14. April 2020 – need2know
Welche Relevanz hat die Umstellung auf Heimarbeit für die Datensicherheit im Unternehmen?
Telearbeit oder auf Neudeutsch Home Office sind mittlerweile zu Buzzwords der Corona-Krise geworden. Unter Telearbeit versteht man im Allgemeinen Tätigkeiten, die räumlich entfernt vom Standort des Arbeitgebers durchgeführt werden und deren Erledigung durch eine kommunikationstechnische Anbindung an die IT des Arbeitgebers unterstützt wird (Vgl Österreichisches Informationssicherheitshandbuch, Version 4.1.1). Home Office ermöglicht dem Arbeitgeber, den Arbeitnehmern die Erledigung ihrer dienstlichen Pflichten von zu Hause aus zu erlauben, was sich als Maßnahme zur Eindämmung der Ausbreitung des Corona-Krise etabliert hat. Wie viele Unternehmen davon Gebrauch gemacht haben, zeigt auch eine von Statista durchgeführte Online-Umfrage unter Berufstätigen in Österreich zur Arbeit im Home Office während der Corona-Krise im März 2020; so waren danach insgesamt 46 Prozent der Befragten (fast) ausschließlich oder überwiegend von zuhause aus tätig (de.statista.com).
Diese unerwartet entstandene Notwendigkeit zur Mobilisierung der Arbeitnehmer führt jedoch dazu, dass Unternehmensdaten in wenig sichereren Umgebungen bearbeitet werden, woraus dem Unternehmen die Gefahr von Datenverlust und Datenmissbrauch droht. So schafft gerade die Arbeitsumgebung in den eigenen vier Wänden der Arbeitnehmer genug Raum für neue Angriffsvektoren auf die Datensicherheit, zumal am Telearbeitsplatz in der Regel nicht dieselbe infrastrukturelle Sicherheit, wie sie in einer festen betrieblichen Büroumgebung anzutreffen ist, vorausgesetzt werden kann. Telearbeitsplätze erzeugen somit Gefahren für die direkte IT-Umgebung des Arbeitgebers, in die sie eingebunden sind, und im Besonderen für die über Synchronisierung mit dem Unternehmensnetzwerk mobil verarbeiteten Daten von Kunden, Lieferanten, sonstigen Geschäftspartnern sowie auch von anderen Arbeitnehmern (zB im Rahmen der HR-Abteilung).
Es ist nun allerdings, selbst wenn der Arbeitgeber die physische Dispositionsfreiheit und Kontrolle über die EDV-Geräte verliert, weiterhin uneingeschränkt seine Aufgabe, dafür Sorge zu tragen, dass Datensicherheit im Sinne des Art 32 DSGVO verwirklicht ist, wofür Maßnahmen zur Sicherstellung eines ordnungsgemäßen Ablaufs der Datenverarbeitung ebenso erforderlich sind wie die Sicherung von Hard- und Software sowie der Schutz der Daten vor Verlust, Schädigung und Missbrauch (Vgl zB Paulus in Wolff/Brink, BeckOK Datenschutzrecht (2019) DS-GVO Art 32 Rz 4). An diese Maßnahmen werden aufgrund der Verlagerung der Arbeitsplätze sogar höhere Anforderungen gestellt werden müssen, um eine mit einem Büroraum vergleichbare Sicherheitssituation erreichen zu können.
Mit welchen Maßnahmen hat der Verantwortliche gegen Datenverlust und Datenklau Vorsorge zu treffen?
Die Durchdringung der Arbeitswelt mit Informations- und Kommunikationstechnologie – sei es etwa der Einsatz von privaten Smartphones oder anderen mobilen Geräten („Bring your own Device“) oder von Assistenzsystemen in der Fertigung und Instandhaltung – findet schon länger statt. Die Ermöglichung eines für die Daten sicheren Arbeitens von zu Hause aus, sollte somit eigentlich, gemessen am technischen Fortschritt, keine spezielle Herausforderung mehr darstellen. Da jedoch Art 32 DSGVO keine Schutzmaßnahmen vorgibt, sondern diese vielmehr gerichtet an den Umständen des Einzelfalls so zu treffen sind, dass sie geeignet sind, die Risiken der betroffenen Personen zu minimieren, ist die Schwierigkeit der konkreten Auswahl und Implementierung von wirksamen technischen und organisatorischen Maßnahmen unter Berücksichtigung der Implementierungskosten und dem Stand der Technik nicht zu unterschätzen.
