Datenschutz und Datensicherheit im Home-Office

Beim Arbeiten im Home-Office müssen Arbeitgeber und Arbeitnehmer etliche Punkte aus dem Bereich des Datenschutzes und der Datensicherheit beachten. Gerald Ganzger und Daniel Söllner, von der Rechtsanwaltskanzlei Lansky, Ganzger + Partner und Thomas Hrdinka, Sachverständiger für Informatik, beleuchten wichtige Aspekte dazu.

Thema: Corona: Recht im Ausnahmezustand
Datenschutz und Datensicherheit im Home-Office

Die technischen Sicherheitsstandards, welche von der Infrastruktur im Home-Office erwartet werden können, müssen auf demselben oder zumindest einem ähnlichen Niveau liegen wie jene Infrastruktur, die vom Arbeitgeber zur Verfügung gestellt wird (siehe Artikel "Home-Office: Was Arbeitnehmer beachten sollten").

Zu unterscheiden sind dabei die vom Arbeitgeber zur Verfügung gestellten Arbeitsmittel wie ein Laptop oder ein Mobiltelefon von jenen, die der Arbeitnehmer privat zur Verfügung stellt: Dazu gehören die Internetverbindung, welche häufig auch über WLAN genutzt wird, oder private Computer samt Peripherie.

Der Sicherheitsstandard dieser privaten Infrastruktur muss jedenfalls geprüft werden, und Arbeitnehmer müssen laut DSGVO (Datenschutzgrundverordnung) vom Arbeitgeber bei der Einrichtung der technisch-organisatorischen Sicherheitsmaßnahmen unterstützt werden.

Die folgenden sechs Punkte gehören zu den Maßnahmen, die auf jeden Fall berücksichtigt werden müssen:


1.Sicheres E-Mailen

Die betriebliche Kommunikation sollte ausschließlich mit dem Firmenaccount und nicht mit dem Privaten erfolgen. Die Nutzung eines privaten Accounts kann sicherheitstechnisch problematisch sein. Diese unterschiedlichen E-Mail-Identitäten, die Private und die Berufliche, müssen im E-Mail-Programm klar getrennt werden.

Auch die Wahl des Mailprogramms kann Fallstricke beinhalten, wie zum Beispiel, dass E-Mails mit Schadsoftware nicht erkannt werden.

Eine gute und sichere Alternative zu Kaufsoftware ist das Open-Source-Projekt Thunderbird, welches samt seinen Erweiterungen einen hohen Sicherheitsstandard implementiert.


2. Verschlüsselung von E-Mails

Grundsätzlich ist auch eine Verschlüsselung von E-Mails zu empfehlen, wenn vertrauliche Informationen ausgetauscht werden. Die Add-Ons Enigmail für Thunderbird oder GPG4Win für Outlook erweitern das E-Mailprogramm durch eine Verschlüsselung mit OpenPGP. Diese Möglichkeit ist jedoch nur dann nutzbar, wenn alle Kommunikationspartner über solch eine Erweiterung verfügen.


3. Passwortmanagement

Problematisch beim Home-Office ist insbesondere, wenn betriebliche Passwörter in oder über die private Infrastruktur genutzt werden. Ein einheitliches und sicheres Passwortmanagement ist daher essenziell. Aufgrund der Vielzahl an genutzten Passwörtern und deren erforderliche Komplexität ist es Menschen nahezu unmöglich, sich diese zu merken. Aus diesem Grund neigen sie dazu, sich diese Passwörter (elektronisch) zu notieren – und nicht auszudenken, was passiert, wenn diese durch einen Angriff vom privaten Computer entwendet werden.

Ein absolutes No-Go ist in diesem Zusammenhang, wenn Passwörter oder Formulardaten im lokalen Browser gespeichert werden. Daher ist ein Passwortmanager die beste Wahl: Solch ein Programm speichert in einer sicher verschlüsselten Datenbank alle Passwörter im jeweils genutzten Computer, und der Zugriff darauf erfolgt durch ein Masterpasswort, welches natürlich entsprechend sicher gewählt werden muss. Dieser Manager kommuniziert mit Browsern oder anderen Programmen und stellt diese bei Bedarf zur Verfügung. Beispielsweise bietet das OpenSource Projekt Keepass, in den verschiedenen Varianten für alle gängigen Betriebssysteme eine sichere Lösung an.


