Newsroom / News / Medien / Update: Coronavirus

Update: Coronavirus

Update: Coronavirus

FAQ zu Sicherheit im Home-Office

Stand: 24.11.2020

Seit Beginn der COVID-19-Pandemie im Frühjahr 2020 und nunmehr aktuell bedingt durch den „2. Lockdown“, gewinnt das Arbeiten im Home-Office eine Vielzahl an Unternehmen immer mehr an Bedeutung. Für die Arbeit im Home-Office bedarf es grundsätzlich einer diesbezüglichen Vereinbarung zwischen Arbeitnehmer und Arbeitgeber. Neben den diesbezüglichen arbeitsrechtlichen Aspekten spielt auch das Thema Datensicherheit beim Arbeiten im Home-Office eine wichtige Rolle. Zusammen mit dem Sachverständigen für Informatik, Herrn Dipl.-Ing. Thomas Hrdinka möchten wir im Folgenden einige Fragen in Bezug auf Datensicherheit beim Arbeiten im Home-Office aus rechtlicher sowie technischer Sicht näher beleuchten:

Wer hat die Hard- und Software für das Arbeiten im Home-Office zur Verfügung zu stellen?

Auch beim Arbeiten im Home-Office gilt grundsätzlich der arbeitsrechtliche Grundsatz, dass der Arbeitgeber die für die Erbringung der Arbeitsleistung erforderlichen Arbeitsmittel bereitzustellen hat. Es ist somit vorrangig Aufgabe des Arbeitgebers, dafür zu sorgen, dass dem Arbeitnehmer eine taugliche Hard- und Software für die Arbeit im Home-Office zur Verfügung steht. Es besteht jedoch die Möglichkeit, eine davon abweichende Regelung in der zwischen dem Arbeitnehmer und Arbeitgeber notwendigen Vereinbarung für das Arbeiten im Home-Office, zu vereinbaren. Dabei empfiehlt es sich jedoch insbesondere konkrete Vereinbarungen betreffend die Kostentragung der vom Arbeitnehmer zur Verfügung gestellten Arbeitsmittel zu treffen.

Welche Mitwirkungspflichten treffen den Arbeitnehmer dabei?

Den Arbeitnehmer treffen auch beim Arbeiten im Home-Office seine üblichen Pflichten, welche sich primär aus dem Arbeitsvertrag ergeben. So muss der Arbeitnehmer beispielsweise die Weisungen des Arbeitgebers auch im Home-Office befolgen, wenn diese durch den Gegenstand der Arbeitsleistung gerechtfertigt sind. Auch die Mitwirkungspflichten des Arbeitnehmers betreffend die Aufzeichnung der Arbeitszeit und nach dem Arbeitnehmerschutzgesetz gelten grundsätzlich im Home-Office. Eine private Nutzung der vom Arbeitgeber bereitgestellten Arbeitsmittel ist ohne dessen Einverständnis – vor allem während der Arbeitszeit – in der Regel nicht erlaubt.

Darf der Arbeitnehmer auch seine privaten Geräte verwenden?

Regelungen betreffend die Verwendung von Arbeitsmitteln (wie beispielsweise Computer bzw. Laptops) finden sich in der Arbeitsmittelverordnung (AM-VO) sowie im Arbeitnehmerschutzgesetz (ASchG). Grundsätzlich gilt, dass Arbeitsmittel für die durchzuführenden Arbeiten unter den bestehenden Einsatzbedingungen geeignet sein müssen. So ist der Arbeitnehmer unter anderem grundsätzlich dazu verpflichtet, die Arbeitsmittel ordnungsgemäß zu benutzen und vor Inbetriebnahme auf offenkundige Mängel zu prüfen. Die privaten Arbeitsmittel müssen selbstverständlich dieselben oder zumindest ähnlichen Sicherheitsstandard bieten wie jene, die vom Arbeitgeber zur Verfügung gestellt werden. Unter Berücksichtigung all dieser Voraussetzungen spricht unseres Erachtens nichts gegen die Verwendung des beispielsweise privaten Laptops im Home-Office. Wie unter Frage 1 bereits erwähnt, empfiehlt es sich jedoch, eine diesbezügliche konkrete Vereinbarung mit dem Arbeitgeber zu treffen – insbesondere auch im Hinblick auf die Kostentragung bzw. den Kostenersatz. Insbesondere ist bei solch einer Vereinbarung auch auf den IT-sicherheitstechnischen Aspekt zu achten, wie beispielsweise, wenn der Mitarbeiter mit seinen persönlichen Geräten mit der Infrastruktur des Unternehmens verbunden ist.

