> Datenschutzbeauftragter Homeoffice

Schatten-IT – Steht der Datenschutz im Schatten der Fachabteilungen?

Schatten IT DatenschutzUnter Schatten-IT (Shadow-IT) ist die parallele Nutzung von IT-Infrastrukturen, sprich Hardware, Software, Netzwerke und Services, neben der eigentlichen IT-Systemlandschaft eines Unternehmens, zu verstehen. Anders als bei der offiziellen Infrastruktur, findet keine Unterstützung durch die IT-Abteilung statt, sondern ist ausschließlich in Abteilungen für kleine Personengruppen angedacht. Häufig werden die Systeme durch die Fachabteilung, gänzlich ohne Kenntnis der IT-Abteilung, Geschäftsleitung und des Datenschutzbeauftragten initiiert, weshalb sie weder mit der technischen noch mit der organisatorischen Struktur des Unternehmens verknüpft werden.

Werden für das offizielle IT-System durch die IT-Abteilung zahlreiche Maßnahmen zum Schutz von sensiblen Informationen, wie Betriebsgeheimnissen und personenbezogenen Daten, umgesetzt, so kann in den meisten Fällen davon ausgegangen werden, dass Fachabteilungen diesen Schutz nicht gewährleisten können.

Gründe für die Schatten-IT

Gründe für die Schatten-IT sind in den seltensten Fällen Böswilligkeit der Mitarbeiter, sondern eher der Versuch, sich oder der IT-Abteilung, die Arbeit zu erleichtern oder abzunehmen. Zudem führt die technische Entwicklung dazu, dass die meisten Mitarbeiter über Smartphones, Tablets und Laptops verfügen. Das Arbeiten mit diesen mobilen Endgeräten ist für Mitarbeiter so selbstverständlich, dass sie sich über einzelne Risiken gar nicht bewusst sind. Ein in der Praxis häufig auftretendes Beispiel, insbesondere in kleinen und mittleren Unternehmen (KMU) oder Körperschaften, ist das Einrichten des dienstlichen E-Mail-Postfachs auf dem privaten Smartphone.

Neben der Selbstverständlichkeit nimmt zudem das technische Know-How der Mitarbeiter zu. Dies kann wiederrum dazu führen, dass sie ihre Fähigkeiten überschätzen und ohne die IT-Abteilung zurechtkommen möchten.

Des Weiteren bieten sich den Mitarbeitern, durch die stetig fortschreitende technische Entwicklung und sinkende Preise, viel mehr Möglichkeiten als dies in der Vergangenheit der Fall war. Möchten Sie miteinander kommunizieren, so weichen sie vom Telefonieren auf Instant Messenger, wie zum Beispiel WhatsApp oder Skype aus. Sollen Dokumente geteilt werden, so werden diese nicht mehr per verschlüsselter E-Mail versendet, sondern kurzerhand in Dropbox-Ordner gestellt. Kaum ein Mitarbeiter macht sich darüber Gedanken, dass er dabei gegen Rechtsgrundlagen -insbesondere des Datenschutzes- [z. B. das Bundesdatenschutzgesetz (BDSG)] verstößt.

Weitere Gründe für Ambitionen zur Schatten-IT können oftmals lange Reaktions- und Antwortzeiten der IT-Abteilungen, die auf zahlreiche Faktoren, wie die räumliche Trennung zwischen IT- und der jeweiligen Fachabteilungen, sowie die teilweise personell schwach besetzte IT zurückzuführen sind, sein. Dies und das Unverständnis vieler Mitarbeiter, wenn die IT-Abteilung oder übergeordnete Entscheidungsträger, Hard- oder Software aus Risiko- oder Budgetgründen ablehnen, sind Ursachen für das Ausweichen, z. B. auf „eigene“ Cloud-Lösungen. Das Nutzen externer IT-Infrastruktur ist jedoch kritisch zu betrachten, da weder die Sicherheit noch der Schutz der Daten gewährleistet werden kann. Es ist nicht grundlos so, dass die IT-Abteilung eine gewisse Zeit benötigt, um ggf. nach Rücksprache mit beratenden Funktionen, wie dem Datenschutzbeauftragten, oder Entscheidungsträgern Umsetzungen sicher zu veranlassen.

