> Beratung datenschutz Homeoffice

Schatten-IT – Steht der Datenschutz im Schatten der Fachabteilungen?

Schatten IT DatenschutzUnter Schatten-IT (Shadow-IT) ist die parallele Nutzung von IT-Infrastrukturen, sprich Hardware, Software, Netzwerke und Services, neben der eigentlichen IT-Systemlandschaft eines Unternehmens, zu verstehen. Anders als bei der offiziellen Infrastruktur, findet keine Unterstützung durch die IT-Abteilung statt, sondern ist ausschließlich in Abteilungen für kleine Personengruppen angedacht. Häufig werden die Systeme durch die Fachabteilung, gänzlich ohne Kenntnis der IT-Abteilung, Geschäftsleitung und des Datenschutzbeauftragten initiiert, weshalb sie weder mit der technischen noch mit der organisatorischen Struktur des Unternehmens verknüpft werden.

Werden für das offizielle IT-System durch die IT-Abteilung zahlreiche Maßnahmen zum Schutz von sensiblen Informationen, wie Betriebsgeheimnissen und personenbezogenen Daten, umgesetzt, so kann in den meisten Fällen davon ausgegangen werden, dass Fachabteilungen diesen Schutz nicht gewährleisten können.

Gründe für die Schatten-IT

Gründe für die Schatten-IT sind in den seltensten Fällen Böswilligkeit der Mitarbeiter, sondern eher der Versuch, sich oder der IT-Abteilung, die Arbeit zu erleichtern oder abzunehmen. Zudem führt die technische Entwicklung dazu, dass die meisten Mitarbeiter über Smartphones, Tablets und Laptops verfügen. Das Arbeiten mit diesen mobilen Endgeräten ist für Mitarbeiter so selbstverständlich, dass sie sich über einzelne Risiken gar nicht bewusst sind. Ein in der Praxis häufig auftretendes Beispiel, insbesondere in kleinen und mittleren Unternehmen (KMU) oder Körperschaften, ist das Einrichten des dienstlichen E-Mail-Postfachs auf dem privaten Smartphone.

Neben der Selbstverständlichkeit nimmt zudem das technische Know-How der Mitarbeiter zu. Dies kann wiederrum dazu führen, dass sie ihre Fähigkeiten überschätzen und ohne die IT-Abteilung zurechtkommen möchten.

Des Weiteren bieten sich den Mitarbeitern, durch die stetig fortschreitende technische Entwicklung und sinkende Preise, viel mehr Möglichkeiten als dies in der Vergangenheit der Fall war. Möchten Sie miteinander kommunizieren, so weichen sie vom Telefonieren auf Instant Messenger, wie zum Beispiel WhatsApp oder Skype aus. Sollen Dokumente geteilt werden, so werden diese nicht mehr per verschlüsselter E-Mail versendet, sondern kurzerhand in Dropbox-Ordner gestellt. Kaum ein Mitarbeiter macht sich darüber Gedanken, dass er dabei gegen Rechtsgrundlagen -insbesondere des Datenschutzes- [z. B. das Bundesdatenschutzgesetz (BDSG)] verstößt.

Weitere Gründe für Ambitionen zur Schatten-IT können oftmals lange Reaktions- und Antwortzeiten der IT-Abteilungen, die auf zahlreiche Faktoren, wie die räumliche Trennung zwischen IT- und der jeweiligen Fachabteilungen, sowie die teilweise personell schwach besetzte IT zurückzuführen sind, sein. Dies und das Unverständnis vieler Mitarbeiter, wenn die IT-Abteilung oder übergeordnete Entscheidungsträger, Hard- oder Software aus Risiko- oder Budgetgründen ablehnen, sind Ursachen für das Ausweichen, z. B. auf „eigene“ Cloud-Lösungen. Das Nutzen externer IT-Infrastruktur ist jedoch kritisch zu betrachten, da weder die Sicherheit noch der Schutz der Daten gewährleistet werden kann. Es ist nicht grundlos so, dass die IT-Abteilung eine gewisse Zeit benötigt, um ggf. nach Rücksprache mit beratenden Funktionen, wie dem Datenschutzbeauftragten, oder Entscheidungsträgern Umsetzungen sicher zu veranlassen.

