nicht kontrollieren, inwieweit die berufliche technische Ausrüstung mit externen privaten Geräten verbunden wird. Hier kann es schnell zu Datenpannen kommen, die für Sie als Arbeitgeber verheerende Folgen haben können. Deshalb ist an dieser Stelle eine vertragliche Regelung sehr wichtig.
Zu guter Letzt: Berücksichtigen Sie die lizenzrechtlichen Themen im Home-Office
Für die Arbeit im Homeoffice muss die Lizenzfrage geprüft werden. Könnten die Lizenzen für den Arbeitsplatz auch für einen zweiten Arbeitsplatz desselben Mitarbeiters genutzt werden? Insbesondere, wenn der Mitarbeiter einen privaten PC oder Laptop und die darauf installierte Software jetzt für betriebliche Belange nutzt. Viele Apps sind speziell nur für die private Nutzung kostenfrei.
Sie sehen – so einfach die Lösung erscheint, die Mitarbeiter im Homeoffice weiterarbeiten zu lassen, gibt es doch allein aus IT-Sicherheits- und datenschutzrechtlicher Sicht etliche Dinge, die bei Außerachtlassung weit größeren Schaden als auf den ersten Blick Nutzen bringen könnten.
Bei Fragen und Anmerkungen zu diesem Blog schreiben Sie bitte an r.vgehlen@acent.de.
[1] https://www.haufe.de/recht/deutsches-anwalt-office-premium/7-homeoffice-ii-mitbestimmung-in-sozialen-angelegenheiten_idesk_PI17574_HI11617160.html