Das Homeoffice-Gesetz – Zur IT-Sicherheit verpflichtet?
Das Homeoffice-Gesetz war lang erwartet. Im Zusammenhang mit IT-Sicherheit hat es mangels konkreter Sicherheitsregeln jedoch so gut wie keine Beachtung gefunden. Zu Unrecht, wie eine Stellungnahme der Datenschutzbehörde zum Gesetzesentwurf beweist.
Homeoffice ist schon lange ein Dauerthema und neues Lieblings-Angriffsziel von Hackern. Für die WEKA-Akademie habe ich mich zuletzt im November mit den für Homeoffice rechtlich und praktisch gebotenen IT-Sicherheitsmaßnahmen befasst (siehe „Homeoffice und IT-Sicherheit: Neue Chancen, aber auch Gefahren“).
Nun steht das lang angekündigte Homeoffice-Gesetz bevor und soll bereits ab 1. April 2021 gelten. Doch was sagt es zum Thema IT-Sicherheit? Die gute Nachricht: Wenig. Die schlechte Nachricht: Wenig.
Gut ist dies für alle Unternehmen, die bereits eine zentralisierte IT-Sicherheitslösung für das Homeoffice implementiert haben. Schlecht ist dies für alle, die eher auf Individuallösungen oder Mitarbeiterverantwortlichkeit gebaut haben.
Der Gesetzesentwurf erfordert im neuen § 18c AVRAG (Arbeitsvertragsrechts-Anpassungsgesetz) zwar die schriftliche Vereinbarung von Homeoffice, jedoch keine konkreten technischen Maßnahmen. Die Bestimmung hält aber auch fest, dass primär der Arbeitgeber für die Bereitstellung der technischen Ausstattung (im Gesetz: „digitale Arbeitsmittel“) verantwortlich ist. Es darf zwar schriftlich vereinbart werden, dass der Arbeitnehmer diese „digitalen Arbeitsmittel“ beistellt. Dann muss aber der Arbeitgeber die dafür „angemessenen und erforderlichen Kosten“ tragen.
Verantwortlichkeit für IT-Sicherheitsmaßnahmen
Und hierin liegt der Schlüssel für die Frage nach der Verantwortlichkeit für IT-Sicherheitsmaßnahmen, wie zB auch die Datenschutzbehörde in ihrer Stellungnahme zum Gesetzesentwurf aufzeigt. Denn auch im Homeoffice bleibt der Arbeitgeber sowohl datenschutz- als auch haftungsrechtlich für die von ihm verarbeiteten personenbezogenen, wie auch alle sonstigen, Daten und überhaupt die Sicherheit seiner Systeme verantwortlich, und muss für Sicherheitsvorfälle einstehen. Der neue § 2 Abs 4 DHG (Dienstnehmerhaftpflichtgesetz), demnach Arbeitnehmer für Schäden haften, welche dem Arbeitgeber durch im gemeinsamen Haushalt lebende Personen oder Tiere zugefügt werden, ändert daran in der Praxis nichts, so er denn überhaupt bestehen bleibt. Besonders, wenn die getroffenen Sicherheitsmaßnahmen von Vornherein als ungeeignet und damit nicht gesetzeskonform einzustufen wären.
Bereitstellung „digitaler Arbeitsmittel“ durch den Arbeitnehmer?
Wenn daher ein Arbeitnehmer die entsprechenden „digitalen Arbeitsmittel“ und damit auch die angemessenen IT-Sicherheitsmaßnahmen bereitstellen soll, wird man nicht umhinkommen, diesen zumindest entsprechend zu belehren. Und zwar am besten schriftlich, allein schon zwecks Nachweisbarkeit. In der Praxis bedeutet das aber, dass man eine recht detaillierte IT-Sicherheits-Richtlinie benötigen wird. Denn je unpräziser die Belehrung, umso größer das Risiko eines Sicherheitsvorfalls, für den der Arbeitgeber wird haften müssen; vor allem, wenn der Arbeitnehmer (wie meistens) technisch nicht oder weniger versiert ist, als der Arbeitgeber oder dessen (externe) IT.
Aus der Kosten-/Nutzen-/Risikosicht betrachtet ergibt sich damit aber, dass es für die meisten Arbeitgeber rechtlich und wirtschaftlich vernünftiger ist, die Bereitstellung „digitaler Arbeitsmittel“ einschließlich der Sicherheitsmaßnahmen selbst zu übernehmen, statt nur für das Homeoffice ein engmaschiges Regelwerk zu erstellen und dann auch noch dessen Einhaltung zu kontrollieren. Anders sieht es freilich aus, wo derartige Regelwerke nicht nur bereits existieren, sondern auch gelebt werden.
Regeln für die IT-Sicherheit im Homeoffice
Ohne Regeln, welche die Mitarbeiter kennen und einhalten müssen, geht es in der IT-Sicherheit natürlich nicht. Jedes gute Sicherheitskonzept beginnt mit den Personen, die dieses leben müssen. Doch mit einer soliden technischen Grundlage kann das Regelwerk, zumindest im Homeoffice, schlank und damit leicht umsetzbar gehalten werden.
Zusammengefasst heißt das für die IT-Sicherheit nach dem anstehenden Homeoffice-Gesetz:
- IT-Sicherheit ist Arbeitgebersache:
Auch wenn es verlockend erscheint, Mitarbeitern im Homeoffice Freiheiten einzuräumen und möglichst wenige Beschränkungen aufzuerlegen: Die Verantwortung für die IT-Sicherheit bleibt immer beim Arbeitgeber. Daher ist es auch in seinem Interesse, selbst für die IT-Sicherheit Sorge zu tragen und diese an keine Arbeitnehmer, außer der IT-Abteilung, zu delegieren.
- (Don’t) Bring Your Own Device:
Es gibt gute Lösungen, um auf privaten Geräten Konten für private und geschäftliche Nutzung voneinander abzuschotten. Besonders für Unternehmen ohne eigene IT-Abteilung ist aber die Bereitstellung eines eigenen Firmengeräts in der Regel praktischer. Ein solches lässt sich, ohne Rücksichtnahme auf Privatnutzung, besser absichern und auch der Regelungs- und Kontrollaufwand ist deutlich geringer.
- Doppelt hält besser:
Die RDP-Verbindung für den Fernzugriff auf den Unternehmensserver mit einer Virtual Private Network-Lösung (VPN) zu verschlüsseln, ist heute eigentlich Standard. Die Verbindung zusätzlich mit einer Zweifaktorauthentifizierung abzusichern,wird dies bald sein. Dies bietet besonders im Homeoffice zusätzlichen Schutz vor neugierigen Mitbewohnern, zB Kindern.
- Mitarbeiterinformation ist Pflicht:
Es ist im Interesse des Arbeitgebers, eine technisch solide Lösung zu implementieren, die möglichst wenige und einfach zu lebende Verhaltensregeln erfordert. Über diese sollten Mitarbeiter dann nicht nur nachweislich schriftlich unterrichtet, sondern auch wirklich belehrt, erforderlichenfalls geschult, werden.
Zum Beitrag
Produkt-Empfehlungen