Risiken der Schatten-IT

Die Höhe und Häufung der Risiken hängt grundsätzlich von der Ausprägung der IT-Infrastruktur der Fachabteilungen ab, jedoch sollen im Folgenden einige Risiken und Probleme benannt werden, die in diesem Zusammenhang auftreten könnten.

Ein Beispiel für die Auswirkungen der Schatten-IT ist der Einsatz privater Hardware zu dienstlichen Zwecken. Verwenden Mitarbeiter ihre privaten Endgeräte und anderes als bei gewünschtem Bring Your Own Device (BYOD), ohne Kenntnis der IT  sowie der Geschäftsleitung, wird man regelmäßig mit Problemen, wie einer unzureichenden Verschlüsselung, konfrontiert. Ist die private Hardware nicht verschlüsselt, so können bei Verlust Informationen durch Unbefugte eingesehen werden. Gelangen personenbezogene Daten an Unbefugte, so ist die „Verantwortliche Stelle“ laut § 42 a BDSG bei sogenannten Datenpannen dazu verpflichtet, Betroffene und die Aufsichtsbehörde zu informieren. Dieser Informationspflicht muss vor allem bei besonderen personenbezogenen Daten (z. B. Beispiel Gesundheitsdaten) sowie bei personenbezogenen Daten zu Bank- und Kreditkonten nachgegangen werden. Neben Bußgeldern ist der Imageverlust eines Unternehmens erheblich.

Die Vermischung privater und dienstlicher Daten durch die Nutzung privater Geräte ist ebenfalls problematisch, da der Arbeitgeber kein Recht hat, auf die privaten Geräte zuzugreifen und insbesondere, bei Ausscheiden des Mitarbeiters nicht kontrolliert werden darf, ob alle dienstlichen Informationen entfernt wurden. In der Praxis führt dies unweigerlich dazu, dass über die Zeit gesehen und unweigerlich immer mehr und mehr Informationen unkontrollierbar außerhalb des Unternehmens bekannt sind oder dies zumindest werden können. Es werden somit zumindest einige kleinere und mittlere „Zeitbomben“ geschaffen.

cloud-computing Schatten-IT und DatenschutzDie Datensicherung, die Archivierung von E-Mails, der Schutz vor Malware oder Urheberrechtsverletzungen stellen weitere Risiken für ein Unternehmen dar. Bringt der Mitarbeiter private Geräte -ohne Kenntnis der IT-Abteilung- in ein Unternehmen ein, so sorgt er z. B. eigenständig für die für die Sicherung der Daten und den Schutz vor Malware. Ein Mitarbeiter verfügt jedoch in den meisten Fällen nicht über die technischen Kenntnisse einer IT-Abteilung, weshalb der Schutz der Informationen nicht oder nur teilweise gewährleistet werden kann. Dieses eigenverantwortliche Handeln der Mitarbeiter bereitet neben der IT-Abteilung, dem Datenschutzbeauftragten vor allem der Geschäftsleitung Bauchschmerzen, da diese letztens verantwortliche Stelle bleibt. Gleiches gilt auch für Urheberrechtsverletzungen. Verwendet ein Mitarbeiter eine nicht ordnungsgemäß lizensierte Software zur Erfüllung der dienstlichen / arbeitsvertraglichen Aufgaben und kommt dies dem Unternehmen zu Gute, so könnten Ansprüche gegen das Unternehmen und damit die Geschäftsleitung gemäß § 99 Urhebergesetz bestehen.

Aber auch das eigenständige Beschaffen dienstlicher Hardware und Software sorgt für einen Wildwuchs, der kaum zu überblicken ist, wodurch die Anforderungen aus der Anlage zu § 9 Satz 1 BDSG nicht bzw. nur teilweise erfüllt werden können. Zudem ist die Abstimmung untereinander aufwendiger und die doppelte Implementierung der IT-Lösungen verursacht hohe Kosten.

Neben den möglichen Verletzungen der Archivierungspflichten, dem Urheberrecht oder den nicht erfüllten Anforderungen des Bundesdatenschutzgesetzes bzw. perspektivisch der EU-Datenschutz-Grundversordnung (DSGVO), häufen sich Probleme durch den Einsatz von Cloud-Computing. Personenbezogene Daten werden beispielsweise unkontrollierbar in die Dropbox geladen. Dabei handelt es sich bereits um eine Datenübermittlung in die USA, für die man keine Einwilligung des Betroffenen und i. d. R. keine andere Legitimation hat und somit gegen geltendes Datenschutzrecht verstößt.