Wer haftet im Falle eines Schadens?

Auch bei der Arbeit im Home-Office gilt grundsätzlich das Dienstnehmerhaftpflichtgesetz (DNHG). Dieses besagt, dass der Arbeitnehmer gegenüber dem Arbeitgeber bei Erbringung seiner Arbeitsleistung für entschuldbare Fehlleistungen nicht haftet. Eine Haftung besteht grundsätzlich nur bei fahrlässigem und vorsätzlichem Handeln des Arbeitnehmers, wobei das Gericht bei einer fahrlässigen Schädigung den Ersatzanspruch des Arbeitgebers entsprechend der Billigkeit mindern kann. Hält der Arbeitnehmer somit dieselben Sicherheitsbestimmungen wie bei der Arbeit im Büro bzw. die ihm ersatzweise zur Verfügung gestellten Möglichkeiten des Arbeitgebers ein, wird man ihm im Falle eines Schadeneintritts wohl keinen Vorwurf machen können und besteht daher auch keine Haftung des Arbeitnehmers. Dabei ist insbesondere zu berücksichtigen, dass der Oberste Gerichtshof bereits ausgesprochen hat, dass bei einer technischen Überforderung des Arbeitnehmers keinesfalls von einem Verschulden von diesem gesprochen werden kann. Verwendet der Arbeitnehmer für die Arbeit im Home-Office seinen privaten Laptop, hat der Arbeitgeber ihm diesbezügliche Schäden, die mit der konkreten Arbeitsleistung des Arbeitnehmers typischerweise verbunden sind, ebenfalls zu ersetzen.

Welche Grundsätze der Datenschutzgrundverordnung (DSGVO) sind beim Arbeiten im Home-Office insbesondere zu beachten?

Seit Inkrafttreten der DSGVO am 25.5.2018 gelten insbesondere für Unternehmer strengere datenschutzrechtliche Regelungen. Diese Regelungen müssen selbstverständlich auch den einzelnen Arbeitnehmern im Zuge der Erbringung ihrer Arbeitsleistung daher berücksichtigt und eingehalten werden. In diesem Zusammenhang enthält Art 32 DSGVO Grundsätze betreffend die Sicherheit der Datenverarbeitung. Dazu gehört unter Berücksichtigung des Stands der Technik, der Kosten und des zu erwartenden Risikos unter anderem die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten, die Sicherstellung von Vertraulichkeit und Integrität der Systeme und Dienste im Zusammenhang mit der Verarbeitung von personenbezogenen Daten sowie ein Verfahren zur regelmäßigen Überprüfung und Evaluierung der datenschutzrechtlichen Maßnahmen.

Treffen den Arbeitnehmer Pflichten als Verantwortlicher im Sinne der DSGVO?

Verantwortlicher im Sinne der DSGVO ist jene Person, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Dies wird in den meisten Fällen somit der Arbeitgeber sein. Wie unter Frage 5 jedoch bereits ausgeführt, müssen auch die Arbeitnehmer die Bestimmungen der DSGVO im Zuge der Erbringung ihrer Arbeitsleistung berücksichtigen und einhalten. Kommt es daher zu einer datenschutzrechtlichen Rechtsverletzung, haftet primär der Arbeitgeber als Verantwortlicher gegenüber den Betroffenen. In einem weiteren Schritt ist jedoch eine Haftung des Arbeitnehmers gegenüber dem Arbeitgeber für den in diesem Zusammenhang entstandenen Schaden im Rahmen der Bestimmungen des DNHG denkbar (siehe Frage „Wer haftet im Falle eines Schadens“).

