Wie wir mit Corona in unserer Organisation umgehen (Tipps für den Arbeitsalltag)
01.03.2020: Damit ging es los
Am 01.03.2020 haben wir nach eingehender interner Beratung im Team unsere Kunden dahingehend informiert, ab sofort bis auf Weiteres keine Außendienst-Aktivitäten bzw. Vor-Ort-Besuche mehr durchzuführen. Als Vielreisende wäre das Risiko recht hoch gewesen, uns selbst zu infizieren und möglicherweise bis zur Feststellung der Infektion noch viele weitere Menschen mit anzustecken. Diese Entscheidung hat uns vor nunmehr 2 Wochen einige grenzwertige Kommentare und teilweise auch ein bemitleidendes Lächeln eingebracht. Mittlerweile steht fest, wir haben zum Schutz unserer Mitarbeiter und deren Familien, aber auch unserer Kunden frühzeitig und richtig gehandelt. Wir wollen nicht verschweigen, es gab auch einige wenige Stimmen der Zustimmung und auch des Respekts, einen solchen Schritt durchzuziehen. Vielen Dank an dieser Stelle noch mal ausdrücklich dafür.
Alle Mitarbeiter der a.s.k. Datenschutz dürfen und können seither von zu Hause aus arbeiten. Die Anforderungen an die täglich zu erbringende Arbeitszeit sind auf unbestimmte Zeit aufgehoben. Und die Betreuung von Kindern und anderen hilfsbedürftigen Familienangehörigen hat vor dem Tagesgeschäft immer Vorrang. Die dafür notwendigen Freiräume kann sich jedes Teammitglied bei uns ohne Ab- bzw. Anmeldung nehmen.
Jetzt sind wir aufgrund unserer Unternehmensstruktur und Größe, aber auch unserer stark von Digitalisierung geprägten Arbeitsweise und einem unter anderem für Pandemien erstellten Notfallplan auf einen solchen Schritt gut vorbereitet gewesen. Wir sind mobiles Arbeiten gewöhnt, das technische Equipement ist vorhanden und für alle Mitarbeiter identisch. Schon immer haben wir auf eine moderne Projektplattform zur gemeinsamen Bearbeitung und Dokumentation von Aufgaben mit unseren Kunden gesetzt. Und mit Zooms sowie Microsoft Teams stehen zwei gerne und oft genutzte Videokonferenzplattformen zur Verfügung, über die auch ohne vor Ort zu sein, wichtige Angelegenheiten und Themen von Angesicht zu Angesicht, einzeln oder in Gruppen besprochen werden können. Die ersten Tage waren etwas holprig. Gerade für Kunden, die bisher mit dem Thema Videokonferenz keine Erfahrungen hatten oder generell “fremdeln”. Doch mittlerweile hat auch das sich neben Telefon und Email als alltägliches Kommunikationsmedium eingespielt. Ein kleiner Einblick in unsere Umsetzung und Erfahrungen:
Technik und Organisation im Home Office
Damit auch die Themen Datenschutz und Informationssicherheit in dieser Sondersituation nicht zu kurz kommen, haben wir uns unter anderem um folgende Punkte gekümmert bzw. deren Aktualität geprüft, wenn schon vorhanden:
- Verschlüsselung aller Datenträger in mobilen Geräten und festen Arbeitsplätzen (wird bereits bei Beschaffung und Inbetriebnahme vorgenommen)
- Installation und Einrichten von VPN auf allen Geräten (ebenfalls bereits bei Beschaffung und Inbetriebnahme erledigt)
- Absicherung aller Accounts (intern und extern sowie auf den Geräten) neben Benutzername und Passwort mit Zwei-Faktor-Authentifizierung (Bestandteil der Account-Einrichtung)
- Prüfen der Funktionsfähigkeit lokaler Backups via TimeMachine auf verschlüsselte externe SSD sowie zusätzlicher Backup-Routinen auf NAS-Systeme im Home Office (wird bei Erstkonfiguration bereits eingerichtet, mittels Fernwartung regelmäßig überprüft, ob alles sauber läuft)
- Sicherstellen der automatischen Bildschirmsperre nach 2 Minuten (das Thema manuelles Sperren haben wir in einer Teamsitzung noch mal angesprochen)
- Alle (mobilen) Geräte sind mit Sichtschutzfolien ausgestattet. Hilfreich für den häufigen Fall, das im Home Office kein separater Raum für die Tätigkeit vorhanden ist.
