Aufrufe
vor 4 Monaten

AssCompact 07/2021

  • Text
  • Vermittler
  • Deutschland
  • Zudem
  • Cyberversicherung
  • Digitale
  • Versicherer
  • Makler
  • Juli
  • Asscompact
  • Unternehmen

RECHTLICHE FRAGEN IM

RECHTLICHE FRAGEN IM VERMITTLERBÜRO Home-Office? Aber sicher! Im Zusammenhang mit der Frage, wie der Arbeitsalltag nach Ende der Corona- Pandemie aussehen wird, ist immer wieder von flexibleren Arbeitsplatzmodellen die Rede. Doch Vermittler müssen insbesondere im Umgang mit sensiblen Kundendaten auf einige Punkte achten, um Datenschutz und Datensicherheit nicht zu gefährden. Welche das sind, erläutert IT-Fachanwältin Carola Sieling. Mit der Corona-Pandemie sind viele Unternehmen vor besondere Herausforderung gestellt worden. Wo vorher in Großraumbüros oder Kantinen reges Treiben herrschte, ist heute nur noch gähnende Leere vorzufinden. Mitarbeiter wurden freiwillig oder unfreiwillig ins Mobile- bzw. Home-Office geschickt und sollten fortan ihre Tätigkeit nicht am sonst gewohnten Arbeitsplatz ausüben. Unternehmen, die bereits im Vorfeld sowohl technische als auch rechtliche Strategien für flexible Arbeitsorte entwickelt hatten, waren klar im Vorteil. Datenschutz und Datensicherheit Die Unternehmenslandschaft musste infolge dessen neue Herausforderungen annehmen und ihr Augen merk auf ausreichenden Daten schutz und ausreichende Datensicherheit legen. Jedes Unternehmen ist als verantwortliche Stelle nach den Regelungen der Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) verpflichtet, angemessene Maßnahmen zu treffen, um den Datenschutz und die Datensicherheit zu gewährleisten. Datenschutz meint in erster Linie den Schutz personenbezogener Daten vor Beeinträchtigungen des Persönlichkeitsrechtes, wohingegen Datensicherheit vor Verlust oder Missbrauch von personenbezogenen Daten schützen soll. Beide Aspekte sind von den Datenschutzregelungen erfasst. Anforderungen an technische und organisatorische Maßnahmen Gemäß Art. 32 DSGVO hat jedes Unternehmen sicherzustellen, dass ausreichende technische und organisatorische Maßnahmen zum Datenschutz und zur Datensicherheit ergriffen werden, und zwar unter Berücksichtigung des Stands der Technik, der Kosten, der Art und Zwecke der Verarbeitung sowie des Eintrittsrisikos und des Schädigungspotenzials für die Betroffenen. Organisatorische Maßnahmen Organisatorische Maßnahmen können beispielsweise sein, dass Mitarbeiter für das Thema Datenschutz und Datensicherheit durch regelmäßige Schulungen sensibilisiert werden. Insbesondere das Home- oder Mobile-Office betreffend sollte darauf aufmerksam gemacht werden, dass unberechtigte Dritte (außerhalb des Unternehmens stehende Personen) keinen Einblick in die Tätigkeiten und Daten des Unternehmens erhalten dürfen. Eine derartige Gefahr besteht beispielsweise durch offen liegende Unterlagen oder ungünstige Positionierung von Bildschirmen. Mitarbeiter müssen auch auf das Risiko hingewiesen werden, dass selbst im häuslichen Umfeld unberechtigte Zugriffe auf unternehmenseigene Daten passieren können und dies im Vorfeld verhindert werden muss. Es ist zu empfehlen, dass Mitarbeiter außerhalb der Betriebsstätte möglichst in einem separaten Raum arbeiten und der Arbeitgeber durch entsprechende Anweisung dafür Sorge trägt, dass Mitarbeiter Bildschirme bei Abwesenheit sperren, ausgedruckte Dokumente ordnungsgemäß entsorgen oder verschlossen transportieren. Anders als bei Datenträgern sind in Papierunterlagen befindliche Daten auf den ersten Blick einsehbar. Richtlinien oder Arbeits - anweisungen bzw. Vereinbarungen mit dem Mitarbeitenden oder dem Betriebsrat sind hier unbedingt zu treffen, um den Anforderungen zu genügen. Technische Maßnahmen Neben den organisatorischen Maßnahmen sind auch technische Maßnahmen zu ergreifen, die den Mitarbeitenden insbesondere bei der Geheimhaltung der unternehmenseigenen Daten unterstützen. Zum Beispiel gibt es für reisende Mitarbeiter die Möglichkeit, dass Laptops bzw. Smartphones entsprechend mit einer Sichtschutzfolie ausgestattet werden. Zudem sollte ein ausreichender und komplexer Passwortschutz den Zugang zu den Systemen schützen. Hinzukommen können weitere Sicherungsmaßnahmen wie eine sichere Anbindung des Rechners im Home-Office an die Server der Unternehmen durch ein Virtual Private Network (VPN), auch eine Zwei- oder Mehr-Faktor- Authentifizierung sichert die Systeme vor unberechtigten Zugriffen ab und ist Stand der Technik als 102 AssCompact | Juli 2021

