Veröffentlicht am

Wenn der Firmen-Rechner streikt: Private Geräte als Notfallstrategie?

Wenn der Firmen-Rechner streikt: Private Geräte als Notfallstrategie?

Der Rechner, den der Arbeitgeber zur Verfügung gestellt hat, fährt nicht hoch. Doch es steht eine dringende Projektarbeit an. Da kommt schnell der Gedanke, das private Notebook zu nutzen. Es handelt sich ja um einen Notfall. Doch stimmt dann auch der Datenschutz?

Immer wenn es eilig ist

Wie könnte es anders sein? Um elf Uhr soll das Konzept bei der Abteilungsleiterin sein, aber der PC, den der Arbeitgeber für die Tätigkeit im Homeoffice bereitgestellt hat, startet nicht. Nur noch zwei Stunden bis zur Abgabe.

Eigentlich ist die Nutzung privater IT-Geräte bei der Heimarbeit ja nicht erlaubt. Der Arbeitgeber hat daher extra spezielle PCs angeschafft und den Beschäftigten nach Hause liefern lassen. Aber jetzt ist eine Art Notfall eingetreten: Der Firmen-Computer will nicht, da könnte man doch das private Gerät nutzen. So zumindest die Idee, die einem in den Kopf kommt. Immerhin war das private Notebook ja teuer, es ist schon sehr professionell, muss man sagen …

Der PC-Streik und die Folgen

Wer einfach das private Notebook verwendet, um das Konzept fertigzustellen, hält vielleicht die gesetzte Frist zur Abgabe ein – doch er verstößt gegen die Richtlinien, die der Arbeitgeber für die Arbeit im Homeoffice aufgestellt hat.

Gehen Sie nicht davon aus, dass die „Frist“ alle Mittel heiligt. Das Konzept ist zwar möglicherweise pünktlich bei der Abteilungsleiterin. Aber das vertrauliche Konzept mit den Kundendaten ist auf einem privaten Gerät gelandet. Sie haben es dort bearbeitet und von dort per Mail verschickt.

Der Arbeitgeber hat die Nutzung des privaten Geräts nicht einfach so verboten. Es gibt gute Gründe dafür. Der Arbeitgeber hat keinen Überblick darüber,

  • ob das private Notebook mit allen Updates versehen ist,
  • ob die Sicherheitssoftware darauf den Anforderungen entspricht,
  • ob der Mail-Versand geschützt erfolgt oder
  • ob das private Notebook zum Beispiel so eingestellt ist, dass alle Dateien darauf automatisch zur Datensicherung in eine Cloud übertragen werden, die nicht den Vorgaben des Datenschutzes entspricht.

Erst fragen und Schutz sicherstellen

Wer ohne Rücksprache von den Sicherheitsrichtlinien des Arbeitgebers abweicht, muss mit Ärger rechnen, auch wenn es um ein dringendes Konzept geht und wenn man für den Notfall eine Ausnahme machen wollte.

Sichern Sie sich grundsätzlich immer selbst ab und fragen Sie die Vorgesetzten, ob Sie das private Gerät für diesen Fall ausnahmsweise nutzen dürfen. Denken Sie dann aber auch an die Absicherung der Daten.

So sollte der Arbeitgeber die Nutzung privater IT, auch BYOD (Bring Your Own Device) genannt, wenn überhaupt nur dann genehmigen, wenn die Maßnahmen für Sicherheit und Datenschutz bei dem Gerät stimmen. Es muss die gleiche hohe Sicherheit herrschen, als wenn Sie den Firmen-PC nutzen würden.

Genehmigt der Arbeitgeber die Ausnahme, müssen alle Schutzmaßnahmen ergriffen werden, die den Zugang auf das Firmennetzwerk absichern und die dafür sorgen, dass keine betrieblichen Daten auf den privaten Geräten zurückbleiben.

Wenn Ausnahme, dann aber nicht die Regel

Hat der Arbeitgeber einmal zugelassen, dass Sie Ihr privates Gerät nutzen, darf sich daraus aber keine Regel entwickeln, weil Sie zum Beispiel mit dem privaten Notebook lieber arbeiten würden.

Veröffentlicht am

Smartphone-Apps: Die Suche nach dem Datenschutz

Smartphone Apps Die Suche nach dem Datenschutz

In Zeiten der Pandemie hat die Bedeutung mobiler Geräte und Anwendungen noch weiter zugenommen. Die Zahl der installierten Apps auf Smartphones und Tablets wächst und wächst. Doch wie steht es um den Datenschutz bei den mobilen Anwendungen? Die Antwort fällt nicht immer leicht.