Auf organisatorischer Ebene sind etwa vielgeübte Maßnahmen die Vorgabe an die Arbeitnehmer, dass nur autorisierte Personen auf den Telearbeitsrechner zugreifen dürfen und dafür Sorge zu tragen ist, dass diese vor Zugriff durch unberechtigte Dritte geschützt sind (zB nicht frei zugänglich und ungesichert zu Hause stehen zu lassen) sowie die Erlassung des Verbots der privaten Nutzung der für den Heimarbeitsplatz bereitgestellten betrieblichen Geräte oder Zugangsmöglichkeiten (insbesondere Notebook und Internetzugang). Das deutsche Bundesamt für Sicherheit in der Informationstechnik empfiehlt aus technischer Sicht unter anderem folgende Maßnahmen vorzusehen: Identifizierungs- und Authentisierungsmechanismen sowie Zugriffskontrolle zur Effektuierung der Vergabe von Zugriffsrechten auf organisatorischer Ebene, Protokollierung aller Aktionen über den Telearbeitsrechner, Einsatz von Verschlüsselung (zB Festplattenverschlüsselung bei Notebooks), Zugriff auf Geschäftsanwendungen nur über eine sichere VPN-Remoteverbindung (zB Citrix), bestenfalls mittels Token-Authentifizierung (Vgl BSI, IT-Grundschutz, Umsetzungshinweise zum Baustein OPS.1.2.4 Telearbeit).
Die durch die Corona-Krise vielfach über Nacht eingerichteten Telearbeitsplätze mussten mittels solcher Maßnahmen hinsichtlich der von ihnen ausgehenden Sicherheitsrisiken beherrscht werden. Die DSGVO verlangt jedoch nicht nur, dass die Maßnahmen getroffen sind, sondern vielmehr auch deren Dokumentation (Art 32 iVm Art 5 Abs 2 DSGVO, Vgl auch Mantz in Sydow, Europäische Datenschutzgrundverordnung (2018) Art 32 Rz 29). Die vom Verantwortlichen vorzusehenden Daten- und IT-Sicherheitsmaßnahmen sollten daher auch Bestandteil eines allgemeinen Datensicherheitsmanagements sein, bestehend aus Daten- und IT-Sicherheitskonzept, Risikoanalyse und Dokumentation (Spindler/Schuster/Laue, DS-GVO (2019) Art. 32 Rz 23).
Selbst wenn alle diese von der DSGVO auferlegten Aufgaben noch zu bewältigen gewesen wären, so bleibt eine Herausforderung wohl während der gesamten Zeit der Ausgangsbeschränkungen bestehen, nämlich der Faktor Mensch als bekanntlich eines der größten Risiken der IT-Sicherheit. Es kam und kommt vermehrt zu Social Engineering Attacken auf die für viele Arbeitnehmer neue Arbeitsplatzsituation, wodurch Sicherheitsrisiken entstehen und sich die Frage nach einer meldepflichtigen Datenschutzverletzung im Sinne des Art 33 (Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde) und Art 34 DSGVO (Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person) stellt. Ein gut organisiertes Data Breach Management, das die schnellstmögliche Aufdeckung eines Datensicherheitsvorfalls außerhalb der vom Unternehmen direkt verwalteten IT-Infrastruktur umsetzt, kann aktuell mehr denn je vor Datenschutzverstößen schützen. So wird die Verletzung der rechtzeitigen Meldung an die Behörde und/oder die Betroffenen von der DSGVO sanktioniert.
Unter welchen Umständen muss ein Datenverlust oder Datenmissbrauch der Datenschutzbehörde gemeldet werden?
