Zum Inhalt springen

Richtlinie

Wie wir mit Coro­na in unse­rer Orga­ni­sa­ti­on umge­hen (Tipps für den Arbeitsalltag)

01.03.2020: Damit ging es los

Am 01.03.2020 haben wir nach ein­ge­hen­der inter­ner Bera­tung im Team unse­re Kun­den dahin­ge­hend infor­miert, ab sofort bis auf Wei­te­res kei­ne Außen­dienst-Akti­vi­tä­ten bzw. Vor-Ort-Besu­che mehr durch­zu­füh­ren. Als Viel­rei­sen­de wäre das Risi­ko recht hoch gewe­sen, uns selbst zu infi­zie­ren und mög­li­cher­wei­se bis zur Fest­stel­lung der Infek­ti­on noch vie­le wei­te­re Men­schen mit anzu­ste­cken. Die­se Ent­schei­dung hat uns vor nun­mehr 2 Wochen eini­ge grenz­wer­ti­ge Kom­men­ta­re und teil­wei­se auch ein bemit­lei­den­des Lächeln ein­ge­bracht. Mitt­ler­wei­le steht fest, wir haben zum Schutz unse­rer Mit­ar­bei­ter und deren Fami­li­en, aber auch unse­rer Kun­den früh­zei­tig und rich­tig gehan­delt. Wir wol­len nicht ver­schwei­gen, es gab auch eini­ge weni­ge Stim­men der Zustim­mung und auch des Respekts, einen sol­chen Schritt durch­zu­zie­hen. Vie­len Dank an die­ser Stel­le noch mal aus­drück­lich dafür.

Alle Mit­ar­bei­ter der a.s.k. Daten­schutz dür­fen und kön­nen seit­her von zu Hau­se aus arbei­ten. Die Anfor­de­run­gen an die täg­lich zu erbrin­gen­de Arbeits­zeit sind auf unbe­stimm­te Zeit auf­ge­ho­ben. Und die Betreu­ung von Kin­dern und ande­ren hilfs­be­dürf­ti­gen Fami­li­en­an­ge­hö­ri­gen hat vor dem Tages­ge­schäft immer Vor­rang. Die dafür not­wen­di­gen Frei­räu­me kann sich jedes Team­mit­glied bei uns ohne Ab- bzw. Anmel­dung nehmen.

Jetzt sind wir auf­grund unse­rer Unter­neh­mens­struk­tur und Grö­ße, aber auch unse­rer stark von Digi­ta­li­sie­rung gepräg­ten Arbeits­wei­se und einem unter ande­rem für Pan­de­mien erstell­ten Not­fall­plan auf einen sol­chen Schritt gut vor­be­rei­tet gewe­sen. Wir sind mobi­les Arbei­ten gewöhnt, das tech­ni­sche Equi­pe­ment ist vor­han­den und für alle Mit­ar­bei­ter iden­tisch. Schon immer haben wir auf eine moder­ne Pro­jekt­platt­form zur gemein­sa­men Bear­bei­tung und Doku­men­ta­ti­on von Auf­ga­ben mit unse­ren Kun­den gesetzt. Und mit Zooms sowie Micro­soft Teams ste­hen zwei ger­ne und oft genutz­te Video­kon­fe­renz­platt­for­men zur Ver­fü­gung, über die auch ohne vor Ort zu sein, wich­ti­ge Ange­le­gen­hei­ten und The­men von Ange­sicht zu Ange­sicht, ein­zeln oder in Grup­pen bespro­chen wer­den kön­nen. Die ers­ten Tage waren etwas holp­rig. Gera­de für Kun­den, die bis­her mit dem The­ma Video­kon­fe­renz kei­ne Erfah­run­gen hat­ten oder gene­rell “frem­deln”. Doch mitt­ler­wei­le hat auch das sich neben Tele­fon und Email als all­täg­li­ches Kom­mu­ni­ka­ti­ons­me­di­um ein­ge­spielt. Ein klei­ner Ein­blick in unse­re Umset­zung und Erfahrungen:

Tech­nik und Orga­ni­sa­ti­on im Home Office

Damit auch die The­men Daten­schutz und Infor­ma­ti­ons­si­cher­heit in die­ser Son­der­si­tua­ti­on nicht zu kurz kom­men, haben wir uns unter ande­rem um fol­gen­de Punk­te geküm­mert bzw. deren Aktua­li­tät geprüft, wenn schon vorhanden:

  • Ver­schlüs­se­lung aller Daten­trä­ger in mobi­len Gerä­ten und fes­ten Arbeits­plät­zen (wird bereits bei Beschaf­fung und Inbe­trieb­nah­me vorgenommen)
  • Instal­la­ti­on und Ein­rich­ten von VPN auf allen Gerä­ten (eben­falls bereits bei Beschaf­fung und Inbe­trieb­nah­me erledigt)
  • Absi­che­rung aller Accounts (intern und extern sowie auf den Gerä­ten) neben Benut­zer­na­me und Pass­wort mit Zwei-Fak­tor-Authen­ti­fi­zie­rung (Bestand­teil der Account-Einrichtung)
  • Prü­fen der Funk­ti­ons­fä­hig­keit loka­ler Back­ups via Time­Ma­chi­ne auf ver­schlüs­sel­te exter­ne SSD sowie zusätz­li­cher Back­up-Rou­ti­nen auf NAS-Sys­te­me im Home Office (wird bei Erst­kon­fi­gu­ra­ti­on bereits ein­ge­rich­tet, mit­tels Fern­war­tung regel­mä­ßig über­prüft, ob alles sau­ber läuft)
  • Sicher­stel­len der auto­ma­ti­schen Bild­schirm­sper­re nach 2 Minu­ten (das The­ma manu­el­les Sper­ren haben wir in einer Team­sit­zung noch mal angesprochen)
  • Alle (mobi­len) Gerä­te sind mit Sicht­schutz­fo­li­en aus­ge­stat­tet. Hilf­reich für den häu­fi­gen Fall, das im Home Office kein sepa­ra­ter Raum für die Tätig­keit vor­han­den ist.
  • Richt­li­nie bzw. Rege­lun­gen zur Nut­zung mobi­ler Arbeits­plät­ze bzw. Home Office (wird bei Ein­stel­lung erle­digt). Wer hier noch nichts hat, RA Schwen­ke hat dazu einen recht fle­xi­blen Gene­ra­tor erstellt 
  • Rege­lun­gen zum Daten­schutz im Home Office, sofern nicht in der zuvor genann­ten Rege­lung bereits ent­hal­ten (wird bei Ein­stel­lung erle­digt). Der Ihnen sicher bekann­te “Daten­schutz-Guru” Ste­phan Han­sen-Oest hat hier gera­de ein Mus­ter online gestellt, für die­je­ni­gen, die noch Bedarf haben 
  • Ver­pflich­tung Daten­schutz für Mit­ar­bei­ter (wird bei Ein­stel­lung erledigt)
  • Schred­der mit aus­rei­chen­der Sicher­heits­stu­fe für die Home Offices (wird nor­ma­ler­wei­se bei Ein­stel­lung erle­digt, aber es hat uns doch glatt ein Gerät gefehlt)
  • Set­zen von Prio­ri­tä­ten wie Bear­bei­tung von Daten­pan­nen bei Kun­den über sepa­ra­te Hotline-Nummer

Bei der Gele­gen­heit haben wir unse­re Richt­li­nie zum Umgang mit Sicher­heits­vor­fäl­len aktua­li­siert, da dort das The­ma Home Office bis­her nicht kon­kret benannt wurde.

Seit 2 Wochen machen wir damit bereits sehr gute Erfah­run­gen. Bei dem einen oder ande­ren Kun­den kommt es bei Video­kon­fe­renz noch zu Anlauf­schwie­rig­kei­ten, da die Ports ger­ne mal in der Fire­wall gesperrt sind. Da hier sowohl für Zooms als auch Teams gute Anlei­tun­gen im Netz bereit­ste­hen, ist das jedoch schnell gelöst.