Da gibt es eine App für…

Handyspiele, Lernprogramme, Büroanwendungen: Im Jahr 2021 gaben die Deutschen so viel Geld für Handy-Apps aus wie noch nie. Insgesamt 2,9 Milliarden Euro Umsatz wurden 2021 mit Smartphone-Programmen generiert, so der Digitalverband Bitkom.

„Das Angebot an Apps wird immer größer – sie ersetzen die Digitalkamera, das Bücherregal, die Spielekonsole“, sagte Dr. Sebastian Klöß, Bereichsleiter für Consumer Technology beim Digitalverband Bitkom. „Gerade in der Corona-Krise haben die Menschen mehr Zeit mit ihrem Smartphone verbracht. Sie haben neue Apps ausprobiert und dabei auch mehr Geld ausgegeben – etwa, um mit kostenpflichtigen Online-Kursen fit zu bleiben, sich mit Spielen die Zeit zu vertreiben oder um neue Sprachen zu lernen.“

Apps gibt es für Geld oder Daten

Wer jetzt denkt, Apps seien doch kostenlos und vielleicht auch deshalb so beliebt, hat zum Teil recht. Die Mehrzahl der mobilen Anwendungen bekommt man tatsächlich, ohne dafür zu bezahlen. Doch ob der Anbieter seine App wirklich ohne Gegenleistung bereitstellt, steht auf einem anderen Blatt.

Viele Apps finanzieren sich über Werbung. Damit die Werbung möglichst relevant und damit erfolgreicher ist, sammeln viele dieser Apps Daten über ihre Nutzerinnen und Nutzer. Daran wäre nichts auszusetzen, wenn denn die Anwender darüber informiert wären und darin eingewilligt hätten.

Tatsächlich sammeln und werten die Apps die Nutzerdaten oftmals aus, ohne eine Information und Zustimmung der Nutzerinnen und Nutzer. Das ist nicht nur bei kostenlosen Apps der Fall. Auch kostenpflichtige Apps können Daten einsammeln, um für ein Zusatzgeschäft zu sorgen.

Wo ist die Datenschutzerklärung?

Ob eine App Daten sammelt, welche Daten sie sammelt und zu welchem Zweck dies geschieht, aber auch wer die Daten des Nutzers oder der Nutzerin erhält, all dies soll in einer Datenschutzerklärung zu finden sein, die vor der Installation der App einzusehen sein muss.

Aber auch nach der Installation der App muss es möglich sein, die Datenschutzerklärung einzusehen. Insbesondere bei einem Update der App kann sich etwas getan haben, das auf den Datenschutz Einfluss hat.

Wer aber bei Apps nach einer Datenschutzerklärung sucht, wird leider nicht immer fündig, im Gegenteil!

Datenschutz hinterfragen: im App-Store und in der App selbst

Ob eine App eine Datenschutzerklärung hat oder nicht, sollte darüber entscheiden, ob man die App überhaupt installiert und nutzt. Die App-Stores wie Google Play für Android-Apps haben in aller Regel einen Link bei der App-Beschreibung, der zur Datenschutzerklärung führt. Leider ist dieser Link nicht so leicht zu finden, zum Beispiel bei den Kontaktdaten des App-Entwicklers.

Noch schwieriger ist es, wenn man die App bereits installiert hat. Hier erscheint es eher wie eine Ausnahme, wenn eine App auch einen Bereich für die Datenschutzerklärung hat. Selbst bei bekannten Apps lässt sich nicht davon ausgehen, dass sie wirklich umfassend über den Datenschutz informieren.

Wer also nicht mit seinen Daten für eine App bezahlen will, ohne genau zu wissen, wer was zu welchem Zweck erfahren wird, sollte auf Apps ohne Datenschutzhinweise verzichten. Tatsächlich wollen viele Apps mehr erfahren, als sie wissen müssten. Das klassische Beispiel sind etwa Apps mit Taschenlampen-Funktion, die auf Standortdaten und Fotos zugreifen wollen. Da sollte einem das Licht aufgehen, dass hier eine App womöglich Nutzerdaten sammeln will.

Veröffentlicht am

Schadensersatz für unerlaubte E-Mails

Jemand bekommt eine Werbemail, obwohl er Werbemails deutlich abgelehnt hatte. Jetzt möchte er wegen dieser einen Mail Schadensersatz. Hat er damit eine Chance?

Ein Versehen ist schnell passiert

Werbeverbote in eine Adressdatenbank einzutragen, ist eine lästige Arbeit. Da passiert schnell einmal ein Fehler. Und schon ist eine Werbemail verschickt, obwohl der Adressat ausdrücklich keine Werbemails haben will.

