Datenschutz to go: Sicherheit bei Nutzung mobiler Endgeräte unterschätzt

Im ICE E-Mails beantworten, im Co-Working-Space eine Telefonkonferenz abhalten oder im Homeoffice arbeiten:  Agiles und mobiles Arbeiten verlangt von Arbeitnehmern und Arbeitgebern besondere Sensibilität in Sachen Datenschutz.

München, 14.09.2018 – Darauf weist der Datenschutzexperte René Rautenberg von ER Secure hin. „Längst sind es nicht nur Außendienstmitarbeiter, die außerhalb des Büros geschäftlich tätig sind. Laut einer aktuellen Studie arbeiten inzwischen 38 Prozent aller abhängig Beschäftigten in Deutschland regelmäßig oder zumindest in Ausnahmefällen von zu Hause – unter den jungen Arbeitnehmern ist der Anteil noch höher“, erklärt Rautenberg. „Mobil unterwegs zu sein, bringt viele Vorteile. Unternehmen und Mitarbeiter müssen jedoch einiges beachten.“ Artikel 32 der am 25. Mai in Kraft getretenen Europäischen Datenschutz-Grundverordnung (DSGVO) regelt die Sicherheit der Datenverarbeitung und -verantwortung, was auch für Notebooks und andere mobile Endgeräten gilt.

Einfache Regeln beachten

Der beste Datenschutz nützt nichts, wenn Angestellte und Freiberufler einfachste Regeln nicht beachten. Das fängt laut ER Secure bei speziellen Sichtschutzfolien an und hört bei der Datenverschlüsselung auf. „Notebooks müssen mit Benutzernamen und Kennwort zu sperren sein, sonst kann nicht nur im Falle eines Diebstahls jeder die Unternehmensdaten einsehen“, erklärt Rautenberg. Er empfiehlt Vielreisenden Laptopschlösser.  Die lassen sich zwar aus der Plastikverkleidung reißen und können einen Diebstahl im Ernstfall nicht hundertprozentig ausschließen. „Ein Schloss dient aber der  visuellen Abschreckung.“ Zudem rät er, den Laptop und das Smartphone an öffentlichen Orten nicht unbeaufsichtigt zu lassen – wie etwa auf dem Tisch. Die Gefahr eines physischen Diebstahls ist nicht zu unterschätzen. So werden in Deutschland pro Tag allein rund 600 Smartphones gestohlen – im Jahr also mehr als 200.000 Geräte. An den acht größten Flughäfen Europas verschwinden wöchentlich rund 3.300 Laptops.

Vorsicht vor privaten Apps auf dem Diensthandy

78 Prozent der Deutschen nutzen Smartphones. Jeder fünfte Arbeitnehmer in Deutschland besitzt sogar ein Diensthandy. Problematisch wird es laut Rautenberg, wenn das Dienstgerät privat genutzt werden darf, weil sich die Kontrolle dann dem Unternehmen entzieht. „Welche Nutzung des Diensthandys erlaubt ist und welche nicht, sollten Unternehmen am besten schriftlich festhalten.“ Mitarbeiter beziehungsweise Unternehmen müssen zudem darauf achten, dass keine unbefugten Apps die Kontaktdaten auslesen. Das beste Beispiel sind Messenger-Dienste wie WhatsApp. Wer WhatsApp auf seinem Diensthandy nutzt, leitet automatisch die Telefonnummern all seiner gespeicherten Kontakte weiter. Das ist nicht DSGVO-konform. Aber auch viele kostenlose Apps greifen Daten ab, die für die App-Funktion eigentlich gar nicht notwendig wären. Besonders wenn ein Diensthandy durch bestimmte Apps auch privat genutzt wird, ist dies kritisch. „Große Unternehmen unterbinden daher, dass Mitarbeiter eigenständig Apps aufs Handy laden. Kleine Unternehmen sollten Mitarbeiter darüber schriftlich aufklären, dass dies verboten ist“, sagt Rautenberg.

Virtueller Schutz ist Pflicht

Virenschutz, Verschlüsselungslösungen, Anti-Spyware und Firewalls sind Pflicht. „Die DSGVO regelt, dass Unternehmen bestmögliche Vorkehrungen ergreifen, um Daten zu schützen“, erklärt Rautenberg. Mit Hilfe von Bestandsaufnahmen, Dokumentationen und Protokollen sollten Unternehmen nachweisen können, dass Mitarbeiter die Daten entsprechend geschützt haben. Zudem sollten Arbeitsnomaden öffentliche WLAN-Hotspots meiden, weil dort die Daten nicht selten unverschlüsselt übertragen werden. Jeder, der in Funkreichweite und in der Lage ist, kann den Datenverkehr sonst mitlesen. Fremde Netzwerke sind zudem schlechter geschützt als gewartete Unternehmensnetze, die bereits frühzeitig Datenattacken vereiteln. Sind Smartphones oder Notebooks hingegen vom Netzwerk getrennt und öffentlich unterwegs, sind sie besonders anfällig für Viren.

Diebstahl kann meldepflichtig sein

Ob virtueller oder physischer Datendiebstahl: Abhängig von den Daten, die auf dem Laptop oder dem Smartphone gespeichert sind, muss dies gemeldet werden. „Unternehmen müssen Mitarbeiter instruieren, gestohlene IT-Geräte unverzüglich zu melden. Je nach  Relevanz kann eine Meldepflicht des Unternehmens gegenüber der zuständigen Behörde bestehen“, erklärt Rautenberg.

Homeoffice-Richtlinien beachten

Vier von zehn deutschen Arbeitgebern lassen ihre Mitarbeiter ganz oder teilweise von zu Hause arbeiten. „Dabei ist es notwendig, alle Sicherheitsbestimmungen wie Virenscanner, Firewall und Datensicherung im Homeoffice einzuhalten. Besonders wichtig: Eine Vereinbarung mit dem Mitarbeiter, dass die Familienmitglieder nicht auf die Daten zugreifen können“, betont Rautenberg. Das gilt nicht nur für das getippte Wort, sondern insbesondere für das Gesprochene. Zum Datenschutz gehört auch, dass unterwegs nicht am Telefon nicht für andere hörbar über Personendaten gesprochen wird – das gilt auf dem heimischen Balkon genauso wie im Zug oder im Flughafenterminal. „Eine vollkommene Kontrolle des Mitarbeiters in seinen eigenen vier Wänden in Form von uneingeschränktem Zutrittsrecht durch das Unternehmen ist jedoch nicht umsetzbar“, erklärt der Datenschutzexperte. Unternehmen können sich zumindest durch klare Anweisungen und die Dokumentation derer schützen. Datenschutz-Management-Lösungen können helfen, die DSGVO individuell umzusetzen.