Marc Lueck, CISO bei Zscaler
Die DSGVO erforderte vor dem Inkrafttreten vor zwei Jahren von jeder Organisation, die mit europäischen Bürgern eine Geschäftsbeziehung pflegt, umfangreiche Maßnahmen in puncto Datenschutz umzusetzen. Im ersten Jahr verhalf die DSGVO Unternehmen dementsprechend zu einem neuen Maßstab hinsichtlich ihrer Datenhygiene. Angetrieben durch die Verordnung durchliefen Organisationen auf der ganzen Welt die manchmal schmerzhafte und oft kostspielige Aufgabe, sich einen Überblick über personenbezogene Daten zu verschaffen und entsprechende Tools zur sicheren Verarbeitung und Speicherung dieser Daten zu implementieren.
Anlässlich des zweiten Jubiläums dieses wichtigen Meilensteins in der Datenverwaltung stehen Organisationen wieder vor der gleichen Aufgabe, denn es gilt ihre ursprünglichen Maßnahmen erneut zu prüfen. Warum? Die Vorgaben zur sozialen Distanzierung im Zusammenhang mit der globalen COVID-19 Pandemie zwangen große Teile der Belegschaft dazu, von zu Hause aus zu arbeiten. Dies hatte zur Folge, dass die Kommunikation mit den Kunden nun weitestgehend digital stattfindet.
Organisationen, die bereits über Prozesse und Richtlinien für das Remote-Arbeiten verfügten, können sich unter den gegenwärtigen Umständen glücklich schätzen. Sie sind in der beneidenswerten Lage, lediglich dafür zu sorgen, dass diese Richtlinien und Regeln von all ihren neuen Heimarbeitern angewendet werden. Im Gegensatz dazu müssen diejenigen Unternehmen, die bisher hauptsächlich mit einer Büro-gebundenen Belegschaft oder einer begrenzten Anzahl von Teleworkern auskamen, unter Umständen ihre Dokumentation über ihre Datenverarbeitungsprozesse sowie ihre Datenschutzfolgenabschätzungen (Data Protection Impact Assessment – DPIA) erneut öffnen. Der Grund dafür ist, dass sie analysieren müssen, ob die Arbeit aus dem Home Office Auswirkungen auf die Prozesse hat oder sich ihr Risikoniveau verändert hat.
Kernstück der Einhaltung der DSGVO ist die Sorgfaltspflicht. Es ist entscheidend, die verschiedenen Infrastrukturen und Systeme zu beurteilen, die das Personal bei der Arbeit von zu Hause aus einsetzt, um zu verstehen, ob sensible Daten ungeschützt durch Netzwerke fließen. Werden diese Daten im Home Office unterschiedlich behandelt? Es liegt in der Verantwortung der Organisation dafür zu sorgen, dass die entsprechenden Kontrollen vorhanden sind, wenn auf persönliche Daten von zu Hause aus zugegriffen oder diese verarbeitet werden – genauso wie es der Fall war, als die Mitarbeiter im Büro arbeiteten. Durch DPIA muss ermittelt werden, wie der Datenschutz durch die unterschiedlichen Handlungen oder Aktivitäten bei der Remote-Arbeit beeinträchtigt werden könnte. Denn Unternehmen müssen sicherstellen, dass je nach Sensibilität der Daten angemessene Sicherheitsmechanismen vorhanden sind.
Datenschutz und Teleworking
Als Organisationen zum ersten Mal mit neuen Datenschutz- und Sicherheitsvorschriften konfrontiert wurden, waren viele gezwungen die geforderten „state-of-the art“ Sicherheitstools zu implementieren, um das neue Niveau an Datensicherheit zu ermöglichen. Vor zwei Jahren war der Schwerpunkt dieser ersten Umsetzungswelle jedoch höchstwahrscheinlich auf die Grenzen der Büros beschränkt. Die Sicherheit sensibler Daten zu gewährleisten, während Mitarbeiter von zu Hause aus arbeiten, erweist sich nun als eine neue Herausforderung, denn durch die Telearbeit können zusätzliche Risiken entstehen.
Angesichts der globalen COVID-19-Situation, die alle Mitglieder eines Haushalts zwingt, wo immer es möglich ist zu Hause zu bleiben, muss jede einzelne Umgebung bewertet werden. Wie sieht der Arbeitsplatz aus, von dem die Telearbeit stattfindet? Ist überhaupt ein physisches Büro vorhanden? Gibt es einen Schrank oder einen anderen Ort, der verschlossen werden kann, um die Vertraulichkeit von Daten und Geräten zu gewährleisten? Und noch wichtiger für Familien mit Kindern: Wird der Laptop, mit dem gearbeitet wird, ausschließlich für Arbeitszwecke genutzt oder verbringen die Kinder Zeit damit? Es ist zu verlockend, der gesamten Familie zu erlauben, ab und an einen Arbeits-Laptop zu benutzen, nur um etwas Ruhe zu haben oder um gelegentlich privat zu surfen. Auf der anderen Seite können Sicherheitsrisiken auch in umgekehrter Richtung entstehen, wenn ein privater PC, der möglicherweise nicht mit aktuellen Sicherheits-Tools ausgestattet ist, zu Arbeitszwecken eingesetzt wird.
Dank moderner Technologie können Mitarbeiter auch außerhalb des Büros ihre Produktivität beibehalten, auch wenn sie dort Mehrfachbelastungen durch die Familie ausgesetzt sind. Unternehmen müssen jedoch darauf achten, dass Mitarbeiter in ihrer privaten Arbeitsumgebung den Zugriff auf und die Verarbeitung von Daten so sicher wie in einem Firmenbüro bewerkstelligen können. Dementsprechend gilt es, ihre Sicherheitslage neu zu bewerten und gegebenenfalls zu überarbeiten, um eine sichere Umgebung für die Telearbeit zu schaffen, die Datenschutzverstöße verhindert. Sie sollten sich nicht nur mit Schwachstellen in ihren eigenen Netzwerken und der physischen Speicherung von Daten befassen, sondern müssen sich auch der Tatsache stellen, dass die meisten Heimarbeiter Daten zwischen dem Unternehmensnetzwerk, der Cloud und dem persönlichen Laptop hin und her senden. Um Daten mit Personenbezug bei der Übertragung von einem Ort zum anderen zu schützen, schlägt die DSGVO eine Verschlüsselung vor, um die Privatsphäre und die Sicherheit zu schützen sowie Datenverlust zu verhindern.
Anpassungen an die neue Normalität sind erforderlich
Organisationen sollten sich darüber im Klaren sein, dass die Überprüfung der DSGVO-Konformität nicht vergeblich sein wird. Auch wenn der Wunsch vorhanden ist, dass bald wieder alle Mitarbeiter in das geregelte Büroumfeld zurückkehren können, sind sich die Experten einig: COVID-19 hat der Verlagerung der Arbeitswelt Vorschub geleistet. Auch wenn die globale Pandemie hinter sich gebracht ist, und ein großer Prozentsatz der Arbeitnehmer ins Büro zurückkehrt, wird die Belegschaft nun mehr denn je in den Genuss der Flexibilität kommen wollen, zumindest ab und an Remote zu arbeiten. Die DSGVO ist auf den Schutz personenbezogener Daten ausgerichtet und Unternehmen sind generell gut beraten, unabhängig vom Arbeitsumfeld, die Kontrolle über diese sensiblen Daten zu behalten. Eine Richtlinie zur Fernarbeit wird zur Notwendigkeit, um diese Art der Daten jederzeit sicher zu verwalten und speichern.