Manche wollen dafür Geld sehen

Eine freundliche Entschuldigung sollte doch wohl reichen? Manche Betroffene akzeptieren sie und alles ist gut. Es gibt aber auch betroffene Personen, die Schadensersatz verlangen. Häufig bewegen sich die Forderungen im Bereich von 100 Euro bis 300 Euro. Wohlgemerkt, wegen einer einzigen E-Mail. Bevor es die Datenschutz-Grundverordnung (DSGVO) gab, hätte jedes Gericht über eine solche Idee den Kopf geschüttelt.

Natürlich besteht ein Anspruch auf Unterlassung

Auch damals gewährten die Gerichte schon einen Anspruch auf Unterlassung. Das ist heute noch genau-so. Man muss also in einer „Unterlassungserklärung“ versprechen, dass so etwas nicht wieder passieren wird. Mit dieser Erklärung muss das „Versprechen einer Vertragsstrafe“ kombiniert sein. Wird doch wieder eine E-Mail verschickt, ist das Unterlassungsversprechen gebrochen. Das wiederum löst eine Vertragsstrafe aus. Vorher ist sie kein Thema.

Schadensersatz gab es früher aber nicht

Schadensersatz wegen der einen Mail, die schon verschickt wurde, gewährten die Gerichte früher nicht. Das typische Argument lautete: Ein Schaden, den man finanziell beziffern könnte, ist nicht entstanden. Und Anlass für so etwas wie Schmerzensgeld sahen die Gerichte wegen einer solchen Kleinigkeit nicht.

Die DSGVO hat das geändert

Durch die DSGVO hat sich das geändert. Sie enthält in ihrem Artikel 82 eine Regelung über das „Recht auf Schadensersatz“. Schadensersatz gibt es demnach immer dann, wenn „wegen eines Verstoßes gegen diese Verordnung“ ein Schaden entstanden ist. Dabei kann dieser Schaden ausdrücklich materiell oder immateriell sein. Materiell bedeutet, dass er finanziell zu beziffern ist. Immateriell ist ein Schaden, wenn er sich zwar nicht in Geld messen lässt, aber doch „wehtut“.

Ein „ungutes Gefühl“ kann ein immaterieller Schaden sein

Ein typisches Beispiel für einen immateriellen Schaden sind Schmerzen. Schmerzen wird eine unzulässige Werbe-E-Mail kaum jemals auslösen. Eine gewisse Belästigung kann sie aber schon darstellen. Auch kann sie eine Unsicherheit darüber auslösen, ob die Mailadresse noch irgendwohin weitergegeben worden ist.

Ein Amtsgericht gewährte dafür 300 Euro

Tatsächlich hat ein Amtsgericht folgende Auffassung vertreten: „Der Schaden kann bereits in dem unguten Gefühl liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind.“ Das war dem Gericht Anlass genug, 300,- Euro Schadensersatz zu gewähren.

Beachten Sie alle Vorgaben Ihres Arbeitgebers genau!

Jede und jeder sollte deshalb unbedingt die Vorgaben beachten, die im Unternehmen für den Umgang mit Mailadressen bestehen. Sonst kann es schnell teuer werden.

Veröffentlicht am

Messenger-Apps: Schnelle Nachricht, hohes Risiko?

Messenger-Anwendungen wie WhatsApp und Facebook Messenger sind beliebt. Denn sie ermöglichen eine schnelle, unkomplizierte Kommunikation. Leider können solche Chat-Programme aber auch zum Datenrisiko werden, sowohl bei privater Kommunikation als auch bei beruflichen Chats.

Bekannt, beliebt, bedrohlich?

Es vibriert, es plingt, es piept: Wer in Deutschland ein Smartphone oder Handy nutzt, bekommt durchschnittlich 13 Kurznachrichten pro Tag, so eine Umfrage des Digitalverbands Bitkom.

„Kurznachrichten spielen nicht nur in der privaten Kommunikation eine ganz zentrale Rolle. Insbesondere während der Corona-Pandemie halten viele so den Kontakt zu Freunden und Familienmitgliedern und können so schnell und unkompliziert Grüße, Fotos und auch Videos austauschen“, sagt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder.

Wer ein Smartphone hat, greift fast immer auch auf Messenger-Dienste wie WhatsApp, Signal oder Threema zurück. 9 von 10 (88 Prozent) Nutzerinnen und Nutzern von Smartphones verwenden entsprechende Apps. Das entspricht rund 50 Millionen Menschen in Deutschland.

Berufliche Kommunikation findet ebenso über Messenger-Apps wie WhatsApp, Signal oder Telegram statt wie das Verschicken von Urlaubsgrüßen. 36 Prozent machen zum Beispiel im Urlaub einen Bewegt-bild-Anruf per Skype, Facetime oder WhatsApp.