Risiken der Schatten-IT

Die Höhe und Häufung der Risiken hängt grundsätzlich von der Ausprägung der IT-Infrastruktur der Fachabteilungen ab, jedoch sollen im Folgenden einige Risiken und Probleme benannt werden, die in diesem Zusammenhang auftreten könnten.

Ein Beispiel für die Auswirkungen der Schatten-IT ist der Einsatz privater Hardware zu dienstlichen Zwecken. Verwenden Mitarbeiter ihre privaten Endgeräte und anderes als bei gewünschtem Bring Your Own Device (BYOD), ohne Kenntnis der IT  sowie der Geschäftsleitung, wird man regelmäßig mit Problemen, wie einer unzureichenden Verschlüsselung, konfrontiert. Ist die private Hardware nicht verschlüsselt, so können bei Verlust Informationen durch Unbefugte eingesehen werden. Gelangen personenbezogene Daten an Unbefugte, so ist die „Verantwortliche Stelle“ laut § 42 a BDSG bei sogenannten Datenpannen dazu verpflichtet, Betroffene und die Aufsichtsbehörde zu informieren. Dieser Informationspflicht muss vor allem bei besonderen personenbezogenen Daten (z. B. Beispiel Gesundheitsdaten) sowie bei personenbezogenen Daten zu Bank- und Kreditkonten nachgegangen werden. Neben Bußgeldern ist der Imageverlust eines Unternehmens erheblich.

Die Vermischung privater und dienstlicher Daten durch die Nutzung privater Geräte ist ebenfalls problematisch, da der Arbeitgeber kein Recht hat, auf die privaten Geräte zuzugreifen und insbesondere, bei Ausscheiden des Mitarbeiters nicht kontrolliert werden darf, ob alle dienstlichen Informationen entfernt wurden. In der Praxis führt dies unweigerlich dazu, dass über die Zeit gesehen und unweigerlich immer mehr und mehr Informationen unkontrollierbar außerhalb des Unternehmens bekannt sind oder dies zumindest werden können. Es werden somit zumindest einige kleinere und mittlere „Zeitbomben“ geschaffen.

cloud-computing Schatten-IT und DatenschutzDie Datensicherung, die Archivierung von E-Mails, der Schutz vor Malware oder Urheberrechtsverletzungen stellen weitere Risiken für ein Unternehmen dar. Bringt der Mitarbeiter private Geräte -ohne Kenntnis der IT-Abteilung- in ein Unternehmen ein, so sorgt er z. B. eigenständig für die für die Sicherung der Daten und den Schutz vor Malware. Ein Mitarbeiter verfügt jedoch in den meisten Fällen nicht über die technischen Kenntnisse einer IT-Abteilung, weshalb der Schutz der Informationen nicht oder nur teilweise gewährleistet werden kann. Dieses eigenverantwortliche Handeln der Mitarbeiter bereitet neben der IT-Abteilung, dem Datenschutzbeauftragten vor allem der Geschäftsleitung Bauchschmerzen, da diese letztens verantwortliche Stelle bleibt. Gleiches gilt auch für Urheberrechtsverletzungen. Verwendet ein Mitarbeiter eine nicht ordnungsgemäß lizensierte Software zur Erfüllung der dienstlichen / arbeitsvertraglichen Aufgaben und kommt dies dem Unternehmen zu Gute, so könnten Ansprüche gegen das Unternehmen und damit die Geschäftsleitung gemäß § 99 Urhebergesetz bestehen.

Aber auch das eigenständige Beschaffen dienstlicher Hardware und Software sorgt für einen Wildwuchs, der kaum zu überblicken ist, wodurch die Anforderungen aus der Anlage zu § 9 Satz 1 BDSG nicht bzw. nur teilweise erfüllt werden können. Zudem ist die Abstimmung untereinander aufwendiger und die doppelte Implementierung der IT-Lösungen verursacht hohe Kosten.