Art 33 DSGVO bestimmt, dass im Falle einer Verletzung des Schutzes personenbezogener Daten der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde melden muss. Art 4 Z 12 DSGVO definiert die Verletzung des Schutzes personenbezogener Daten als eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Was eine Verletzung der Sicherheit sein soll, ist in der DSGVO hingegen nicht näher definiert (Fritz, Melde- und Benachrichtigungspflichten bei Verletzungen des Schutzes personenbezogener Daten, in Jahnel, Jahrbuch Datenschutzrecht 2018, 89). Es soll im Kern um Verletzungen der drei bekannten Schutzziele der Informationssicherheit gehen: Vertraulichkeit, Integrität und Verfügbarkeit; es müssen jedoch nicht alle drei Schutzziele verletzt worden sein (Artikel-29-Datenschutzgruppe, Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679, WP 250, S 7). Daraus muss ein Verletzungserfolg entstehen, und zwar die Vernichtung, der Verlust, die Veränderung, oder die unbefugte Offenlegung von oder Zugang zu Daten.
Unklar ist nun bei vielen Sicherheitsvorfällen, ob es tatsächlich auch zu einer solchen Beeinträchtigung kommt und damit die Meldepflicht überhaupt anwendbar ist. In Ansehung des Wortlauts der Vorschrift ist daher die Frage aufgeworfen, ob es für eine Verletzung der Sicherheit erforderlich ist, dass tatsächlich etwa eine Kenntnisnahme der personenbezogenen Daten durch Dritte erfolgt – oder ob vielmehr bereits die Möglichkeit der Kenntnisnahme ausreicht. Da das Entstehen der Meldepflicht nicht von der für den Verantwortlichen häufig nicht überprüfbaren, da außerhalb seiner Kontrollsphäre befindlichen und zufälligen tatsächlichen Kenntnisnahme abhängig gemacht werden sollte, spricht vieles dafür, bereits die Möglichkeit der Kenntnisnahme durch Dritte für eine Datenschutzverletzung ausreichen zu lassen (Vgl Becker, Meldungen nach Art. 33 DS-GVO, ZD 2020, 175,178). Dieses Ergebnis wird dadurch gestützt, dass eine Risikoabwägung gesondert nach Art 33 Abs 1 Satz 1 2. Halbsatz DSGVO ( „… es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“) angeordnet ist, die zu einem Entfall der Meldepflicht führen würde, und im Zuge dessen die Kenntniserlangung berücksichtigt werden kann.
Insgesamt sollte es daher für die Meldung nicht zur Voraussetzung gemacht werden, dass die Datenschutzverletzung bereits endgültig feststeht (Vgl zB Paal, Meldepflicht bei Datenschutzverstößen nach Art. 33 DS-GVO, ZD 2020, 119, 121). In diesem Sinn legt die Artikel 29-Datenschutzgruppe geradezu nahe, auch mutmaßliche Datensicherheitsvorfälle zu melden und zwar mit dem Hinweis, dass die DSGVO ein schrittweises Vorgehen bei der Meldung in Art 33 Abs 4 DSGVO vorsieht. Wenn sich daher aus Anlass der weiteren IT-forensischen Untersuchungen herausstellen sollte, dass keine Datenschutzverletzung vorliegt, wären diese neuen Erkenntnisse nur der Aufsichtsbehörde ergänzend mitzuteilen, sodass der Vorfall nicht als Datenschutzverletzung verzeichnet wird. Die Artikel 29-Datenschutzgruppe verweist explizit darauf, dass es keine Strafe für die Meldung eines Vorfalls, der sich letztlich nicht als Datenschutzverletzung erweist, gibt (Artikel-29-Datenschutzgruppe, Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679, WP 250, S 18).