Wer sich noch etwas wei­ter mit dem The­ma befas­sen will, dem sei der BSI IT-Grund­schutz nahe­ge­legt. Unter ande­rem der Bau­stein OPS 1.2.4 Tele­ar­beit umfasst eine gute Über­sicht an Maß­nah­men, die für die Ein­rich­tung und den Betrieb von Home Office eine gute Grund­la­ge bil­den. Bin­den Sie auch Ihren Daten­schutz­be­auf­trag­ten und Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten ein, selbst wenn es jetzt viel­leicht schnell gehen muss.

Sozia­le Aspek­te des Home Office

Um die sozia­len Aspek­te im Team nicht zu kurz kom­men zu las­sen und damit auch nie­mand im Home Office ver­einsamt, nut­zen wir selbst intern eben­falls sehr rege Chat und Video­kon­fe­renz. Wir haben spa­ßes­hal­ber auch eine klei­ne Home Office Eti­ket­te erstellt:

  • Auf­ste­hen, Zäh­ne put­zen, Kaf­fee. Hilft das nicht, dann noch mehr Kaffee
  • Am Heim­ar­beits­platz ist eine gebü­gel­te Jog­ging­ho­se Pflicht
  • Pyja­ma ist nur mit Ein­horn-Glit­ter oder Super­man-Auf­druck zugelassen
  • Im Fal­le des Pyja­ma soll­te Video­kon­fe­renz nur intern genutzt werden
  • Sofern einen die Fami­lie zu Hau­se nicht auf Trab hält, gele­gent­lich mal auf­ste­hen, sich bewe­gen, Pau­se machen
  • Ach­tung: Wenn Bewe­gung heißt Haus ver­las­sen, dann noch mal prü­fen, ob der Pyja­ma rich­tig sitzt
  • Wer das Wort “Hams­tern” sagt, muss 10 Lie­ge­stüt­ze vor lau­fen­der Kame­ra machen. Alter­na­tiv Lapdance.

Fazit

Wir sind uns bewußt, das wir auf­grund unse­rer Tätig­keits­fel­der für eine sol­che Vor­ge­hens­wei­se Vor­tei­le gegen­über vie­len ande­ren Orga­ni­sa­tio­nen haben. Gera­de Ein­rich­tun­gen aus dem Bereich der öffent­li­chen Ver­sor­gung kön­nen ihre Mit­ar­bei­ter nicht ein­fach ins Home Office schicken.

Home Office ist jedoch mach­bar. Der aktu­el­le Stand der Tech­nik erlaubt ein siche­res Arbei­ten von zu Hau­se aus. Viel­leicht kön­nen wir mit dem kur­zen Ein­blick in unse­re Vor­ge­hens­wei­se die eine oder ande­re Anre­gung und Tipps lie­fern, wie und was — auch kurz­fris­tig — umsetz­bar ist und auf was man so alles ach­ten soll­te (ohne Anspruch auf Voll­stän­dig­keit und sicher nicht auf jede Orga­ni­sa­ti­on 1:1 anwend­bar). Denn auch wenn “Aus­nah­me­zu­stand” herrscht: Die The­men Sicher­heit, Daten­schutz aber auch das mensch­li­che Mit­ein­an­der soll­ten nicht zu kurz kommen.

Dan­ke an all die flei­ßi­gen und uner­müd­li­chen Hel­fer, die aktu­ell über­all für den Rest der Gesell­schaft die Stel­lung hal­ten, sei es im Gesund­heits­we­sen, im Han­del, der Ver­sor­gung, öffent­li­che Sicher­heit und und und … Ohne sie wären wir alle aufgeschmissen.