Neben den möglichen Verletzungen der Archivierungspflichten, dem Urheberrecht oder den nicht erfüllten Anforderungen des Bundesdatenschutzgesetzes bzw. perspektivisch der EU-Datenschutz-Grundversordnung (DSGVO), häufen sich Probleme durch den Einsatz von Cloud-Computing. Personenbezogene Daten werden beispielsweise unkontrollierbar in die Dropbox geladen. Dabei handelt es sich bereits um eine Datenübermittlung in die USA, für die man keine Einwilligung des Betroffenen und i. d. R. keine andere Legitimation hat und somit gegen geltendes Datenschutzrecht verstößt.

Fazit zur Schatten-IT

Sicherlich bringt die Verwendung privater Geräte, der Einsatz von Cloud-Computing oder das selbstständige Beschaffen von Hard-und Software, insbesondere für den Mitarbeiter, eine Vielzahl an Vorteilen. Er ist viel flexibler und kann Hardware, sowie Software nutzen, die ihm von der Handhabung besser gefällt. Die Einsparungen für die Hardware können zunächst auch aus Sicht der Geschäftsleitung von Vorteil sein, jedoch sollte dies in einer kontrollierten Form, wie Bring Your Own Device (BYOD) mit einer Mobilgeräteverwaltung, einem sogenannten Mobile-Device-Management (MDM), eingebracht werden. Auch Cloud-Dienste können für alle Seiten viele Vorteile mit sich bringen. Übergehen Sie vor dem Einsatz allerdings nicht die IT und sonstige weitere Entscheidungsträger sowie die Geschäftsleitung. Bei Unklarheiten über datenschutzrechtliche Risiken, besser allerdings vorsorglich, sollte Ihr Datenschutzbeauftragter eingebunden werden. Alles in allem sollte das unkontrollierte Ansiedeln einer parallelen IT-Infrastruktur in einem Unternehmen unterbunden werden, da es viele Risiken mit sich bringt und insbesondere für die IT-Abteilung einen großen Mehraufwand bewirken kann.

Benötigen Sie weitere Informationen zu Risiken der Schatten-IT? Werden bei Ihnen Cloud-Dienste in Anspruch genommen oder haben Sie Fragen zur rechtskonformen Archivierung von E-Mail?

Sprechen Sie doch mit Ihrem Datenschutzbeauftragten. Sie haben noch keinen? Dann nehmen Sie Kontakt zu uns auf.

Gerne offierieren wir unser Dienstleistungsangebot an:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen
  • sowie in Einzelfällen interessierten Privatpersonen.

Eine Revolution: WhatsApp-Verschlüsselung – mehr Datenschutz bzw. Datensicherheit?

twitter-292993_640Wie WhatsApp am 05.04.2016 verkündete, wären nun alle Nachrichten, Bilder und Dateien, die über den Nachrichtendienst verschickt werden, auf dem kompletten Weg vom Absender bis zum Empfänger zu schützen.

Die End-to-End-Encryption (E2EE) oder zu deutsch Ende-zu-Ende-Verschlüsselung werde aktiv, wenn beide WhatsApp-Nutzer die neueste Version der App verwenden. Diese Verschlüsselungstechnik war bisher nur für Android-Nutzer verfügbar. Nach Aussagen des Unternehmens haben dadurch weder Dritte noch WhatsApp selbst Möglichkeiten die Nachrichten zu lesen.

Funktionsweise der E2E-Technik?

Einfach gesagt können bei einer End-to-End-Verschlüsselung nur Sender und Empfänger den Inhalt einer Datei entziffern, da lediglich sie die Informationen (Schlüssel) zum Entschlüsseln besitzen. Dritte, die einen Dateiverlauf  „hacken“, sind prinzipiell nur in der Lage zu erkennen, wer mit wem kommuniziert. Einen Schlüssel zum Entschlüsseln des Inhalts aber müsste ein Überwacher errechnen. Heutige kryptografische Systeme sind so konzipiert, dass dies so gut wie unmöglich ist beziehungsweise sehr lange Zeit in Anspruch nehmen würde.

Wie ist zu erkennen, ob die Verschlüsselung aktiv ist?

