Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Wie bekomme ich als kleines oder mittelständisches Unternehmen (KMU) meine Mitarbeiter in Zeiten von Corona schnell und (rechts-)sicher ins Homeoffice?

Es ist noch nicht lange her, da war Corona bzw. Covid19 eine ferne Geschichte aus dem noch ferneren China. Eine Epidemie wie sie nun einmal auf fernen Kontinenten ausbricht und nichts mit uns in Europa zu tun hat. Und als Covid19 langsam auf unseren Kontinent schwappte, nahmen viele diesen kleinen Virus nicht ernst. Sagten nicht auch einige Ärzte zu Beginn, er sei nicht schlimmer als eine Grippe? Ich gestehe, auch ich habe das Problem erst verstanden als ich am 08. März – im Urlaub in einem verschlafenen Nest in Tirol – den Artikel Ist Covid-19 wirklich gefährlicher als die Grippe? von dem Wissenschaftsjournalisten Lars Fischer gelesen hatte. (Damals wussten wir noch nichts davon, dass das RKI Tirol wenige Tage später zu einem Hochrisikogebiet erklären würde, aber das ist eine andere Geschichte…)

Knapp 14 Tage später ist das Land, sind wir, in einem Zustand, den wir noch nicht kannten. Inzwischen hat jedes Bundesland Allgemeinverfügungen oder Verordnungen erlassen und Ausgangsbeschränkungen verhängt. Ganz generell sind alle Bürger dazu aufgerufen, wann immer möglich, zu Hause zu bleiben und alle Arbeitgeber sind gehalten, dies zu unterstützen – sofern die Art der Arbeit dies erlaubt.

Doch es gibt eben nicht nur urbane, hochdigitalisierte arbeitende Hippster, die schon seit Jahren mindestens tageweise im Home Office sitzen und Unternehmen, für die solche Arbeitsformen selbstverständlich sind. Davon abgesehen, dass nicht wenige Unternehmen weiterhin der Meinung sind, ein*e Mitarbeiter*in arbeite ja „nicht richtig“, wenn sie zu Hause am Computer sitzt, steht dem Home Office – allen Sonntagsreden zur Digitalisierung Deutschlands zum Trotz- noch eine ganz andere Hürde im Jahr 2020 entgegen:

Viele Unternehmen sind (immer noch) nicht darauf vorbereitet, dass ihre Mitarbeiter auch remote arbeiten können bzw. können müssen. Die Infrastruktur sieht nur vor, dass die Mitarbeiter*innen ins Büro kommen und über das firmeninterne Netzwerk auf den im Keller oder hinter dem Büroschrank stehenden Server zugreifen. Fine.

O tempora o mores. So manche*r Unternehmer*in wünscht jetzt, er oder sie hätte dazu schon frühe eine andere Haltung gehabt. Aber was soll es. Es nützt ja nichts. Die Mitarbeiter gehören jetzt ins Home Office. Und das nicht nur aus Solidarität gegenüber der Gesellschaft, sondern aus handfestem unternehmerischem Eigeninteresse. Schließlich hilft es dem Unternehmen nicht, wenn Corona-Infektionen in der Firma auftauchen und binnen Tagen faktisch ein 10-, 20-, 150- oder 420-köpfiges Team komplett lahmgelegt wird.

Was können wir  jetzt tun?

An sich müsste eine Menge getan werden. Aus arbeitsrechtlicher wie datenschutzrechtlicher Sicht sowie aus der Perspektive der IT-Sicherheit. Aber ganz ehrlich, dazu hat in der aktuten Krise niemand den Kopf, die Zeit und die Ressourcen. Deswegen müssen jetzt pragmatische Ansätze gewählt und das Nötigste getan werden. Jetzt geht es um die Erhaltung der Arbeitsfähigkeit des Unternehmens und eine Art Grundsicherung in Sachen Datenschutz und IT-Sicherheit. Sobald wieder mehr als auf Sicht gefahren werden kann, muss dann die notwendige Re- bzw. Erststrukturierung im Ganzen umgesetzt werden. Was das heißt, das können Sie am Ende des Artikels gerne nachlesen.