Welche technischen Maßnahmen können zu einer erhöhten Datensicherheit beim Arbeiten im Home-Office getroffen werden?

Die technischen Sicherheitsstandards, welche von der Infrastruktur im Home-Office erwartet werden können, müssen auf demselben oder zumindest einem ähnlichen Niveau liegen wie jene Infrastruktur, die vom Arbeitgeber zur Verfügung gestellt wird. Zu unterscheiden sind dabei die vom Arbeitgeber zur Verfügung gestellten Arbeitsmittel wie ein Laptop oder ein Mobiltelefon von jenen, die der Arbeitnehmer privat zur Verfügung stellt: Dazu gehören die Internetverbindung, welche häufig auch über WLAN genutzt wird, oder private Computer samt Peripherie. 

Der Sicherheitsstandard dieser privaten Infrastruktur ist somit jedenfalls zu prüfen, und falls dies nicht möglich ist, so ist der Arbeitnehmer hinsichtlich technisch-organisatorischer Sicherheitsmaßnahmen (TOMs, Art 32 DSGVO) zu unterstützen. Die folgenden, nicht abschließenden Maßnahmen sollten jedenfalls berücksichtigt werden:

  • Sicheres bzw. verschlüsseltes E-Mailen

So ferne keine E-Mail des Arbeitgebers genutzt wird, sondern der private Account, kann dies sicherheitstechnisch problematisch sein. Die betriebliche Kommunikation sollte ausschließlich mit dem Firmenaccount und nicht mit dem Privaten erfolgen. Diese unterschiedlichen E-Mail-Identitäten müssen im E-Mail-Programm klar getrennt werden. Auch die Wahl des Mailprogramms kann Fallstricke beinhalten, wie zum Beispiel, dass E-Mails mit Schadsoftware von diesem nicht erkannt wird. Eine gute und sichere Alternative zu Kaufsoftware ist das Open-Source-Projekt Thunderbird, welches samt seinen Erweiterungen einen hohen Sicherheitsstandard implementiert. Grundsätzlich ist auch eine Verschlüsselung von E-Mails zu empfehlen, wenn vertrauliche Informationen ausgetauscht werden. Das Add-On Enigmail für Thunderbird oder GPG4Win für Outlook erweitern das E-Mailprogramm durch eine Verschlüsselung mit OpenPGP. Diese Möglichkeit ist jedoch nur dann nutzbar, wenn alle Kommunikationspartner über solch eine Erweiterung verfügen.

  • Passwortmanagement

Problematisch beim Home-Office ist insbesondere, wenn betriebliche Passwörter in oder über die private Infrastruktur genutzt werden. Ein einheitliches und sicheres Passwortmanagement ist daher essenziell. Aufgrund der Vielzahl an genutzten Passwörtern und deren erforderliche Komplexität ist es Menschen nahezu unmöglich, sich diese zu merken. Aus diesem Grund neigen sie dazu, sich diese Passwörter (elektronisch) zu notieren – und nicht auszudenken, was passiert, wenn diese durch einen Angriff vom privaten Computer entwendet werden. Ein absolutes No-Go ist in diesem Zusammenhang, wenn Passwörter oder Formulardaten im lokalen Browser gespeichert werden. Daher ist ein Passwortmanager die beste Wahl: Solch ein Programm speichert in einer sicher verschlüsselten Datenbank alle Passwörter im jeweils genutzten Computer, und der Zugriff darauf erfolgt durch ein Masterpasswort, welches natürlich entsprechend sicher gewählt werden muss. Dieser Manager kommuniziert mit Browsern oder anderen Programmen und stellt diese bei Bedarf zur Verfügung. Beispielsweise bietet das OpenSource Projekt Keepass, in den verschiedenen Varianten für alle gängigen Betriebssysteme eine sichere Lösung an.