RECHTLICHE FRAGEN IM VERMITTLERBÜRO Zugangsvoraussetzung für besonders sensible Daten. Ein Mobile- Device-Management (MDM) kann unterstützen, um Rechner zu monitoren, Updates einzuspielen oder auch im Verlustfalle Daten aus der Ferne zu löschen. Auch durch simple Maßnahmen wie ein Headset kann die Vertraulichkeit des Wortes gewahrt werden. Private Endgeräte Aus der Praxis kann berichtet werden, dass häufig im Rahmen der kurzfristigen Umstellung auf das Home-Office zu pragmatischen, nicht aber immer sicheren Lösungen gegriffen wurde. Dies sollte nunmehr nach über einem Jahr der Pandemie, soweit nicht schon erfolgt, auf jeden Fall überprüft werden. Viele Unternehmen haben zur Verarbeitung von unternehmens - eigenen Daten private Endgeräte zugelassen. In der Regel sollte jedoch auf die Nutzung privater Endgeräte verzichtet werden, besonders aufgrund der erhöhten Gefahr der Vermengung von privaten und beruflichen Daten und der auch im Übrigen schwierigen Situation, dass private Endgeräte in der Regel nicht in das Monitoring bzw. in das Datensicherheitskonzept eines Unter nehmens aufgenommen werden können. Auch aus steuerrechtlicher Sicht kann der Einsatz von privaten Endgeräten zur dienstlichen Nutzung tückisch sein. Grundsätzlich ist es allerdings möglich, private Endgeräte im Rahmen der dienstlichen Nutzung zuzulassen. Diese Art der Verwendung nennt man auch BYOD (bring your own device). Soll BYOD in einem Unternehmen zulässigerweise zum Einsatz kommen, ist unbedingt zu prüfen, ob das erforderliche Schutzniveau für die Verarbeitung dienstlicher Daten eingehalten werden kann. Videokonferenzsysteme Auch kommen im Rahmen von neu geschaffenen Home- und Mobile- Office-Arbeitsplätzen neue Tools und neue Software zum Einsatz. Insbesondere haben Video - konferenzlösungen Präsenzbesprechungen im vergangenen Jahr ersetzt. Auch hier sind die üblichen datenschutzrechtlichen Anforderungen wie zum Beispiel der Abschluss von Auftragsverarbeitungsverträgen, ausreichende Verschlüsselung, datenschutzkonforme Konfiguration sowie die Erfüllung von Datenschutzhinweisen zu berücksichtigen. Weiterführende Informationen Auch die Aufsichtsbehörden sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) waren nicht untätig und haben Checklisten, Hinweise und Informationen kostenfrei zur Verfügung gestellt. Hervorzuheben sind hier die vom Bayerischen Landesamt für Datenschutzaufsicht am 18.05.2020 veröffentlichten Best-Practice-Prüfkriterien, die einen guten Unternehmens-Check ermög lichen (zum Aufrufen der Seite bitte den nebenstehenden QR-Code scannen). P Checkliste für das sichere Home-Office • Ausreichende Verschlüsselung und Passwortschutz des genutzten WLANs und von Arbeitsgeräten • Einrichtung eines VPN zum Zugriff auf unternehmenseigene Server • Arbeitsanweisung für Mitarbeiter zu Dos und Don’ts • Üblicher Virenschutz und Firewall zum Schutz der Endgeräte • Update- und Backup-Konzept • Verschlüsselung, insbesondere von mobilen Datenträgern • Automatische Bildschirmsperre • Konzept zur sichereren Entsorgung und Aufbewahrung von Papierunterlagen und Arbeitsgeräten • Sichtschutzfolien für Displays • Sensibilisierung und Schulung der Mitarbeiterinnen und Mitarbeiter • Beteiligung der Datenschutz - beauftragten Carola Sieling© Feodora – stock.adobe.com Fachanwältin für IT-Recht der Rechtsanwaltskanzlei Sieling Juli 2021 | AssCompact 103

AssCompact

Vermittler Deutschland Zudem Cyberversicherung Digitale Versicherer Makler Juli Asscompact Unternehmen

Neues von AssCompact.de

Vermittler Deutschland Zudem Cyberversicherung Digitale Versicherer Makler Juli Asscompact Unternehmen