Nun kommen aber die zwei versprochenen Ansätze, mit denen Sie Ihre Firma ebenso zügig wie halbwegs rechts- und IT-sicher ins Home Office bekommen. Zunächst befassen wir uns mit dem komplizierten Fall, dass Ihre Mitarbeiter nicht über firmeneigene mobile Geräte verfügen und nur private Devices zur Verfügung stehen. Im Anschluss befassen wir uns mit dem „einfacheren“ Fall, dass Sie „nur noch“ das Home Office regeln müssen.


An die IT-Ler und Nerds da draußen: Ja, ihr könnt gerne an den Vorschlägen rummeckern und erzählen, dass man sich doch einfach schnell ein paar Linux-Server hinstellen, konfigurieren und VPN-Tunnel einrichten solle und schon sei alles schnell erledigt und super sicher. Alles schön, alles gut. Aber für den Geschäftsführer eines kaufmännischen Betriebes mit 40 Mitarbeiter ist das praxisfern und schlicht nicht umsetzbar. Punkt.

An die KollegInnen da draußen: Wie die Einleitung schon erkennen lässt, hat dieser Artikel nicht den Anspruch, auf alle Rechtsprobleme einzugehen oder diese gar dezidiert zu erläutern. Kommentare wie „Aber Sie haben xyz nicht berücksichtigt“, können und dürfen Sie gerne äußern, Sie können sich aber sicher sein, dass mir all diese Probleme bewusst sind.

Dies ist ein Artikel für die Praxis. In unpraktischen Zeiten.


Die schnellste Variante: UYOD

UYOD? Was soll das denn sein? Nun, es ist eine schlichte Abwandlung des BYOD – Bring your own device. Damit ist gemeint, dass Mitarbeiter ihre privaten Endgeräte wie Mobile Phones oder Laptops für dienstliche Aufgaben nutzen dürfen, sollen und können. UYOD ist die Corona-Form davon: Use your own device. Denn mit „Bringen“ ist es ja nun gerade nichts in Zeiten von Isolation und Home Office.

UYOD ist die schnellste Variante. Vor allem für Unternehmen, die kaum über Firmenlaptops verfügen, sondern noch mit Desktopstationen arbeiten. Laptops sind derzeit kaum noch zu bekommen (aus Gründen sind die Lager leer und aus China kommt nichts mehr…) und inzwischen haben doch recht viel Mitarbeiter zu Hause einen Computer oder ein recht leistungsfähiges Tablett.

Dabei ist allerdings ausdrücklich das Folgende zu bemerken: Normalerweise sollten Unternehmen BYOD wie der Teufel das Weihwasser scheuen!  Schließlich ranken sich unzählige Probleme um das Nutzen von privaten Geräten im dienstlichen Kontext. Es beginnt damit, dass Sie Ihre Mitarbeiter überhaupt nicht zu einer Nutzung ihrer privaten Devices zu dienstlichen Zwecken zwingen können und dürfen. Es geht damit weiter, dass Sie sich bewusst sein müssen, dass in diesem Fall dienstliche Daten, darunter selbstverständlich auch personenbezogene Daten im Sinne der DSGVO wie auch Geschäftsgeheimnisse, sich auf im Regelfall höchst ungesicherten Geräten befinden. Darüber hinaus muss sichergestellt sein, dass BackUps erfolgen. Und es muss ebenfalls sichergestellt sein, dass Daten auf diesem Gerät wieder gelöscht werden können. Dazu ist an sich eine Remote-Wipe-Out-Lösung notwendig. Das heißt das Gerät muss im Zweifel per Fernwartung gesperrt und gelöscht werden können. Tja. Ich könnte Ihnen nun auch lang und breit erläutern, warum das alles (rechts-)dogmatisch notwendig ist und welche IT-Sicherheitsprobleme Sie neben zu erwartenden DSGVO-Problemen (aka Bußgeldern) und arbeitsrechtlichen Höchstschwierigkeiten bekommen könn(t)en. Aber, ich weiß, Sie benötigen jetzt eine schnelle und praxisnahe Lösungsmöglichkeit und haben vermutlich wenig Interesse an den Abhandlungen. Deswegen erspare ich Ihnen diese auch an dieser Stelle (glauben Sie mir einfach).