4. Sicheres Surfen im Internet

Das Surfen im Internet, ob beruflich oder privat, birgt für das genutzte Computersystem eine latente Gefahr: Gegen die für Nutzer nicht erkennbaren Drive-by-Downloads schützen nur entsprechend geschützte Browser. Dies ist besonders dann kritisch, wenn der private Computer auch von anderen Familienmitgliedern genutzt wird. Voreinstellungen des Browsers wie Löschen der Chronik oder Cookies beim Beenden sollten daher Standard sein. Auch kann der Private Modus dies unterstützen.

Des Weiteren existieren zahlreiche Browsererweiterungen, welche Tracking und malignes Scripting erkennen und verhindern: Beispielhaft zu nennen wären Decentraleyes, uBlockoder I don‘t care about cookies. Ebenso das Deaktivieren von Javascripts oder diverse Javascript Blocker, wobei der EIngriff in Javascripts den Nachteil hat, dass Webpages nicht mehr korrekt angezeigt werden.

Eine weitere Gefahr ist das DNS-Spoofing, wo das ahnungslose Opfer auf vermeintlich echte, aber gefälschte Webseiten umgeleitet wird. Diesbezüglich müssen weitere Sicherheitsmaßnahmen getroffen werden, wie sicheres Surfen mit HTTPS, Nutzung eines VPN zur Firma, Überprüfung des lokalen Routers und Computers und ein obligater Virenchecker unter Windows.


5. Reduzieren von Datenströmen

Daten sind in der Gegenwart bares Geld wert, und genau deshalb steigt der Datenhunger diverser Apps auf Mobiltelefonen, aber auch von Webseiten, die über den Browser angesteuert werden.

Aus diesen Gründen ist besonders im Home-Office auf die Minimierung der automatischen Datenübertragung von Smartphones zu achten, welche sowohl unter Android und iOS einstellbar sind.

Besonders problematisch sind vermeintlich kostenlose Apps, die davon leben, dass Daten von Nutzern ohne deren Einwilligung sammeln. Nicht zu vergessen sind dabei die Clouddienste wie dem Google-Konto, der der iCloud. Sofern man über den Browser oder am Smartphone angemeldet ist, erheben diese permanent lokale Daten wie Bewegungsprofile und übertragen sie an die zentrale Cloud.

Diese Funktionen sollten wenn sie nicht wirklich benötigt werden, aus Sicherheitsgründen deaktiviert werden.


6. Gesicherter Datenaustausch

Damit die Daten auch in der privaten Infrastruktur sicher sind, wäre eine Festplattenverschlüsselung zumindest eine Verschlüsselung der Nutzerdaten gefordert. Unverschlüsselte Notebooks, Handys oder USB-Sticks, welche verloren oder entwendet werden, stellen ein latentes Sicherheitsrisiko dar. Aus diesem Grund kann unter Windows Bitlocker oder Filevault unter iOS verwendet werden, um dieses Risiko zu minimieren.

Der Nachteil dabei ist: Wird die Festplatte beschädigt, so ist das gesamte Dateisystem nicht wieder herstellbar.

Alternativ dazu können auch nur besonders sensible Verzeichnisse oder Dateien verschlüsselt werden: Veracrypt bietet etwa nicht nur eine gesamte Festplattenverschlüsselung, sondern vielmehr eine selektive Verschlüsselung der Verzeichnisse oder einzelner Dateien an. Dies ist besonders dann wichtig, wenn Dateien in einer Cloud hinterlegt werden.


Für weitere Fragen zum Thema haben die Rechtsanwälte Lansky, Ganzger & Partner eine Online-Informationsseite unter lansky.at/de/newsroom/news/faq-corona/ erstellt und stehen für Nachfragen per E-Mail unter office <AT> lansky.at zur Verfügung.


Beachten Sie auch die weitere Serie mit Rechts-Tipps zur Corona-Krise, eine Kooperation von trend.at und den Rechtsanwälten Lansky, Ganzger & Partner. Die bisher erschienen Beiträge finden Sie zusammengefasst im Thema "Corona - Recht im Ausnahmezustand".


Stefan Bergsmann, Geschäftsführer von Horváth & Partners Österreich

Unternehmenssicherheit: Topmanager sind gefordert

Jedes zweite Unternehmen war schon einmal Opfer eines Cyberangriffs. …

ActiveCampaign Marketing-Automatisierungssoftware

ActiveCampaign bietet eine All-in-One-Marketing-Automatisierungsplattform …

Newsletter und E-Mail-Marketing

Newsletter und E-Mail-Marketing

Die besten Lösungen für Newsletter und E-Mail-Marketing

Watson Speech to Text: Konvertieren von Sprache in Text mit KI-basierter Spracherkennung und Transkription

Watson Speech to Text: präzise und schnelle Spracherkennung

Mit Watson Speech to Text hat der IT-Gigant IBM eine speziell auf die …