  • Sicheres Surfen im Internet

Das Surfen im Internet, ob beruflich oder privat, birgt für das genutzte Computersystem eine latente Gefahr: Gegen die für Nutzer nicht erkennbaren Drive-by-Downloads schützen nur entsprechend geschützte Browser. Dies ist besonders dann kritisch, wenn der private Computer auch von anderen Familienmitgliedern genutzt wird. Voreinstellungen des Browsers wie Löschen der Chronik oder Cookies beim Beenden sollten daher Standard sein. Auch kann der Private Modus dies unterstützen. Des Weiteren existieren zahlreiche Browsererweiterungen, welche Tracking und malignes Scripting erkennen und verhindern: Beispielhaft zu nennen wären Decentraleyes, uBlock, I don‘t care about cookies, oder diverse Javascript Blocker, wobei Letztere den Nachteil haben, dass Webpages nicht mehr korrekt angezeigt werden. Eine weitere Gefahr ist das DNS-Spoofing, wo das ahnungslose Opfer auf vermeintlich echte, aber gefälschte Webseiten umgeleitet wird. Diesbezüglich müssen weitere Sicherheitsmaßnahmen getroffen werden, wie sicheres Surfen mit HTTPS, Nutzung eines VPN zur Firma, Überprüfung des lokalen Routers und Computers und ein obligater Virenchecker unter Windows.

  • Reduzieren von Datenströmen 

Daten sind bares Geld wert, und genau deshalb steigt der Datenhunger diverser Apps auf Mobiltelefonen, aber auch von Webseiten, die über den Browser angesteuert werden. Aus diesen Gründen ist auf Datenminimierung zu achten, welche sowohl unter Android und iOS einstellbar sind. Besonders problematisch sind vermeintlich kostenlose Apps, die davon leben, dass Daten von Nutzern ohne deren Einwilligung sammeln, nicht zu vergessen sind die Clouddienste wie dem Google-Konto, der der iCloud, welche, so ferne man über den Browser oder am Smartphone angemeldet ist, permanent lokale Daten wie Bewegungsprofile erheben und an die zentrale Cloud übertragen. Diese Funktionen sollten so ferne nicht wirklich benötigt, aus Sicherheitsgründen deaktiviert werden.

  • Gesicherter Datenaustausch

Damit die Daten auch in der privaten Infrastruktur sicher sind, wäre eine Festplattenverschlüsselung zumindest eine Verschlüsselung der Nutzerdaten gefordert. Unverschlüsselte Notebooks, Handys oder USB-Sticks, welche verloren oder entwendet werden, stellen ein latentes Sicherheitsrisiko dar. Aus diesem Grund kann unter Windows Bitlocker oder Filevault unter iOS verwendet werden, um dieses Risiko zu minimieren. Der Nachteil dabei ist, wird die Festplatte beschädigt, so ist das gesamte Dateisystem nicht wieder herstellbar. Alternativ dazu können auch nur besonders sensible Verzeichnisse oder Dateien verschlüsselt werden: Veracrypt bietet hier nicht nur eine gesamte Festplattenverschlüsselung, sondern vielmehr eine selektive Verschlüsselung der Verzeichnisse oder einzelner Dateien an. Dies ist besonders dann wichtig, wenn Dateien in einer Cloud hinterlegt werden.

Autoren:

Dr. Gerald Ganzger, Managing Partner bei LANSKY, GANZGER + partner
Dipl.-Ing. Thomas Hrdinka, Zivilingenieur, Sachverständigen für Informatik
Mag. Daniel Söllner, Rechtsanwaltsanwärter bei LANSKY, GANZGER + partner

Meine Dokumente

Seite hinzufügen

There are currently no documents in your basket.