Homeoffice bedeutet, dass alle Mitarbeiter aus der Ferne auf die IT-Infrastruktur des Arbeitgebers zugreifen, in vielen Fällen mit privaten Endgeräten. Dabei entstehen erhebliche Risiken für personenbezogenen Daten, auf die die Mitarbeiter auf diesem Weg Zugriff haben. Etwaige Datensicherheitsverletzungen müssen binnen 72 Stunden an die Datenschutzbehörde gemeldet werden.

Um sich in die IT-Infrastruktur des Arbeitgebers einloggen zu können, benötigen Mitarbeiter jedenfalls ihren Benutzernamen und ihr Passwort. Im regulären Betrieb ist das Anmelden meist nur im Büro möglich, sodass unternehmensfremde Personen einzelne Benutzer-Accounts nicht aus der Ferne durch das Erraten oder Durchprobieren von Passwörtern hacken können.

Um ihren Mitarbeitern nun das Arbeiten im Homeoffice zu ermöglichen, haben viele Unternehmen das Anmelden aus der Ferne freigeschaltet. Damit ist die IT- und Datensicherheit des Unternehmens nur noch so gut wie die Passwörter der Mitarbeiter. Berücksichtigt man, dass das weltweit am häufigsten verwendete Passwort noch immer "123456" lautet, ist es um die Datensicherheit oft schlecht bestellt.

Zweiter Login-Faktor

Dauerhaft kann dem Problem schwacher Passwörter nur abgeholfen werden, indem man für das Login der Mitarbeiter neben einem Passwort einen weiteren Faktor heranzieht – etwa ein zweites Gerät, über das der Mitarbeiter auch zu Hause verfügt, wie z. B. sein Mobiltelefon, an das vor jedem Login ein neuer Authentifizierungscode gesendet wird. Da sich solche Lösungen nicht immer kurzfristig implementieren lassen, sollten Unternehmen ihre Mitarbeiter zumindest dazu anhalten, schwer zu erratende und damit sichere Passwörter zu wählen.

Im Idealfall hat der Arbeitgeber jeden Mitarbeiter mit einem Firmen-Laptop ausgestattet, der von der IT-Abteilung entsprechend sicher konfiguriert wurde – z. B. werden Sicherheitsupdates automatisch eingespielt, die Festplatte ist verschlüsselt, und Firewall und Anti-Viren-Software sind aktiviert. In der aktuellen Situation ist aber davon auszugehen, dass viele Mitarbeiter mit ihren privaten Geräten auf die IT-Infrastruktur des Unternehmens zugreifen müssen. Unternehmen sollten ihren Mitarbeitern in solchen Fällen mit praktikablen Sicherheitsanleitungen helfen, die privaten Geräte notdürftig abzusichern. Dafür ist aber die Mitwirkung jedes Mitarbeiters erforderlich.

Vorsicht bei Cloud-Diensten

Aus dem Homeoffice ist das Netzwerklaufwerk des Arbeitgebers unter Umständen nicht erreichbar oder sehr langsam. Die Versuchung, auf private Cloudspeicher-Dienste auszuweichen, ist daher groß. Doch Vorsicht: Es kann hier leicht passieren, dass die Daten nicht – wie gewollt – mit einzelnen Kollegen, sondern mit der ganzen Welt geteilt werden. Deshalb sind auch hier klare Anordnungen des Arbeitgebers unverzichtbar.

Nach der DSGVO ist jede Verletzung des Schutzes personenbezogener Daten binnen 72 Stunden an die Datenschutzbehörde zu melden – besteht ein hohes Risiko, sind sogar die Betroffenen zu informieren (etwa andere Mitarbeiter oder auch Kunden und Geschäftspartner). Davon gibt es ungeachtet der vorherrschenden Ausnahmesituation keine Ausnahmen. Auch eine Fristverlängerung ist nicht möglich. Der Verstoß gegen diese Meldepflicht kann teuer werden: Es drohen Geldbußen bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. (Lukas Feiler, Alissa Forstner, 16.3.2020)