Fazit zur Schatten-IT

Sicherlich bringt die Verwendung privater Geräte, der Einsatz von Cloud-Computing oder das selbstständige Beschaffen von Hard-und Software, insbesondere für den Mitarbeiter, eine Vielzahl an Vorteilen. Er ist viel flexibler und kann Hardware, sowie Software nutzen, die ihm von der Handhabung besser gefällt. Die Einsparungen für die Hardware können zunächst auch aus Sicht der Geschäftsleitung von Vorteil sein, jedoch sollte dies in einer kontrollierten Form, wie Bring Your Own Device (BYOD) mit einer Mobilgeräteverwaltung, einem sogenannten Mobile-Device-Management (MDM), eingebracht werden. Auch Cloud-Dienste können für alle Seiten viele Vorteile mit sich bringen. Übergehen Sie vor dem Einsatz allerdings nicht die IT und sonstige weitere Entscheidungsträger sowie die Geschäftsleitung. Bei Unklarheiten über datenschutzrechtliche Risiken, besser allerdings vorsorglich, sollte Ihr Datenschutzbeauftragter eingebunden werden. Alles in allem sollte das unkontrollierte Ansiedeln einer parallelen IT-Infrastruktur in einem Unternehmen unterbunden werden, da es viele Risiken mit sich bringt und insbesondere für die IT-Abteilung einen großen Mehraufwand bewirken kann.

Benötigen Sie weitere Informationen zu Risiken der Schatten-IT? Werden bei Ihnen Cloud-Dienste in Anspruch genommen oder haben Sie Fragen zur rechtskonformen Archivierung von E-Mail?

Sprechen Sie doch mit Ihrem Datenschutzbeauftragten. Sie haben noch keinen? Dann nehmen Sie Kontakt zu uns auf.

Gerne offierieren wir unser Dienstleistungsangebot an:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen
  • sowie in Einzelfällen interessierten Privatpersonen.

„Datenschutz Homeoffice“ – der richtige Umgang mit der sogenannten Telearbeit

Datenschutz im Homeoffice - der richtige Umgang mit der Telearbeit - Brands Consulting - externer Datenschutzbeauftragter

Das in den Niederlanden verabschiedete Gesetz auf Heimarbeit (Home-Office) ist nur ein weiterer Indikator für die nicht nur national steigende Relevanz dieser Thematik. Auch wir Deutschen wünschen uns immer häufiger u. a.:

  • flexiblere Arbeitszeiten
  • eine bessere Work-Life-Balance
  • kreatives, flexibles Arbeiten z. B. für „Kreativköpfe“ mittags im Café oder auch im heimischen Garten
  • die bessere Vereinbarkeit von Beruf und Familie (z. B. zur erleichterten Kinderbetreuung oder zum Pflegen von Angehörigen)

 

Rechtsgrundlage/n

Zwar haben unsere Nachbarn in den Niederlanden ein gesetzliches verankertes „Home-Office-Recht“, bei uns ist dieses bis dato allerdings nicht der Fall. Die Gewerbeordnung sieht in § 106 GewO vielmehr das Weisungsrecht des Arbeitsgebers vor.

So heißt es: „Der Arbeitgeber kann Inhalt, Ort und Zeit der Arbeitsleistung nach billigem Ermessen näher bestimmen, soweit diese Arbeitsbedingungen nicht durch den Arbeitsvertrag, Bestimmungen einer Betriebsvereinbarung, eines anwendbaren Tarifvertrages oder gesetzliche Vorschriften festgelegt sind. Dies gilt auch hinsichtlich der Ordnung und des Verhaltens der Arbeitnehmer im Betrieb. Bei der Ausübung des Ermessens hat der Arbeitgeber auch auf Behinderungen des Arbeitnehmers Rücksicht zu nehmen.“.