Schloss - Verschluesselung Whatsapp - Ende zu EndeDer Aufbau der verschlüsselten Verbindung und des notwendigen Schlüsselaustauschs erfolgt komplett im Hintergrund. Ob ein Chat verschlüsselt ist oder nicht, können Nutzer allerdings erkennen. WhatsApp weist in der Übergangsphase  mit dem Text „Nachrichten, die Sie in diesem Chat senden, sowie Anrufe, sind jetzt mit Ende-zu-Ende-Verschlüsselung geschützt.“ auf den Beginn von verschlüsselten Chats hin. Zudem zeigt ein Schloss-Symbol in den Einstellungen jedes Chats, ob dieser verschlüsselt ist oder nicht.keine Verschluesselung Whatsapp

Letzteres kann passieren, wenn „die Person am anderen Ende“ noch eine ältere WhatsApp-Version verwendet. In Gruppenchats ist es bereits ausreichend, dass ein Mitglied über eine ältere („veraltete“) Version verfügt, damit die Ende-zu-Ende-Verschlüsselung für den gesamten Chat nicht möglich. WhatsApp-Nutzer werden daher auf diesem Wege dazu angehalten immer ein Update auf die aktuelle Version durchzuführen. Dies kann sich positiv, aber auch negativ für Nutzer auswirken.Sicherheitscode Whatsapp Verschluesselung-Android

Des Weiteren können WhatsApp-Nutzer bestätigen, ob sie wirklich mit dem gewünschten Gegenüber kommunizieren. Dazu haben beide einen sogenannten einmaligen Sicherheitscode, in der Form eines QR-Codes, der durch den Chatpartner gescannt werden kann. Alternativ existiert eine 60-stellige Nummer, die verglichen werden kann, sollte das Scannen des Codes nicht möglich sein. Das Bestätigen des Chatpartners soll den Nutzern zusätzliche Sicherheit, z. B. bei Diebstahl der SIM-Karte, geben. Passiert dies einem Chatpartner und ein Fremder verifiziert sich mit der Nummer in WhatsApp, so sind die alten Inhalte zum einen nicht ersichtlich, zum anderen kann man sich anzeigen lassen, ob sich die Sicherheitsnummer geändert hat.

Verschlüsselung nur eine Geste?

Das Programm das WhatsApp zur Verschlüsselung nutzt ist ein Open-Source-Tool, d. h. der Quellcode ist theoretisch für JEDEN offen lesbar und kann somit von externen Spezialisten auf versteckte Hintertüren überprüft werden.

Zum Schutz der WhatsApp-Nutzer vor Hackerangriffen verwendet das Open Source-Protokoll Forward Secrecy. Hierdurch werden kurzlebige Schlüssel zum Absichern jeder einzelnen Nachricht verwendet. Ein Überwacher, der WhatsApp-Nachrichten irgendwie mitschneidet, speichert und dann auch noch in den Besitz des Schlüssels eines Teilnehmers gelangt, soll damit weder alte Chats nachträglich, noch künftige Chats entschlüsseln können.

Trotz Verschlüsselung bleiben Datenschutzlücken

Kritische Stimmen bleiben. Hierbei geht es um die Natur des Programms selbst. Mit Installation des Programms wird der Zugriff auf die gespeicherten Telefonnummern in Smartphones ermöglicht und diese werden unverschlüsselt an die WhatsApp-Server in Californien (USA) weitergegeben. Auch wenn niemand die Inhalte der Nachrichten einsehen kann, ist es möglich Nutzungsprofile zu erstellen und auszuwerten.

Weiterhin ist zu bemängeln, dass beim Nutzen zunächst die Handynummer unverschlüsselt an die Server übermittelt wird, während WhatsApp die Identität abrufen kann. Für eine Weitergabe der Daten wäre nach EU-Datenschutzrecht -streng genommen- die Zustimmung jedes Kontakts des jeweiligen Nutzers notwendig, ehe auch dessen Daten an WhatsApp weitergegeben werden. Das Problem besteht hier weniger bei angemeldete WhatsApp-Nutzern, sondern liegt vielmehr bei den Rufnummern (sog. personenbezogenes Datum) und damit verknüpft den dadurch identifizierbaren Personen, die WhatsApp NICHT NUTZEN (möchten).

