Daten­schutz­recht­liche Vor­gaben im Home-Office

Angriff aus dem Inneren

Auch in der Arbeitswelt gibt es sie, die zwei Frak­tionen. Die eine besteht darauf, dass „Ver­trauen gut, Kon­trolle aber besser ist.“ Die andere ist vom Gegenteil überzeugt.

In diesem Blog-Beitrag geht es nicht um die kon­se­quente Ein­haltung daten­schutz­recht­licher Vor­gaben im Home-Office oder um die Rich­tigkeit erfasster Arbeitszeiten.

Vielmehr geht es um Daten­dieb­stahl durch Innentäter:innen, deren Treiben oftmals eine länger beschlossene „innere Kün­digung“ vor­ausgeht oder eine Reaktion auf eine Kün­digung durch den Arbeit­geber ist.

Unter­nehmen wappnen sich immer besser gegen Cyber­an­griffe und schützen ihre Daten vor Zugriffen durch unbe­fugte Per­sonen von außen. Fraglich ist jedoch, wie gut sich Unter­nehmen gegen Daten­dieb­stahl aus dem Inneren des Betriebes schützen.

Neben sen­siblen Daten, wie bei­spiels­weise ver­trau­lichen Doku­menten oder betrieb­lichen Infor­ma­tionen, können auch per­so­nen­be­zogene Daten ent­wendet werden. Abhängig vom Schutz­bedarf der Daten liegt dann nicht nur eine Daten­schutz­ver­letzung im Sinne der DS-GVO vor, sondern auch ein Verstoß, der zivil– oder straf­rechtlich relevant sein kann.

Es wird kaum möglich sein, Angriffe von innen zu 100 % zu ver­hindern. Es ist jedoch möglich, durch prä­ventive Maß­nahmen und ein effek­tives Daten­schutz­ma­nagement Daten-Die­b­­stähle erheblich zu erschweren und im besten Fall poten­zielle Täter:innen bereits im Vorfeld abzuschrecken.

Häufig pro­fi­tieren Innentäter:innen von inner­be­trieb­lichen Nachlässigkeiten.

Die Kon­trolle

Tech­nische und orga­ni­sa­to­rische Maß­nahmen spielen neben der Kon­trolle eine ent­schei­dende Rolle. So sollten Mitarbeiter:innen stets nur so viele Berech­ti­gungen auf IT-Systeme erhalten, wie es für die Auf­ga­ben­er­füllung zwingend erfor­derlich ist. Zugriffe auf sen­sible Daten – ins­be­sondere Auf­trags­daten – sollten stets pro­to­kol­liert und regel­mäßig auf Aktua­lität über­prüft werden.

Ver­altete oder unnötige Zugriffs­be­rech­ti­gungen (z. B. auf Grund inner­be­trieb­licher Wechsel oder Been­digung der Betriebs­zu­ge­hö­rigkeit) müssen schnellst­möglich deak­ti­viert werden. Unklare Zugriffs­struk­turen begüns­tigen einen Missbrauch.

Ein legerer Umgang mit Pass­wörtern im Unter­nehmen erleichtert zudem einen Daten­dieb­stahl, wenn diese nicht die nötige Kom­ple­xität besitzen und nicht regel­mäßig erneuert werden. Mit einem effek­tiven Pass­wort­ma­nagement und einem dif­fe­ren­zierten Zugriffs- und Rech­te­konzept kann z. B. ver­hindert werden, dass Innentäter:innen Zugriffs­rechte von Kolleg:innen missbrauchen.

Die IT-Technik bietet außerdem viele Mög­lich­keiten, um sen­sible Daten vor arg­lis­tigen Mitarbeiter:innen zu schützen. Hierzu zählen unter anderem moderne Ver­schlüs­se­lungs­tech­no­logien, die z. B. bei der Spei­cherung oder beim elek­tro­ni­schen Daten­aus­tausch genutzt werden sollten.

Eine weitere Maß­nahme stellt die soge­nannte Data Leakage Pre­vention (DLP) dar. Hier werden sämt­liche Daten, die ein Unter­nehmen ver­lassen, gefiltert und ana­ly­siert. Darüber hinaus können ana­ly­sierte Log­files Hin­weise auf Daten­lecks geben. Werden Pro­to­koll­da­teien regel­mäßig kon­trol­liert, können recht­zeitig Ano­malien fest­ge­stellt und Gegen­maß­nahmen getroffen werden.

Bislang waren dies die gän­gigen Methoden, um die Daten­si­cherheit durch Kon­troll­maß­nahmen zu gewährleisten.

Das Ver­trauen

Häufig wird unter­schätzt, dass auch das Ver­trauen eine nicht unwe­sent­liche Rolle für den Daten­schutz spielen kann. Je größer ein Unter­nehmen, desto höher ist die Anzahl der Per­sonen, die mit ver­trau­lichen Daten in Berührung kommen. Anzu­nehmen, dass jede:r Mitarbeiter:in poten­tiell tat­ver­dächtig sein könnte, schafft eine Ver­dachts­kultur. Miss­trauen wirkt sich jedoch negativ auf die Betriebskultur aus und kann Arbeits­ab­läufe hemmen.

Ver­träge und Ver­pflich­tungs­er­klä­rungen schaffen zwar einen ver­bind­lichen Hand­lungs­rahmen. Doch erst gemeinsam mit Eigen­ver­ant­wortung und Ver­trau­ens­vor­schuss tragen diese orga­ni­sa­to­ri­schen Maß­nahmen auch zu einem posi­tiven Betriebs­klima bei und unter­streichen neben einer ange­mes­senen Ent­lohnung die Wert­schätzung des Unter­nehmens gegenüber ihren Mitarbeiter:innen.

Auch eine positive Feh­ler­kultur unter­stützt das har­mo­nische Ver­hältnis des Arbeit­nehmers zum Arbeit­geber. Dort, wo Men­schen arbeiten, können Fehler nicht voll­ständig aus­ge­schlossen werden. Mitarbeiter:innen sollten aber nicht befürchten müssen, dass sich Fehler negativ auf das Arbeits­ver­hältnis auswirken.

In ein­fachen Worten aus­ge­drückt: Ein posi­tives Betriebs­klima kann ent­scheidend zur Arbeits­zu­frie­denheit und damit zur Reduktion poten­zi­eller Innen­täter beitragen.

Das gemeinsame Ziel sollte es sein, mit geeig­neten Mitteln dafür Sorge zu tragen, dass Mitarbeiter:innen zu keinem Zeit­punkt das Bedürfnis ent­wi­ckeln, ihrem Arbeit­geber schaden zu wollen. Die Ent­scheidung, ob mehr Ver­trauen oder mehr Kon­trolle in der Waag­schale liegt, muss jedes Unter­nehmen letzt­endlich für sich selbst beurteilen.