EU-Daten­schutz im Sin­ne des Ver­brau­chers? Weit gefehlt

Die Web­sei­te www​.lob​by​plag​.eu zeigt auf, wie ein­fluss­rei­che Lob­by­is­ten erfolg­reich unse­re EU-Ver­tre­ter im Sin­ne der Auf­trag­ge­ber beein­flus­sen.  Fast wört­lich fin­den sich Text­pas­sa­gen der Inter­es­sens­ver­tre­ter aus Indus­trie und Han­del in den zur Zeit im Umlauf befind­li­chen Ent­wür­fen zum EU-Daten­schutz. Gera­de in Bezug auf die Schutz­rech­te der Betrof­fe­nen wur­de hier sehr zu deren Las­ten Ein­fluss genom­men.  Geht der Trend zum Daten­nut­zungs­ge­setz statt Daten­schutz­ge­setz nun auf euro­päi­scher Ebe­ne wei­ter wie zuvor bei uns in Deutsch­land mit dem geplan­ten ‘Arbeit­neh­mer-Daten­schutz’?

Wir blei­ben am The­ma für Sie dran und wer­den hier auf unse­rem Blog für Sie berichten.

Quel­len:

https://​spon​.de/​a​d​RK7
https://​feed​ly​.com/​k​/​1​2​q​L​zDA

IT-Sicher­heit in Unter­neh­men ver­bes­sern und für mehr Daten­schutz sorgen

Daten­schutz und Datensicherheit

Daten­schutz ist gesetz­li­che Vor­schrift für Unter­neh­men aller Grö­ßen in Deutsch­land. So gibt es zwar eini­ge Rege­lun­gen, wie z.B. die Bestell­pflicht für einen sog. Daten­schutz­be­auf­trag­ten, die erst ab einer gewis­sen Mit­ar­bei­ter­zahl grei­fen, doch das ent­bin­det nicht von der Ver­pflich­tung die übri­gen Vor­schrif­ten im Unter­neh­men umzu­set­zen. Auf­grund des ste­tig zuneh­men­den Ein­sat­zes von IT stei­gen sowohl die Ansprü­che an Unter­neh­men als auch die Zahl der zu tref­fen­den Schutz­maß­nah­men durch das Unter­neh­men. Ohne aus­rei­chen­de IT-Sicher­heit ist der gesetz­lich vor­ge­schrie­be­ne Daten­schutz heu­te kaum mehr zu gewährleisten.

Klas­si­sche Brennpunkte

Ganz oben auf der The­men­lis­te ste­hen nach wie vor Klas­si­ker wie Pass­wort-Sicher­heit oder auch die Back­up-Stra­te­gie. Im Rah­men unse­rer Daten­schutz-Audits sind immer wie­der noch Kom­bi­na­tio­nen für den Sys­tem-Log­in zu fin­den wie Benut­zer­na­me = Vor­na­me und Pass­wort = Nach­na­me, sogar für Zugän­ge mit Admi­nis­tra­tor-Rech­ten. Aber auch die Rech­te und Pflich­ten des Admi­nis­tra­tors wol­len genau defi­niert und fest­ge­schrie­ben sein. Ob der Leit­satz “Back­up ist nur für Feig­lin­ge” im Fal­le eines Daten­ver­lusts wirk­lich wei­ter­hilft? Ich wage es zu bezweifeln.

Neue Tech­no­lo­gien und Verfahrensweisen

Doch neben die­sen Dau­er­bren­nern gilt es mit aktu­el­len Ent­wick­lun­gen und Trends mit­zu­hal­ten. Nut­zen Ihre Mit­ar­bei­ter eige­ne elek­tro­ni­schen Gerä­te für das Unter­neh­men wie z.B. Smart­pho­nes, Note­book oder Pads? Dann wer­den Sie nicht dar­um her­um­kom­men, sich mit dem Begriff BYOD (Bring Your Own Device) aus­ein­an­der­zu­set­zen. Denn so char­mant das Mit­brin­gen von eige­ner Hard­ware durch Mit­ar­bei­ter sein kann, z.B. durch den Kos­ten­ein­spa­rungs­ef­fekt, so ris­kant ist der Ein­satz von nicht in die Sicher­heits­me­cha­nis­men des Unter­neh­mens ein­ge­bun­de­nen Gerä­ten im Hin­blick auf Daten­si­cher­heit und Datenschutz.