Es bleibt festzuhalten, dass zwar kein Gesetz das Recht auf die Arbeit von Zuhause aus einräumt, sondern der Arbeitgeber dies üblicherweise „nach billigem Ermessen“ näher bestimmen kann (z. B. zur Mitarbeitermotivation). Darüberhinaus können sich Regelungen zur „Arbeit im eigenen Büro“ (Zuhause) insbesondere ergeben aus:

  • Regelungen im Arbeitsvertrag
  • Betriebsvereinbarungen, beispielsweise zum Homeoffice oder zur Zeiterfassung
  • Tarifvertraglichen Regelungen
  • Betrieblicher Übung
  • Dienstvereinbarungen im öffentlichen Dienst

Die Tücken der mobilen Arbeit bzw. Tele(heim)arbeit „Datenschutz Homeoffice“

Die Verantwortlichen Stellen [Behörden, Vereine und Unternehmen (von kleinen Einzelunternehmern, über mittelständische Firmen bis hin zu Konzernen)] investieren sowohl in finanzieller als auch in zeitlicher Sicht (Arbeitszeitressourcen). Der Zweck liegt klar auf der Hand, die Gewährleistung von Datenschutz und Datensicherheit. Der bestellte Datenschutzbeauftragte berät dabei die Vereins-, Behörden- oder Geschäftsleitungen insbesondere rund um die sogenannten technischen und organisatorischen Maßnahmen (kurz TOM).

 

Technische und organisatorische Maßnahmen in der verantwortlichen Stelle

Der § 9 Bundesdatenschutzgesetz (BDSG) regelt hierzu das Folgende: „Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten.

 

In der Anlage zu § 9 Satz 1 BDSG sieht das Gesetz eine Konkretisierung vor. Hierin geht es darum, dass geeignete und verhältnismäßige Maßnahmen zu treffen sind zu/r:

  • Zutrittskontrolle
  • Zugangskontrolle
  • Zugriffskontrolle
  • Weitergabekontrolle
  • Eingabekontrolle
  • Auftragskontrolle
  • Verfügbarkeitskontrolle
  • Getrennten Verarbeitung

 

Diese technischen und organisatorischen Maßnahmen (TOM) werden unterschieden in:

  • Bauliche Maßnahmen
  • Organisatorische Maßnahmen
  • Technische Maßnahmen

 

Zur Vereinfachung wird nicht näher auf die sogenannten TOM eingegangen. Allerdings zeigt bereits dieser kurze Exkurs, dass zur Gewährleistung der TOM durch die Arbeitgeber bzw. Dienstherren eine ganze Menge Aufwand betrieben wird.

 

Technische und organisatorische Maßnahmen verknüpft mit „Datenschutz im Homeoffice“

Würde der erhebliche Aufwand, den ein Arbeitgeber oder Dienstherr betreibt, durch die Heimarbeit unterlaufen, wäre das Investierte (Zeit / Geld) zwar nicht völlig nutzlos, eine riesige Sicherheitslücke allerdings im Einzugsbereich „Datenschutz Homeoffice“ unausweichlich, Datenschutz-Probleme vorprogrammiert und die Handlung (grob) fahrlässig.

Bevor Home-Office-Regelungen geschaffen werden, sollten somit gewisse Mindeststandards an Datenschutz und Datensicherheit genauso bedacht werden, wie während des Einsatzes dieser zumeist arbeitnehmerfreundlichen bzw. beamtenfreundlichen Regelungen.

Grundsätzlich ist das Folgende zu empfehlen:

  • Für die Tele(heim)arbeit und mobile Arbeit sind -soweit möglich- die gleichen Sicherheitsstandards einzuhalten, wie bei der Organisation des Arbeitsplatzes. Bei Bedenken ist der (externe) (betriebliche) Datenschutzbeauftragte einzubeziehen.
  • IT-Geräte, die außerhalb des Unternehmens, des Vereins oder der Behörde verwendet werden, sind zwingend zu verschlüsseln.

Wie und ob eine konkrete Umsetzung einer Homeoffice-Regelung erfolgen kann oder sollte, hängt ganz konkret von der verantwortlichen Stelle, den individuellen Gegebenheiten und dem damit verbundenen Beratungsprozess ab.

 

 

Nehmen Sie Kontakt auf – fordern Sie ein unverbindliches Angebot an, wir beraten Sie gerne bei der Einführung der Telearbeit / der Implementierung einer HomeOffice-Regelung.

 

Ausrichtung / Dienstleistungsangebot

Das Dienstleistungsangebot der Brands Consulting umfasst die Kernkompetenzen:

 

Zielgruppe/n

Brands Consulting offeriert sein Dienstleistungsangebot:

  • Unternehmen / Firmen [Einzelunternehmen, kleinen und mittelständischen Unternehmen (KMU) und Konzernen]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen
  • sowie in Einzelfällen interessierten Privatpersonen.