Messenger sind inzwischen das am häufigsten genutzte Kommunikationsmittel. Umso wichtiger ist, dass Kommunikation über Messenger in einem absolut vertrauensvollen und sicheren Umfeld stattfinden kann, wie der Digitalverband Bitkom betont.

Datenschützer weisen auf zahlreiche Risiken bei Messenger hin

Gerade der besonders beliebte Dienst WhatsApp ist häufig in der Datenschutz-Kritik. Ein Problem: Bereits bei der Anmeldung zu WhatsApp können alle Kontaktdaten, die jemand im Telefon gespeichert hat, an den Anbieter übertragen werden. Hierfür besteht weder eine Rechtsgrundlage noch können die Personen, die im Nutzertelefon gespeichert sind, in die Datenweitergabe einwilligen oder ihr widersprechen, warnen die Aufsichtsbehörden für den Datenschutz.

„Es gibt deutlich datensparsamere Messenger-Dienste auf dem Markt, die dieselben Möglichkeiten der Kommunikation bieten“, so zum Beispiel die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, Barbara Thiel.

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen hat bereits sogenannte „Leitplanken für die Auswahl von Messenger-Diensten“ veröffentlicht, um bei der Auswahl geeigneter Messenger-Apps zu helfen (als PDF abrufbar unter https://ogy.de/leitplanken-ldi-nrw).

Worauf es bei Messenger ankommt

Vor der Entscheidung für einen Messenger-Dienst sollten Sie deshalb prüfen,

  • ob der Anbieter Sie transparent über die Datenverarbeitung, die mit der Nutzung verbunden ist, informiert (Datenschutzerklärung),
  • ob der Anbieter die Datenschutz-Vorgaben zur (Nicht-)Weitergabe und (Nicht-)Auswertung personenbezogener Daten einhält,
  • ob die personenbezogenen Daten in ein Land außerhalb der EU übertragen werden sollen,
  • ob datenschutzfreundliche Einstellungen möglich sind oder besser noch voreingestellt sind,
  • ob Sie die Messenger-App nutzen können, ohne die im Adressbuch vorhandenen Kontaktdaten, insbesondere Telefonnummern, für Zwecke des Anbieters bzw. für fremde Zwecke an den Anbieter zu übermitteln, und
  • ob der Anbieter übermittelte Daten mit allgemein anerkannten und dem Stand der Technik entsprechenden Verfahren verschlüsselt.

Nur freigegebene Messenger nutzen und Privatsphäre schützen

Offensichtlich bestehen zahlreiche Anforderungen an Messenger-Dienste, da es vielfältige Datenrisiken bei der Installation und Nutzung geben kann.

Verwenden Sie deshalb beruflich nur dann Messenger-Apps, wenn sie intern freigegeben sind, und dann auch nur die wirklich zugelassenen. Privat sollten Sie sich ebenfalls genau überlegen, wem Sie Ihre Kontaktdaten, Fotos, Videos und Statusinformationen anvertrauen. Es ist nicht einfach, selbst die Einhaltung der Datenschutzvorgaben zu überprüfen. Deshalb sind die Hinweise der Aufsichtsbehörden für den Datenschutz zu einzelnen Messenger-Diensten wertvoll und hilfreich, wie zum Beispiel in den erwähnten „Leitplanken für die Auswahl von Messenger-Diensten“.

Selbst wenn besonders beliebte und bekannte Messenger weit verbreitet sind, bedeutet das nicht, dass diese Messenger-Apps besonders sicher und datenschutzfreundlich sind. Sprechen Sie auch im privaten Umfeld über den Datenschutz bei Messenger und entscheiden Sie sich gemeinsam mit Ihren Kontakten für mehr Datenschutz bei der digitalen Kommunikation!

Veröffentlicht am

Schluss mit Spam: So arbeiten Spam-Filter mit mehr Erfolg

Unerwünschte Mails, Chat-Nachrichten und Anrufe – Spam hat viele Gesichter. Spam-Filter sollen die Spam-Flut eindämmen. Dazu müssen sie aber richtig eingesetzt werden. Werden sie nicht trainiert, bleiben Spam-Filter erfolglos und dumm, die Spam-Mails weiterhin eine Plage und ein Datenrisiko.

Spam ist mehr als lästig

Zu Beginn des Arbeitstags ruft man seine E-Mails ab, unter den erschreckend vielen Mails, die über Nacht eingetroffen sind, befinden sich zahlreiche Spam-Mails. Ist dies der Fall, sortiert der Mail-Server offensichtlich die Spam-Mails nicht oder nicht gut genug aus. Oder aber der lokale Spam-Filter im E-Mail-Programm verdient wohl seinen Namen nicht.