Ebenfalls ließe sich argumentieren, dass nach der Abschaffung des Safe-Harbor-Abkommens für die Weitergabe der Daten in die USA eine Vorabgenehmigung der zuständigen nationalen Datenschutzbehörde nötig sei.

Die Alternative sind Messenger, die europäische Server mit schärferem Datenschutzrecht nutzen oder solche Messenger, die nicht auf Telefonnummern angewiesen sind.

Inwiefern nutzen Sie innerhalb Ihrer Verantwortlichen Stelle/n (Unternehmen, Firma, Konzern, Verein, Körperschaft des öffentlichen Rechts …) WhatsApp zur Kommunikation mit oder durch Angestellte, Mitarbeiter, Beamte, … oder auch Praktikanten oder können dies zumindest nicht ausschließen?

Falls Sie bereits einen Datenschutzbeauftragten haben, lassen sie sich hierzu von diesem beraten…

…ansonsten nehmen Sie Kontakt, fordern Sie ein kostenloses Angebot zum Datenschutz an und klären Sie durch professionelle Beratung alle Fragen rund um das Thema Datenschutz, z. B. um die WhatsApp-Verschlüsselung oder den Einsatz sonstiger Messanger.

„Datenschutz Homeoffice“ – der richtige Umgang mit der sogenannten Telearbeit

Datenschutz im Homeoffice - der richtige Umgang mit der Telearbeit - Brands Consulting - externer Datenschutzbeauftragter

Das in den Niederlanden verabschiedete Gesetz auf Heimarbeit (Home-Office) ist nur ein weiterer Indikator für die nicht nur national steigende Relevanz dieser Thematik. Auch wir Deutschen wünschen uns immer häufiger u. a.:

  • flexiblere Arbeitszeiten
  • eine bessere Work-Life-Balance
  • kreatives, flexibles Arbeiten z. B. für „Kreativköpfe“ mittags im Café oder auch im heimischen Garten
  • die bessere Vereinbarkeit von Beruf und Familie (z. B. zur erleichterten Kinderbetreuung oder zum Pflegen von Angehörigen)

 

Rechtsgrundlage/n

Zwar haben unsere Nachbarn in den Niederlanden ein gesetzliches verankertes „Home-Office-Recht“, bei uns ist dieses bis dato allerdings nicht der Fall. Die Gewerbeordnung sieht in § 106 GewO vielmehr das Weisungsrecht des Arbeitsgebers vor.

So heißt es: „Der Arbeitgeber kann Inhalt, Ort und Zeit der Arbeitsleistung nach billigem Ermessen näher bestimmen, soweit diese Arbeitsbedingungen nicht durch den Arbeitsvertrag, Bestimmungen einer Betriebsvereinbarung, eines anwendbaren Tarifvertrages oder gesetzliche Vorschriften festgelegt sind. Dies gilt auch hinsichtlich der Ordnung und des Verhaltens der Arbeitnehmer im Betrieb. Bei der Ausübung des Ermessens hat der Arbeitgeber auch auf Behinderungen des Arbeitnehmers Rücksicht zu nehmen.“.

Es bleibt festzuhalten, dass zwar kein Gesetz das Recht auf die Arbeit von Zuhause aus einräumt, sondern der Arbeitgeber dies üblicherweise „nach billigem Ermessen“ näher bestimmen kann (z. B. zur Mitarbeitermotivation). Darüberhinaus können sich Regelungen zur „Arbeit im eigenen Büro“ (Zuhause) insbesondere ergeben aus:

  • Regelungen im Arbeitsvertrag
  • Betriebsvereinbarungen, beispielsweise zum Homeoffice oder zur Zeiterfassung
  • Tarifvertraglichen Regelungen
  • Betrieblicher Übung
  • Dienstvereinbarungen im öffentlichen Dienst

