Mit der Covid-19-Krise hat die Bedeutung der Home Office-Nutzung stark zugenommen und das Arbeiten von zu Hause oder von unterwegs wird auch künftig vermehrt erfolgen. Allerdings ist dies anfällig gegen Datenschutzverstöße und es besteht die Gefahr, dass der Schutz von Geschäftsgeheimnissen verletzt wird.
Nachfolgend gibt Rechtsanwalt und Fachanwalt für Informationstechnologierecht Dr. Thomas Stögmüller, LL.M. (Berkeley), fünf Tipps für Unternehmen, wie diese bei der Home Office-Nutzung den Datenschutz wahren und ihre Geschäftsgeheimnisse schützen können.
1. IT-Sicherheit
Im Rahmen der Corporate Governance haben Vorstand bzw. Geschäftsführung die Einhaltung der gesetzlichen Bestimmungen zu gewährleisten und für ein angemessenes Risikomanagement und Risikocontrolling im Unternehmen zu sorgen. Wesentlich ist hierbei die Sicherstellung von Datenschutz und IT-Sicherheit. Dies gilt auch und gerade für die Home Office-Nutzung.
Bei einer Verletzung der Datenschutz-Grundverordnung (DSGVO) drohen erhebliche Sanktionen wie Schadensersatzansprüche, aufsichtsrechtliche Maßnahmen der Datenschutzbehörde und Geldbußen, die bis zu 4 % des gesamten weltweiten Jahresumsatzes oder bis zu 20 Millionen Euro betragen können.
Im Rahmen der IT-Sicherheit muss das Unternehmen geeignete technische und organisatorische Maßnahmen (TOM) treffen, um die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit seiner IT-Systeme sicherzustellen. Für Home Office-Anwendungen bedeutet das u.a. eine wirksame und aktuelle Internet Security-Lösung und den Einsatz geeigneter Sicherheitsmaßnahmen wie Passwortschutz, 2-Faktor-Authentifizierung und ein Virtual Private Network. Zudem müssen sichere Lösung für Web-Konferenzen verwendet oder diese entsprechend konfiguriert werden, um zu vermeiden, dass bspw. nicht zugelassene oder unbekannte Personen daran teilnehmen.
2. Abschluss einer Vereinbarung zur Auftragsverarbeitung
Cloud Provider und Anbieter von Web-Konferenzen müssen unter Berücksichtigung deren DSGVO-Konformität und deren TOM sorgfältig ausgewählt werden und das Unternehmen muss mit ihnen eine Vereinbarung zur Auftragsverarbeitung schließen, die den Anforderungen des Art. 28 DSGVO entspricht.
3. Wahrung der Schutzes von Geschäftsgeheimnissen
Durch das Geschäftsgeheimnis-Schutzgesetz, das seit 26. April 2019 in Kraft ist, sind die Anforderungen an das Vorliegen eines Geschäftsgeheimnisses gestiegen, insbesondere muss es „Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen“ sein. Problematisch ist dies bspw. bei Web-Konferenzen, bei denen Geschäftsgeheimnisse Gegenstand sind, so dass der Teilnehmerkreis streng begrenzt sowie Aufzeichnung und Dokumentenaustausch unterbunden werden sollte. Zudem sollten externe Teilnehmer mittels einer Vertraulichkeitsvereinbarung bzw. eines Non-Disclosure Agreement (NDA) zur Geheimhaltung verpflichtet werden.
Unternehmen sollten zur Wahrung ihrer Geschäftsgeheimnisse generell entsprechende personelle, rechtliche, technische und organisatorische Maßnahmen treffen und unternehmensspezifische Schutzkonzepte und Schutzstrategien implementieren. Andernfalls droht der Verlust des Geschäftsgeheimnisschutzes.
4. Übermittlung nur auf Need-to-Know-Basis
Sowohl hinsichtlich der Übermittlung personenbezogener Daten als auch von Geschäftsgeheimnissen gilt, dass der Empfängerkreis möglichst eng sein soll. Nur solche Mitarbeiter und externen Geschäftspartner, die diese Informationen unbedingt benötigen, dürfen Zugriff darauf haben, d.h. diese Informationen sind nur auf „Need-to-Know-Basis“ zu übermitteln. Unternehmen sollten daher die Zugriffsrechte auf sensible Informationen prüfen und ggf. anpassen. Gerade bei der Home Office-Nutzung besteht nämlich das Risiko, dass einmal abgerufene Daten dauerhaft die Unternehmenssphäre verlassen, wenn sie von einem Mitarbeiter auf dessen eigenem Rechner lokal gespeichert werden.
5. Schulung der Mitarbeiter
Mitarbeiter müssen hinsichtlich der gestiegenen Risiken bzgl. Datenschutz und Schutz von Geschäftsgeheimnissen sensibilisiert und geschult werden. Arbeiten zu Hause birgt größere Risiken, dass unbefugte Dritte – hierzu gehören auch Familienmitglieder und Besucher – Unternehmensinformationen zur Kenntnis nehmen. Klare Verhaltensanweisungen wie z.B. Sperren des Rechners bei Verlassen des Arbeitsplatzes, laufende Aktualisierung des Antiviren-Schutzes und Überprüfung des Kamerafeldes vor Beginn einer Videokonferenz sind dringend zu empfehlen.
Zum Thema „Datenschutz & Geschäftsgeheimnisse im Home-Office in der Covid-19-Krise“ gibt Dr. Thomas Stögmüller auch im DIKT Expertentalk mit Dr. Nikolai A. Behr nähere Auskunft: https://youtu.be/HwhXQS9zxRw