Mittwoch, Januar 19, 2022

Daten- und Geheimnisschutz: Die Homeoffice-Pflicht als Bußgeld- und Haftungsfalle

Meist Gelesene Beiträge

Die Zielgruppe kennen

Sei beharrlich!

Schnelle Iterationen

redaktion
Startups sind mit ihrer Innovationskraft und Kreativität der Motor der globalen Wirtschaft und der gesellschaftlichen Entwicklung. Wir bieten akribisch recherchierte Informationen über Gründer und Startups. Neben Porträts junger Unternehmer und erfolgreicher Startups und deren Erfahrungen liegt der Fokus auf KnowHow von A bis Z sowohl für Gründer und Startups als auch für Investoren, Ideengeber und Interessierte. Wir begleiten, Startups von der Gründungsphase bis zum erfolgreichen Exit.

Mit der Corona-Arbeitsschutzverordnung wurde am 27.01.2021 in Deutschland erstmals eine Homeoffice-Pflicht eingeführt. Auch Gründer müssen es Mitarbeitern ermöglichen, aus dem Homeoffice zu arbeiten. Im Homeoffice gibt es aber besondere Risiken beim Daten- und Geheimnisschutz. Was bedeutet das für Gründer? Was ist zu beachten, um Bußgelder und Haftungsgefahren zu vermeiden?

Homeoffice bedeutet auch Bußgeld- und Haftungsgefahr

Mit der Homeoffice-Pflicht geht einher, dass die Infrastruktur, wie z.B. die IT-Hardware zur Arbeit aus dem Homeoffice, vom Unternehmen gestellt werden muss. Erschwerend kommt noch hinzu: Bei der Arbeit aus dem Homeoffice bestehen höhere Risiken eines DSGVO-Verstoßes, eines meldepflichtigen Data Breachs oder der Verletzung von Geschäftsgeheimnissen Dritter (z.B. Geschäftspartnern). Mitarbeiter, die im Homeoffice mit sensiblen Daten arbeiten, agieren außerhalb der kontrollierten Unternehmenssphäre. Vertrauliche Papierdokumente sind im Homeoffice leichter einsehbar und werden nicht rechtskonform vernichtet. Telefonate könne leichter mitgehört werden. Kommt es so zu einem Datenschutzverstoß oder gelangen Geschäftsgeheimnisse von Geschäftspartnern nach außen, kann dies für Gründer schnell zu Bußgeldern und Haftungsfällen führen. Gründer sollten deshalb für die Arbeit aus dem Homeoffice besondere Schutzmaßnahmen vorsehen. Diese dienen auch dem eigenen Geheimnisschutz: Zwar führt der Abzug von eigenen Geschäftsgeheimnissen (Innovationsideen, Kundenlisten, Vertriebsstrategien) nicht zu Bußgeldern oder Haftungsfällen. Aber mit dem Abzug gehen eigene Geschäftsgeheimnisse und damit ein Wettbewerbsvorteil verloren.

Die Lösung: Ein Homeoffice-Schutzkonzept

Personenbezogene Daten müssen vor dem unberechtigten Zugriff geschützt werden. Eigene und fremde Geschäftsgeheimnisse müssen durch angemessene Geheimhaltungsmaßnahmen gesichert werden. Die richtigen Maßnahmen auf beiden Ebenen vorzusehen – Daten- und Geheimnisschutz – ist eine Herausforderung. Es gibt allerdings Maßnahmen, die zum Schutz auf beiden Ebenen geeignet sind. Mit einem abgestimmten Schutzkonzept für den Daten- und Geheimnisschutz im Homeoffice können Gründer so Kosten und Aufwand sparen.

Das ist zu tun

Ein Homeoffice-Schutzkonzept wird in drei Schritten ausgearbeitet und implementiert:

Bestandsaufnahme: Die im Unternehmen vorhandenen Daten und Informationen sind zu identifizieren und nach Sensibilität, Wichtigkeit und Risikolage im Homeoffice zu kategorisieren. Bereits bestehende Schutzmaßnahmen sind zu überprüfen und Schutzlücken zu identifizieren (Gap-Analyse).

Schutzkonzept – Erstellung und Implementierung: Für jede Kategorie sind geeignete Schutzmaßnahmen auf rechtlicher, organisatorischer und technischer Ebene (Schutzkonzept) auszuarbeiten und zu implementieren. Die Einhaltung dieser Maßnahmen im Homeoffice ist sicherzustellen.

Check-up und Aktualisierung: Da sich rechtliche und technische Anforderungen ständig ändern ist das Schutzkonzept regelmäßig zu überprüfen und an neue Gegebenheiten anzupassen.

Ein Homeoffice-Schutzkonzept sollte insbesondere folgende rechtliche, organisatorische und technische Schutzmaßnahmen beinhalten:
  1. Rechtliche Ebene: Homeoffice-Klausel: Verpflichtung der Mitarbeiter zu erhöhter Sorgfalt im Homeoffice entsprechend den vorgesehenen Schutzmaßnahmen; vertragliche Weitergabe entsprechender Verpflichtungen an Dritte; Auftragsverarbeitungsvereinbarungen mit Dienstleistern; spezifische Vereinbarungen bei Datentransfer in Länder außerhalb der EU, insbesondere USA
  2. Technische Ebene: Remote-Wartung und Aktualisierung der IT-Systeme; automatische Verschlüsselung von Datenträgern; starker Passwortschutz oder Zwei-Faktor-Authentifizierung; abgestuftes Berechtigungskonzept; Sicherheitsupdates; Nutzung datenschutzkonformer Videokonferenzsysteme
  3. Organisatorische Ebene: Arbeitsanweisungen zu Verhalten im Homeoffice (Sperren des Computers bei Verlassen, Schutzmaßnahmen bei Videokonferenzen, Telefonieren nur in abhörsicherer Umgebung, sichere Entsorgung von Dokumenten)

Dieselben Anforderungen mit ggf. modifizierten Maßnahmen gelten auch für das mobile Arbeiten oder das Arbeiten in Co-Working Spaces.

Alexander Leister

Autoren:

RA Dr. Michael Kraus ist Partner bei CMS Deutschland am Standort Stuttgart. Er berät Unternehmen u.a. zu Fragen der Digitalisierung und des Daten(schutz)rechts.

RA Alexander Leister, LL.M. ist Counsel bei CMS Deutschland am Standort Stuttgart. Er berät Unternehmen im Gewerblichen Rechtsschutz bei technischen Sachverhalten und im Bereich des Know-how- und Geschäftsgeheimnisschutzes.

Aussagen des Autors und des Interviewpartners geben nicht unbedingt die Meinung der Redaktion und des Verlags wieder

- Advertisement -spot_imgspot_img

Das könnte dir auch Gefallen

StartupValley Magazin

- Advertisement -spot_img
- Advertisement -spot_img
spot_img

Neueste Beiträge

Erhalte regelmäßig die neuesten internationalen Start-up-News

Wir senden keinen Spam! Erfahre mehr in unserer Datenschutzerklärung.