Das Data Breach Management sollte zur Umsetzung dieser Pflichten von allen Arbeitnehmern verlangen, jeden auch noch so nichtig erscheinenden Vorfall im Zusammenhang mit der Datenverarbeitung im Home Office an die zuständige Stelle (was nicht oder nicht allein die IT-Abteilung, sondern vielmehr auch die Management-Ebene sein sollte) umgehend (auch an Wochenenden oder Feiertagen) zu melden. Nur so kann sichergestellt werden, dass jeder Verdacht einer Datenschutzverletzung ordnungsgemäß untersucht und der erforderlichen Behandlung zeitgerecht zugeführt wird.
Bis wann hat der Verantwortliche Zeit einen Datenvorfall zu melden?
Relevant ist der Zeitpunkt des Bekanntwerdens einer Datenschutzverletzung auch für die Frist zur Meldung. Nach Auffassung der Artikel-29-Datenschutzgruppe ist anzunehmen, dass einem Verantwortlichen eine Datenschutzverletzung „bekannt“ wurde, wenn der betreffende Verantwortliche eine hinreichende Gewissheit darüber hat, dass ein Sicherheitsvorfall aufgetreten ist, der zu einer Beeinträchtigung des Schutzes personenbezogener Daten geführt hat (Artikel-29-Datenschutzgruppe, Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679, WP 250, S 18). Es wird demnach für die Auslösung der Meldepflicht genügen, wenn die dem Verantwortlichen vorliegenden tatsächlichen Anhaltspunkte für die hohe Wahrscheinlichkeit einer Schutzverletzung sprechen (Vgl Dix in Simitis/Hornung/Spiecker gen. Döhmann (2019) Datenschutzrecht, DSGVO Art. 33 Rn. 7).
Sobald der Verantwortliche etwa erfährt, dass ein Mitarbeiter seine Zugangsdaten zu einer Applikation im Netzwerk des Unternehmens über einen Link, der in einem Phishing-Email dazu aufgefordert hat, an den Angreifer bereitgestellt hat, muss die Meldung nach Art 33 DSGVO binnen 72 Stunden ernsthaft in Betracht gezogen werden. Für die unverzügliche (Erwägungsgrund 86 zur DSGVO sagt dazu: Solche Benachrichtigungen der betroffenen Person sollten stets so rasch wie nach allgemeinem Ermessen möglich, in enger Absprache mit der Aufsichtsbehörde und nach Maßgabe der von dieser oder von anderen zuständigen Behörden wie beispielsweise Strafverfolgungsbehörden erteilten Weisungen erfolgen) Benachrichtigung an die Betroffenen müsste jedoch voraussichtlich ein hohes Risiko entstehen; weshalb nicht auch jede denkbar mit einem Risiko verbundene Situation an den Betroffenen zu melden ist. Die Prognose nach Art 34 DSGVO muss daher schon ein eindeutig spezifizierbares Risiko betreffen.
Wie ist mit Zweifeln über das Vorliegen der Meldepflicht umzugehen?
Es stellt einen Datenschutzverstoß dar, wenn ein Verantwortlicher es versäumt, eine Datenschutzverletzung an die Aufsichtsbehörde zu melden und/oder die betroffenen Personen davon zu benachrichtigen, obwohl die Voraussetzungen von Art 33 bzw von Art 34 DSGVO erfüllt sind. Zu empfehlen ist vor diesem Hintergrund jeden Vorfall entsprechend zu dokumentieren – bestenfalls mit dem Inhalt, den auch eine Meldung verlangen würde – und im Einzelnen zu beschreiben, aus welchen Gründen die Auffassung vertreten wird, dass eine Datenschutzverletzung nicht vorliegt oder die Schwelle des (hohen) Risikos nicht erreicht wird. Sobald eine Datenschutzverletzung nicht ausgeschlossen werden kann, sollte die Meldung nach Art 33 DSGVO gemacht werden.
Autor: Sonja Dürager
Fragen? Bitte kontaktieren Sie:
Dr. Sonja Dürager
sonja.duerager@bpv-huegel.com
Praxisgruppe
IP/IT/Datenschutz
Wenn Sie zukünftige Ausgaben von need2know erhalten möchten, folgen Sie uns auf LinkedIn oder senden Sie eine E-Mail an subscribe@bpv-huegel.com.