Die Regierung hat mit 16.3.2020 ein umfangreiches Maßnahmenpaket zur Bekämpfung und Eindämmung von Covid-19 („Corona-Virus“) umgesetzt. Einer der wichtigsten Schritte ist die geforderte Einschränkung der sozialen Kontakte auf das absolute Mindestmaß. Damit ging für die heimischen Unternehmen ein sofortiger Handlungsbedarf einher: Wer seine Pforten in der Krise nicht so und so vollständig schließen musste, hat im größtmöglichen Umfang auf Home Office umgestellt. Das ist zur Reduktion der Infektionsgefahr sinnvoll und Teil unserer sozialen Verantwortung. Damit und mit der Verarbeitung der Daten von (potentiell) Infizierten gehen aber aus rechtlicher und technischer Sicht besondere Herausforderungen einher, die auch in Zeiten der Krise nicht außer Acht gelassen werden dürfen:
So geht mit der Bewerkstelligung der Krise bereits zwangsläufig eine bisher nicht erforderliche Verarbeitung von sensiblen Daten einher, da es sich sowohl bei der Information über einen Verdachtsfall als auch im Bestätigungsfall um besondere Kategorien personenbezogener Daten, nämlich Gesundheitsdaten, handelt. Bereits aus diesem Umstand ist ein besonderes Augenmerk auf die erhöhten technischen und organisatorischen Maßnahmen nach Art 32 DSGVO zu legen. Hervorzuheben ist insbesondere die strikte Einhaltung des need-to-know Prinzips: So muss gerade in diesem heiklen Bereich sichergestellt sein, dass nur solche Personen im Unternehmen Zugriff auf die Klardaten erhalten, die diesen auch tatsächlich im Rahmen der Zweckerfüllung benötigen. Bei der Etablierung der dafür erforderlichen Prozesse ist in der Praxis ein Blick über den Tellerrand gefordert, insbesondere wenn parallel auf Home Office umgestellt wird. So sind auch dort die erforderlichen Maßnahmen durch effektive Berechtigungskonzepte, Zugriffsbeschränkungen und der Einrichtung sicherer Kommunikationskanäle sicherzustellen. Das ist aber bei weitem nicht die einzige Herausforderung, die Home Office aus IT-Sicherheitssicht mit sich bringt:
Bei der Umstellung im Unternehmen auf Home Office sind darüber hinaus nämlich insbesondere die weiteren damit verbundenen Risiken entsprechend zu bewerten und zu mitigieren: Wenn aufgrund der Krise mehr Arbeitnehmer als üblicherweise – oder gar alle – von außerhalb des Unternehmens auf Daten zugreifen, geht damit eine allgemeine Risikoerhöhung einher. Das ist bei der Ausgestaltung der technischen und organisatorischen Maßnahmen ausreichend zu berücksichtigen:
So muss sichergestellt sein, dass der Arbeitnehmer auch Zuhause das Datengeheimnis sowie Betriebs- und Geschäftsgeheimnisse bewahrt. Dies beginnt in der Praxis bei der Geheimhaltung der Passwörter und geht bis hin zum sensiblen Umgang bei Telefonaten und Videokonferenzen. Parallel muss aber auch sichergestellt sein, dass die dafür eingesetzten Systeme hinsichtlich Kapazität und Verfügbarkeit auf die bis zur Krise nicht vorhersehbare Anzahl externer Zugriffe auf solide Beine gestellt sind. In vielen Unternehmen wird derzeit aufgrund fehlender Notfallpläne und Verfügbarkeit von belastbaren Work-Arounds mitunter auch auf kostenlose Alternativen zurückgegriffen. Das kann für nicht sensible Bereiche, wie etwa zur Abstimmung innerhalb von Abteilungen zur aktuellen Arbeitsauslastung oder internen Terminkoordination, durchaus sinnvoll und zulässig sein. Von einer Weitergabe (i) personenbezogener Mitarbeiter- und Kundendaten sowie (ii) dem Betriebs- und Geschäftsgeheimnis unterliegenden Informationen ist auf solchen Kanälen allerdings dringend abzuraten. Sowohl aus DSGVO- als auch IT-Security Sicht erfüllen diese Services idR nicht die erforderlichen rechtlichen sowie technischen Erfordernisse. Diese Services zielen nämlich grundsätzlich auf einen Einsatz zwischen Privaten ab und sind auch rechtlich in ihren AGB und Lizenzbestimmungen nicht darauf ausgelegt, Datenverarbeitungen von Unternehmen abzuwickeln. Die in der DSGVO für personenbezogene Daten und dem UWG für Geschäftsgeheimnisse vorgesehenen angemessenen Schutzmaßnahmen sind damit nicht erfüllt.
In der Praxis ist in der nunmehrigen Krise Augenmaß und Fingerspitzengefühl gefordert. So lassen sich die Aufrechterhaltung der Servicequalität und Effizienz mit den erforderlichen Sicherheitsmaßnahmen auch im Home Office unter einen Hut bringen.
RA Dr. Axel Anderl, LL.M. (IT-Law) ist Managing Partner und Leiter des IT/IP und Datenschutzteams sowie der Digital Industries Group bei DORDA (). RA Mag. Nino Tlapak, LL.M. (IT-Law) ist Rechtsanwalt im IP/IT und Datenschutz-Team bei DORDA ().
Copyright Titelfotos: belle&sass
Weiter zum Unternehmensprofil