Licht ins Dun­kel bringen

Das Bun­des­mi­nis­te­ri­um für Wirt­schaft hat zur Unter­stüt­zung den IT-Sicher­heits­na­vi­ga­tor im Web ins Leben geru­fen. Hier kön­nen Unter­neh­men und Unter­neh­mer ziel­ge­nau nach Bran­che und Fra­ge­stel­lung Hil­fe in Form von Anlei­tun­gen, For­mu­lie­rungs­vor­schlä­gen und Tipp­lis­ten finden.

Alter­na­tiv spre­chen Sie doch ein­fach mit Ihrem Daten­schutz­be­auf­trag­ten? Sie haben kei­nen? Dann prü­fen Sie, ob die gesetz­li­che Bestell­pflicht für Ihr Unter­neh­men vor­liegt. Der Gesetz­ge­ber hat mit dem exter­nen Daten­schutz­be­auf­trag­ten eine kos­ten­güns­ti­ge und trans­pa­ren­te Mög­lich­keit geschaf­fen, die­ser Ver­pflich­tung nach­zu­kom­men -> Ange­bot anfor­dern. Doch selbst ohne Bestell­pflicht ste­hen wir bera­tend zu den The­men Daten­si­cher­heit und Daten­schutz für Ihr Unter­neh­men zur Ver­fü­gung. Spre­chen Sie uns ein­fach an.

Unter­neh­men sicher machen, För­der­mit­tel nutzen

Übri­gens kön­nen Tei­le unse­rer Bera­tungs­leis­tun­gen mit För­der­mit­teln aus dem ESF bezu­schusst wer­den — nut­zen Sie doch die­se Gele­gen­heit, Ihr Unter­neh­men über­prü­fen zu las­sen und siche­rer zu machen.

BYOD (Bring Your Own Device) — zusätz­li­che Daten­schutz-Risi­ken für Unternehmen

“BYOD” ist in aller Mun­de, zu Recht. Hin­ter dem Kür­zel ver­ber­gen sich zahl­rei­che Risi­ken und Unan­nehm­lich­kei­ten für Admi­nis­tra­to­ren und Unter­neh­mer. Doch “Bring Your Own Device” ist All­tag! Immer mehr Arbeit­neh­mer nut­zen ihre eigent­lich pri­va­ten Mobil­te­le­fo­ne, Smart­pho­nes und Note­books beruf­lich für ihren Arbeitgeber.

IT-Admi­nis­tra­to­ren kämp­fen dadurch mit Wild­wuchs in der IT-Land­schaft und fürch­ten die hier­durch ent­ste­hen­den Sicher­heits­lü­cken — zu Recht! Geschäfts­füh­rer und Unter­neh­mer ver­schlies­sen vor der all­täg­li­chen Situa­ti­on oft­mals die Augen und ris­kie­ren dabei so einiges.

Bei still­schwei­gen­der Dul­dung ver­liert das Unter­neh­men not­wen­di­ge Ein­fluss- und Kon­troll­mög­lich­kei­ten. Mög­li­che Fol­gen: Daten­schutz­ver­stös­se, Sicher­heits­lecks und die dar­aus resul­tie­ren­den Image-Schä­den durch nega­ti­ve Presseberichte.

Was vie­le nicht wis­sen, die recht­li­chen Aspek­te die­ser The­ma­tik sind umfang­reich: Urhe­ber­rechts­ver­let­zun­gen, Lizenz­pro­ble­me, Haf­tungs­fra­gen, Ver­stö­ße gegen han­dels- und steu­er­recht­li­che Vor­schrif­ten, IT-Sicher­heit und Daten­schutz. Wol­len Sie als Unter­neh­mer dafür gera­de ste­hen, wenn Ihr Mit­ar­bei­ter per­so­nen­be­zo­ge­ne Daten Ihres Unter­neh­mens auf sei­nem pri­va­ten Mobil­ge­rät spei­chert und die­se dann mit einem der zahl­rei­chen Cloud-Diens­te syn­chro­ni­siert? Mit gro­ßer Wahr­schein­lich­keit liegt hier­für kei­ne vor­ge­schrie­be­ne Rege­lung zur Auf­trags­da­ten­ver­ar­bei­tung vor -> Buß­gel­dri­si­ko.