Wenn man aber viele Spam-Mails im Posteingang hat, ist dies nicht nur ärgerlich. Es kostet Zeit und Nerven, nicht zuletzt kann man versehentlich legitime Mails löschen oder Spam-Mails ungewollt öffnen. Wenn die Spam-Versender dann noch das Öffnen registrieren (über Mail-Tracking), wird die Zahl der Spam-Attacken weiter steigen. Bringt die Spam-Mail Schadsoftware mit, ist schnell der Computer oder das Smartphone verseucht.

Spam-Filter können helfen, wenn man ihnen hilft

Nun stellt sich die Frage, warum die genutzten Spam-Filter diese vielen lästigen und sogar gefährlichen Mails nicht aussortieren. Darauf gibt es mehr als eine Antwort. Zum einen werden die kriminellen Spam-Versender, die Spammer, immer besser. Viele Spam-Mails sind also inzwischen besser getarnt als früher. Dabei hilft den Spammern auch künstliche Intelligenz, die die Spam-Inhalte optimieren, ja sogar auf die Opfer gezielt anpassen kann.

Ein weiteres Problem sind die Spam-Filter selbst, die nicht so eingesetzt werden, wie es eigentlich sein soll. Auch in den Spam-Filtern wird inzwischen zunehmend Maschinelles Lernen eingesetzt. Sie sollen also mit der Zeit immer besser, also immer genauer werden, weniger Spam-Mails übersehen und möglichst keine legitime Mail als Spam einstufen. Dazu müssen die Nutzer aber mit den Spam-Filtern arbeiten.

Das richtige Training für Spam-Filter

Neue Spam-Filter sind relativ dumm. Treffen im Posteingang also viele Spam-Mails ein, sollte man diese nicht einfach löschen, sondern als Spam markieren. Das verschiebt diese Spam-Nachrichten nicht nur in den Spam-Ordner. Man teilt dem Spam-Filter auch mit, dass er einen Fehler gemacht hat.

Umgekehrt sollte man legitime Nachrichten, die in den Spam-Ordner geschoben wurden, von der Spam-Markierung befreien. Das verschiebt sie wieder in den Posteingang und trainiert erneut den Spam-Filter, denn auch hier hat er Fehler gemacht.

Natürlich wird der Spam-Filter nie alles richtig machen, aber er wird mit der Zeit besser. Je nach Anbieter für den Spam-Filter wird er auch durch externe Updates schlauer gemacht, aber ohne das Training durch Sie als Nutzer geht es nicht. Nur der Mail-Empfänger selbst kann die individuellen Vorgaben machen, die der Spam-Filter kennen muss. Diese Vorgaben macht man durch Markieren als Spam und durch Entfernen der Spam-Markierung.

Dies mag nach Aufwand aussehen, zahlt sich später aber aus. Ein gut trainierter Spam-Filter, der den Datenschutz beachtet, also nichts über den Nutzer verrät, ist ein wichtiger Teil der E-Mail-Sicherheit.

Veröffentlicht am

Wann ist die Zugriffskontrolle durch Fingerabdruck o.k.?

Der Scan des Fingerabdrucks schützt Rechner besonders effektiv vor unbefugten Zugriffen. In bestimmten Fällen darf der Arbeitgeber ausdrücklich verlangen, dass Beschäftigte diese Methode nutzen.

Fingerabdrücke sind besonders geschützt

Fingerabdrücke gehören zu den biometrischen Daten. Biometrische Daten sagen unmittelbar etwas über den Körper eines Menschen aus. Deshalb sind sie besonders geschützt. Ihre Verarbeitung ist nur unter engen Voraussetzungen zulässig. Das ordnet die Datenschutz-Grundverordnung (DSGVO) für biometrische Daten an, wenn sie „zur eindeutigen Identifizierung einer natürlichen Person“ geeignet sind.

Es passt zur Fürsorgepflicht des Arbeitgebers

Das gilt auch im Arbeitsleben. Daran ist nichts Überraschendes. Das Arbeitsrecht kennt die Fürsorgepflicht des Arbeitgebers. Sie bringt zum Ausdruck, dass die persönlichen Belange von Arbeitnehmerinnen und Arbeitnehmern im Arbeitsalltag wichtig sind. Sie schafft einen geschützten Rahmen, in dem der Arbeitnehmer seine Arbeitsleistung erbringt.

Die Einzelheiten regelt das BDSG

Manchmal ist eine ordnungsgemäße Arbeitsleistung nur möglich, wenn dabei Daten des Arbeitnehmers verarbeitet werden. Hierzu trifft das Bundesdatenschutzgesetz (BDSG) einige Regelungen. Solche ergänzenden nationalen Vorschriften macht die DSGVO für das Arbeitsleben ausdrücklich möglich.