- Richtlinie bzw. Regelungen zur Nutzung mobiler Arbeitsplätze bzw. Home Office (wird bei Einstellung erledigt). Wer hier noch nichts hat, RA Schwenke hat dazu einen recht flexiblen Generator erstellt
- Regelungen zum Datenschutz im Home Office, sofern nicht in der zuvor genannten Regelung bereits enthalten (wird bei Einstellung erledigt). Der Ihnen sicher bekannte “Datenschutz-Guru” Stephan Hansen-Oest hat hier gerade ein Muster online gestellt, für diejenigen, die noch Bedarf haben
- Verpflichtung Datenschutz für Mitarbeiter (wird bei Einstellung erledigt)
- Schredder mit ausreichender Sicherheitsstufe für die Home Offices (wird normalerweise bei Einstellung erledigt, aber es hat uns doch glatt ein Gerät gefehlt)
- Setzen von Prioritäten wie Bearbeitung von Datenpannen bei Kunden über separate Hotline-Nummer
Bei der Gelegenheit haben wir unsere Richtlinie zum Umgang mit Sicherheitsvorfällen aktualisiert, da dort das Thema Home Office bisher nicht konkret benannt wurde.
Seit 2 Wochen machen wir damit bereits sehr gute Erfahrungen. Bei dem einen oder anderen Kunden kommt es bei Videokonferenz noch zu Anlaufschwierigkeiten, da die Ports gerne mal in der Firewall gesperrt sind. Da hier sowohl für Zooms als auch Teams gute Anleitungen im Netz bereitstehen, ist das jedoch schnell gelöst.
Wer sich noch etwas weiter mit dem Thema befassen will, dem sei der BSI IT-Grundschutz nahegelegt. Unter anderem der Baustein OPS 1.2.4 Telearbeit umfasst eine gute Übersicht an Maßnahmen, die für die Einrichtung und den Betrieb von Home Office eine gute Grundlage bilden. Binden Sie auch Ihren Datenschutzbeauftragten und Informationssicherheitsbeauftragten ein, selbst wenn es jetzt vielleicht schnell gehen muss.
Soziale Aspekte des Home Office
- Aufstehen, Zähne putzen, Kaffee. Hilft das nicht, dann noch mehr Kaffee
- Am Heimarbeitsplatz ist eine gebügelte Jogginghose Pflicht
- Pyjama ist nur mit Einhorn-Glitter oder Superman-Aufdruck zugelassen
- Im Falle des Pyjama sollte Videokonferenz nur intern genutzt werden
- Sofern einen die Familie zu Hause nicht auf Trab hält, gelegentlich mal aufstehen, sich bewegen, Pause machen
- Achtung: Wenn Bewegung heißt Haus verlassen, dann noch mal prüfen, ob der Pyjama richtig sitzt
- Wer das Wort “Hamstern” sagt, muss 10 Liegestütze vor laufender Kamera machen. Alternativ Lapdance.
Fazit
Wir sind uns bewußt, das wir aufgrund unserer Tätigkeitsfelder für eine solche Vorgehensweise Vorteile gegenüber vielen anderen Organisationen haben. Gerade Einrichtungen aus dem Bereich der öffentlichen Versorgung können ihre Mitarbeiter nicht einfach ins Home Office schicken.
Home Office ist jedoch machbar. Der aktuelle Stand der Technik erlaubt ein sicheres Arbeiten von zu Hause aus. Vielleicht können wir mit dem kurzen Einblick in unsere Vorgehensweise die eine oder andere Anregung und Tipps liefern, wie und was — auch kurzfristig — umsetzbar ist und auf was man so alles achten sollte (ohne Anspruch auf Vollständigkeit und sicher nicht auf jede Organisation 1:1 anwendbar). Denn auch wenn “Ausnahmezustand” herrscht: Die Themen Sicherheit, Datenschutz aber auch das menschliche Miteinander sollten nicht zu kurz kommen.
Danke an all die fleißigen und unermüdlichen Helfer, die aktuell überall für den Rest der Gesellschaft die Stellung halten, sei es im Gesundheitswesen, im Handel, der Versorgung, öffentliche Sicherheit und und und … Ohne sie wären wir alle aufgeschmissen.