Unser Tipp:

  • Sor­gen Sie für kla­re Ver­ein­ba­run­gen und Richt­li­ni­en in Ihrem Unter­neh­men und inves­tie­ren Sie in die not­wen­di­ge IT-Infrastruktur.
  • Oder fra­gen Sie Ihren Daten­schutz­be­auf­trag­ten! Sie haben kei­nen, dann spre­chen Sie uns an!

 

Bild­nach­weis: about​pi​xel​.de /​Was­ser­test © Kel­ler­meis­ter

Daten­schutz am Arbeits­platz: Clean Desk Prin­zip /​ Clean Desk Policy


“Ein unauf­ge­räum­ter Schreib­tisch ist Daten­schutz pur — nichts mehr zu fin­den”
, so ein Teil­neh­mer in einer der jüngs­ten Daten­schutz-Schu­lun­gen. Nach einem ers­ten Schmun­zeln in der Run­de wur­de die Aus­sa­ge im Kreis der Teil­neh­mer dis­ku­tiert. Schnell kris­tal­li­sier­te sich her­aus, dass das sog. Clean Desk Prin­zip — also das genaue Gegen­teil die­ser Aus­sa­ge — einen hilf­rei­chen Bei­trag zur Daten­si­cher­heit und Ver­trau­lich­keit leis­tet. Per­so­nen­be­zo­ge­ne Daten und Fir­men­ge­heim­nis­se sind geschützt und gelan­gen nicht in die Hän­de Unbe­fug­ter. Die zwei Grund­re­geln des Clean Desk Prinzips:

  1. Auf­räu­men: So lapi­dar es klingt, aber die ehr­li­che Ant­wort auf die ein­fa­che Fra­ge “Muss das hier rum­lie­gen?” in Ver­bin­dung mit dem anschlie­ßen­den Weg­räu­men ist bereits der ers­te gro­ße Schritt
  2. Abschlie­ßen: Bei län­ge­rer Abwe­sen­heit nicht nur Auf­räu­men, son­dern die ver­wahr­ten Gegen­stän­de wie Unter­la­gen, USB-Sticks, Daten­trä­ger etc. auch im Schrank oder Roll­con­tai­ner ein­schlie­ßen. Ach­ja, Schlüs­sel nicht ste­cken las­sen, sonst kann man sich die Mühe gänz­lich sparen
Bei die­sen Hand­grif­fen geht es nicht um das Befrie­di­gen der typisch deut­schen Ord­nungs­na­tur um ihrer Selbst wil­len. Mit ganz ein­fa­chen Mit­teln ist der Ver­lust von per­so­nen­be­zo­ge­nen Daten und Fir­men­in­ter­nas am eige­nen Arbeits­platz aus­ge­schlos­sen. Zumin­dest, wenn man die­se nicht selbst oder mut­wil­lig entwendet.
In ame­ri­ka­ni­schen Unter­neh­men fin­det man die sog. clean desk poli­cy in schrift­li­cher Form als Bestand­teil des Arbeits­ver­tra­ges mit allen Kon­se­quen­zen, die für Ver­stös­se gegen Unter­neh­mens­richt­li­ni­en vor­ge­se­hen sind. Die­se Anwen­dung der sog. “rei­nen Leh­re” erweist sich im All­tag als nicht sehr pra­xis­nah. Das heu­ti­ge Arbeits­le­ben for­dert Mul­ti­tas­king und lässt sel­ten Spiel­raum für ein Abar­bei­ten von Pro­jek­ten nach­ein­an­der. Aber jeder Schritt hin zu “Auf­räu­men & Abschlie­ßen” ist ein Schritt in die rich­ti­ge Rich­tung. Selbst wenn der Ide­al­zu­stand in der Pra­xis nie erreicht wer­den kann.
Die mobile Version verlassen