Zweistufige rechtliche Prüfung bei Fingerabdrücken

Das BDSG sieht eine zweistufige Betrachtung vor. Dies lässt sich am Beispiel von Fingerabdrücken sehr gut zeigen:

• Stufe 1: Zunächst muss feststehen, dass das Scannen von Fingerabdrücken notwendig ist, damit der Arbeitnehmer seine Arbeitsleistung ordnungsgemäß erbringen kann.
• Stufe 2: Anschließend ist zu prüfen, ob im konkreten Einzelfall ausnahmsweise trotzdem schutzwürdige Interessen des Arbeitnehmers den Vorrang haben. Sollte das der Fall sein, wäre das Scannen zwar an sich erforderlich, aber im Ergebnis trotzdem nicht zulässig.

Im Normalfall ist ein Fingerabdruck-Scan übertrieben

Im normalen Büroalltag ist es nicht erforderlich, den Zugriff auf einen Rechner durch das Scannen eines Fingerabdrucks abzusichern. Sofern die „üblichen Bürodaten“ wie etwa Daten von Bestellungen und Lieferungen verarbeitet werden, wäre das schlicht übertrieben. Natürlich brauchen auch solche Daten einen Schutz gegen unbefugte Zugriffe. Dafür genügen aber die üblichen Mittel wie Passwörter und das Sperren des Bildschirms, wenn einige Zeit keine Eingabe mehr erfolgt ist.

Das macht den Büroalltag unbequemer

Für solche Situationen ist das Scannen von Fingerabdrücken nicht erforderlich. Damit fehlt es an den Voraussetzungen der Stufe 1. Der Arbeitgeber darf in diesen Fällen solche Scans nicht vorsehen. Dies gilt auch dann, wenn es den betroffenen Arbeitnehmern eigentlich ganz recht wäre. Denn für sie wäre es oft bequemer, den Daumen auf einen Scanner zu legen, statt ein Passwort einzugeben, das sie auch noch regelmäßig ändern müssen. Eine Betriebsvereinbarung zu dem Thema könnte weiterhelfen. Eine Einwilligung des Arbeitnehmers sehen die Datenschutzbehörden dagegen mit Skepsis.

In Sonderfällen ist ein Fingerabdruck-Scan geboten

Manchmal ist der Einsatz von Fingerabdruck-Scans erforderlich. Das gilt vor allem für sicherheitssensible Bereiche. Ein Beispiel hierfür ist die Arbeit an technischen Entwicklungen, die später zum Patent angemeldet werden sollen. Ein weiteres Beispiel ist die Durchführung von Aufträgen, die staatlichen Geheimhaltungsvorschriften unterliegen. Dies kommt etwa bei Lieferanten der Bundeswehr vor. Solche Fälle erfüllen die Voraussetzungen der Stufe 1.

Schutzwürdige Interessen stehen fast nie entgegen

Die Prüfung der Stufe 2 ergibt nur ganz selten, dass dennoch schutzwürdige Interessen von Arbeitnehmern als vorrangig anzusehen sind. Denn selbstverständlich wird der Arbeitnehmer schon im eigenen Interesse strikt darauf achten, wer beispielsweise Zugriff auf die Scan-Daten hat. Sonst würde der Schutz, den er mit ihrer Hilfe anstrebt, sofort wieder unterlaufen.

Schutzmaßnahmen brauchen immer ein Gesamtkonzept!

Als einzige Schutzmaßnahme reicht der Einsatz von Fingerabdruck-Scans normalerweise nicht aus. Vor allem das automatische Sperren des Bildschirms, wenn einige Zeit keine Eingabe erfolgt ist, ist zusätzlich notwendig. Und eine ganz banale Absicherung sollte man ebenfalls nie vergessen: Ein PC ist heutzutage so klein, dass er leicht in einer Tasche Platz findet. Es ist deshalb ein Schutz dagegen notwendig, dass ihn ein „Langfinger“ einfach mitnimmt. Jede einzelne Sicherungsmaßnahme taugt eben nur so viel wie das Gesamtkonzept, zu dem sie gehört!

Veröffentlicht am

Selbstdatenschutz im Homeoffice

Beschäftigte im Homeoffice sind in Fragen des Datenschutzes zwar nicht auf sich allein gestellt, aber ihr Anteil an Schutzmaßnahmen ist höher, als viele glauben. Es geht um mehr als die Sicherheit für Notebook und Smartphone.