Die Tücken der mobilen Arbeit bzw. Tele(heim)arbeit „Datenschutz Homeoffice“

Die Verantwortlichen Stellen [Behörden, Vereine und Unternehmen (von kleinen Einzelunternehmern, über mittelständische Firmen bis hin zu Konzernen)] investieren sowohl in finanzieller als auch in zeitlicher Sicht (Arbeitszeitressourcen). Der Zweck liegt klar auf der Hand, die Gewährleistung von Datenschutz und Datensicherheit. Der bestellte Datenschutzbeauftragte berät dabei die Vereins-, Behörden- oder Geschäftsleitungen insbesondere rund um die sogenannten technischen und organisatorischen Maßnahmen (kurz TOM).

 

Technische und organisatorische Maßnahmen in der verantwortlichen Stelle

Der § 9 Bundesdatenschutzgesetz (BDSG) regelt hierzu das Folgende: „Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten.

 

In der Anlage zu § 9 Satz 1 BDSG sieht das Gesetz eine Konkretisierung vor. Hierin geht es darum, dass geeignete und verhältnismäßige Maßnahmen zu treffen sind zu/r:

  • Zutrittskontrolle
  • Zugangskontrolle
  • Zugriffskontrolle
  • Weitergabekontrolle
  • Eingabekontrolle
  • Auftragskontrolle
  • Verfügbarkeitskontrolle
  • Getrennten Verarbeitung

 

Diese technischen und organisatorischen Maßnahmen (TOM) werden unterschieden in:

  • Bauliche Maßnahmen
  • Organisatorische Maßnahmen
  • Technische Maßnahmen

 

Zur Vereinfachung wird nicht näher auf die sogenannten TOM eingegangen. Allerdings zeigt bereits dieser kurze Exkurs, dass zur Gewährleistung der TOM durch die Arbeitgeber bzw. Dienstherren eine ganze Menge Aufwand betrieben wird.

 

Technische und organisatorische Maßnahmen verknüpft mit „Datenschutz im Homeoffice“

Würde der erhebliche Aufwand, den ein Arbeitgeber oder Dienstherr betreibt, durch die Heimarbeit unterlaufen, wäre das Investierte (Zeit / Geld) zwar nicht völlig nutzlos, eine riesige Sicherheitslücke allerdings im Einzugsbereich „Datenschutz Homeoffice“ unausweichlich, Datenschutz-Probleme vorprogrammiert und die Handlung (grob) fahrlässig.

Bevor Home-Office-Regelungen geschaffen werden, sollten somit gewisse Mindeststandards an Datenschutz und Datensicherheit genauso bedacht werden, wie während des Einsatzes dieser zumeist arbeitnehmerfreundlichen bzw. beamtenfreundlichen Regelungen.

Grundsätzlich ist das Folgende zu empfehlen:

  • Für die Tele(heim)arbeit und mobile Arbeit sind -soweit möglich- die gleichen Sicherheitsstandards einzuhalten, wie bei der Organisation des Arbeitsplatzes. Bei Bedenken ist der (externe) (betriebliche) Datenschutzbeauftragte einzubeziehen.
  • IT-Geräte, die außerhalb des Unternehmens, des Vereins oder der Behörde verwendet werden, sind zwingend zu verschlüsseln.

Wie und ob eine konkrete Umsetzung einer Homeoffice-Regelung erfolgen kann oder sollte, hängt ganz konkret von der verantwortlichen Stelle, den individuellen Gegebenheiten und dem damit verbundenen Beratungsprozess ab.

 

 

Nehmen Sie Kontakt auf – fordern Sie ein unverbindliches Angebot an, wir beraten Sie gerne bei der Einführung der Telearbeit / der Implementierung einer HomeOffice-Regelung.

 

Ausrichtung / Dienstleistungsangebot

Das Dienstleistungsangebot der Brands Consulting umfasst die Kernkompetenzen:

 

Zielgruppe/n

Brands Consulting offeriert sein Dienstleistungsangebot:

  • Unternehmen / Firmen [Einzelunternehmen, kleinen und mittelständischen Unternehmen (KMU) und Konzernen]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen
  • sowie in Einzelfällen interessierten Privatpersonen.