Selbst sind die Frau und der Mann

In Zeiten der Corona-Pandemie ist die Zahl der Beschäftigten im Homeoffice deutlich gestiegen. Zu Beginn waren viele Maßnahmen noch temporär gedacht, mit heißer Nadel gestrickt und gerade im Bereich der Datensicherheit mehr ein Provisorium als eine Lösung auf Unternehmensniveau.

Inzwischen aber ist in vielen Unternehmen deutlich geworden, dass das Homeoffice nicht mehr komplett verschwinden wird. Im Gegenteil: Viele Firmen wollen das Homeoffice als gleichberechtigten Arbeitsplatz neben dem Büro im Firmengebäude erhalten. Man spricht dann von hybriden Arbeitsplätzen.

Doch wirklich gleichberechtigt sind Homeoffice und Büroschreibtisch in der Firma nicht. Denn der Firmenarbeitsplatz kann von den zentralen Maßnahmen der IT-Sicherheit profitieren. Im Homeoffice sind die Beschäftigten selbst gefragt, für die Sicherheit der personenbezogenen Daten stärker aktiv zu werden.

Betriebliche Notebooks und Smartphones reichen nicht

Wie eine Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI) in der deutschen Wirtschaft ergab, verwenden nur 42 Prozent der Unternehmen ausschließlich betriebseigene IT in den Homeoffices. Die Mehrzahl der Unternehmen setzt also darauf, dass die Beschäftigten auch private Geräte betrieblich einsetzen.

Ist dies der Fall, müssen die Beschäftigten die eigenen Geräte wie Notebook und Smartphone genauso stark absichern, wie dies der Arbeitgeber mit den betrieblichen Geräten tut. Insbesondere müssen private und betriebliche Daten und Anwendungen strikt getrennt werden, der Zugriff privater Apps und unbefugter Dritter, wozu auch die eigene Familie der Beschäftigten zählt, auf betriebliche personenbezogene Daten muss ausgeschlossen werden.

Doch selbst die Bereitstellung von Smartphones und Notebooks durch den Arbeitgeber reicht nicht für den Datenschutz im Homeoffice, es ist mehr an Selbstdatenschutz gefragt.

Homeoffice muss sichere Umgebung werden

Tatsächlich nutzen selbst betriebliche Smartphones und Notebooks im Homeoffice auch Geräte, die eben doch private Geräte sind. Dies können die Drucker im Homeoffice sein, das Headset, die Webcam, die Maus, der Bildschirm und insbesondere der Internet-Router, mit dem die Verbindung ins Internet, aber meist auch die Verknüpfung mit dem Firmennetzwerk aufgebaut wird.

Internet-Router sind beliebte Angriffsziele für Hacker, denn sie werden häufig vernachlässigt. Die Sicherheitseinstellungen werden nicht kontrolliert, die Firmware des Routers nicht regelmäßig aktualisiert. Das WLAN-Passwort „kennen“ auch die Smart-Home-Anwendungen, die häufig so reich an Schwachstellen sind, dass ein Angreifer dort das Passwort auslesen kann, um dann den Datenverkehr im Homeoffice zu überwachen.

Nicht nur an die IT denken

Doch nicht nur die komplette private IT, die die Beschäftigten im Homeoffice nutzen, ist Gegenstand des Selbstdatenschutzes, da die IT-Sicherheitsabteilung des Arbeitgebers hier nicht aktiv wird. Auch die Dokumente auf dem heimischen Schreibtisch, die Ausdrucke im privaten Müll und die Telefonate auf dem Balkon oder der Terrasse können zu Datenschutz-Problemen führen.

Wer im Homeoffice arbeitet, muss an den Home-Datenschutz denken. Das umfasst etwa auch das Absperren der heimischen Bürotür, wenn andernfalls unbefugte Zugriffe auf Daten und Dokumente möglich werden könnten.

Veröffentlicht am

Die Praxisübernahme und das „Zwei-Schrank-Modell“

Was passiert eigentlich mit Behandlungsunterlagen, wenn eine Nachfolgerin oder ein Nachfolger eine Arztpraxis übernimmt oder wenn eine neue Betriebsärztin auf den bisherigen Betriebsarzt folgt? Das „Zwei-Schrank-Modell“ stellt in solchen Fällen den Datenschutz sicher.

Höchster Schutz für medizinische Daten

Wer sich ärztlich behandeln lässt, erwartet für seine Daten höchsten Schutz. Die ärztliche Schweigepflicht spielt dabei eine zentrale Rolle. Sie muss auch dann gewahrt bleiben, wenn ein Nachfolger eine Arztpraxis übernimmt oder wenn der Betriebsarzt wechselt.

Aufbewahrungspflicht von zehn Jahren

Rein rechtlich ist alles klar: Nach Abschluss einer Behandlung muss ein Arzt die Patientenakte zehn Jahre lang aufbewahren. Das steht so in § 630f Abs. 3 Bürgerliches Gesetzbuch (BGB). Diese Pflicht besteht fort, wenn ein Arzt beispielsweise in den Ruhestand tritt und die Praxis an einen Nachfolger übergibt. Die Patientenunterlagen müssen weiterhin zuverlässig geschützt sein.

Zu schnell steht die Aufbewahrungspflicht nur auf dem Papier

Doch wie lässt sich das in der Praxis sicherstellen? Der bisherige Praxisinhaber will sich im Ruhestand um die Unterlagen nicht mehr kümmern. Und ein Betriebsarzt, der ausgeschieden ist, hat inzwischen auch anderes zu tun. Verständlich, dass er sich mit den vorhandenen Unterlagen am liebsten nicht mehr befassen möchte.

Die Elemente des „Zwei-Schrank-Modells“

Einen Ausweg aus diesem Dilemma bietet das „Zwei-Schrank-Modell“. Die Datenschutzaufsichtsbehörden empfehlen es. Inzwischen ist es allgemein üblich. Für klassische Patientenakten auf Papier funktioniert es in einer Arztpraxis so:

  • Man stellt in der Arztpraxis zwei Schränke auf.
  • In Schrank 1 kommen die Unterlagen, die bei der Tätigkeit des bisherigen Praxisinhabers entstanden sind. Sie werden eingeschlossen.
  • Schrank 2 ist zunächst völlig leer.
  • Den Schlüssel für beide Schränke erhält der Praxisnachfolger.
  • Der bisherige Inhaber der Praxis und sein Nachfolger schließen einen Vertrag. Darin verpflichtet sich der Nachfolger, die vorhandenen Unterlagen streng gesichert in Schrank 1 aufzubewahren.
  • Kommt ein Patient des bisherigen Praxisinhabers zum Nachfolger, fragt dieser den Patienten, ob er den Zugriff auf die vorhandenen Unterlagen erlaubt.
  • Meist ist das der Fall. Dann wird Schrank 1 geöffnet und die dort vorhandenen Unterlagen des Patienten kommen in Schrank 2.
  • Nach einiger Zeit hat sich Schrank 1 meist ziemlich geleert und Schrank 2 ziemlich gefüllt.
  • Die „Restunterlagen“ in Schrank 1 bleiben dort, bis die Aufbewahrungsfrist von zehn Jahren abgelaufen ist. Dann werden diese Unterlagen datenschutzgerecht vernichtet.

Das Modell funktioniert auch bei elektronischen Unterlagen

Das Beispiel der klassischen Patientenakten auf Papier ist besonders leicht nachzuvollziehen. Das Modell funktioniert jedoch auch, wenn die Patientenunterlagen in elektronischer Form vorhanden sind. In wenigen Jahren dürfte das die Regel sein. In diesem Fall wird das „Zwei-Schrank-Modell“ einfach elektronisch nachgebildet.

Der vorhandene Datenbestand wird bei der Übergabe der Praxis gesperrt und besonders gegen Zugriff gesichert. Erst wenn der Patient gegenüber dem Praxisnachfolger zustimmt, schaltet der Praxisnachfolger den Datensatz frei. Das muss er selbstverständlich nicht unbedingt persönlich tun. Auch jemand aus dem Sprechstundenteam, der dafür besonders eingewiesen ist, kann das erledigen.

Besonders datenschutzkonform: die Protokollierung von Zugriffen

Die elektronische Variante ist besonders datenschutzkonform. Bei ihr ist es problemlos möglich, jeden Zugriff zu protokollieren. Wenn die Protokollierung richtig eingerichtet ist, lassen sich die gespeicherten Daten im Nachhinein nicht mehr verändern. Dann lässt sich bei etwaigen Beschwerden leicht feststellen, ob alles ordnungsgemäß abgelaufen ist oder nicht.

Kleine Besonderheiten beim Wechsel des Betriebsarztes möglich

Beim Wechsel des Betriebsarztes lässt sich das Modell an die Strukturen anpassen, die jeweils vorhanden sind. Manche Unternehmen haben die Funktion des Betriebsarztes bei einer externen Praxis angesiedelt, die auch die Patientenunterlagen aufbewahrt. Dann passt alles, was bisher gesagt wurde, 1:1. Bei anderen Unternehmen erfolgt die Aufbewahrung der Patientenunterlagen im Unternehmen selbst. Zugriff hat dabei selbstverständlich nur der Betriebsarzt. In diesem Fall müsste der Schlüssel für die vorhandenen Unterlagen so lange beim bisherigen Betriebsarzt bleiben, bis ein neuer Betriebsarzt bestimmt ist.