Und da wir derzeit auch einfach keine normale Situation haben, kommen hier die

6 Schritte, um Mitarbeiter schnell und halbwegs sicher mit UYOD ins Home Office zu bekommen

Ganz ohne zeitlichen und finanziellen Aufwand geht es natürlich nie. Auch nicht im pragmatischsten aller Lösungsansätze. Aber wenn demgegenüber der absolute Stillstand des Unternehmens steht, ist dieser Aufwand wohlfeil in Kauf genommen. Also los.

1. Abstimmung mit den Mitarbeitern hinsichtlich Home Office (bzw. Vertrauensarbeitsort) als Arbeitsort

Wenn Sie derzeit noch keine Regelung zum Home Office haben, dann stimmen Sie sich mit Ihren Mitarbeitern ab. Erklären Sie ausdrücklich, dass

  • die Arbeit im Home Office nun mehr gestattet ist,
  • sich die Regelungen zur Arbeit im Home Office nach der IT- und Datenschutzrichtlinie für das Home Office richten (siehe Ziffer 5!)

Abstimmung mit den Mitarbeitern? Ja! Sie können und dürfen Ihre Mitarbeiter nicht einfach ins Home Office schicken, wenn der Arbeitsvertrag ausschließlich das Büro als Arbeitsort vorsieht. Meine Kollegen Dr. Andrea Kröpelin und Niklas M. Hjort haben zu dieser Frage just einen kurzen Artikel veröffentlicht: „Das Coronavirus als Grund für das Home Office?

Es ist aber kaum anzunehmen, dass ein Mitarbeiter angesichts der akuten Corona-Problematik nicht erfreut ist, wenn ihm oder ihr die Möglichkeit zum Home Office angeboten wird. Die Zustimmung zur Erbringung der Arbeitsleistung im Home Office sollte durch das Unterzeichnen der IT- und Datenschutzrichtlinie für das Homeoffice (siehe Ziffer 5) erklärt werden.

2. Abstimmung mit den Mitarbeitern hinsichtlich UYOD dem Grunde nach

Auch hier gilt: Sie müssen sich mit Ihren Mitarbeitern abstimmen. Sie können ihre MA nicht anweisen, private Geräte für den Dienstgebrauch zu nutzen. Aber auch hier werden, angesichts der Krise, die MA im Zweifel geneigt sein, ihre privaten Geräte der Firma zeitweilig (und sei es nur bis Arbeitsgeräte angeschafft sind) zur Verfügung zu stellen, um eben im HO arbeiten zu können und um sich und andere zu schützen.

An dieser Stelle ist es aus Gründen des Datenschutzes und der Datensicherheit immens wichtig, eine passende (!) IT- und Datenschutzrichtlinie für das Home Office zu gestalten, die die Mitarbeiter entsprechend auf bestimmte Pflichten zum Datenschutz und der IT-Sicherheit, wenn er denn sein Endgerät dienstlich nutzen möchte. Aus eben diesen Gründen des Datenschutzes und der IT-Sicherheit müssen Sie auch die nachfolgenden technische Aufwände (sie sind gering! Versprochen!) aufbringen.

3.  VPN-Tunnel oder Zur Verfügungstellung einer sicheren Cloud-Lösung (inkl. Backup-Funktionen)

Die Mitarbeiter müssen natürlich weiter an ihre Arbeitsdokumente gelangen und diese auch sicher ablegen können. Dazu gibt es zwei Möglichkeiten.

Zum einen können sogenannte „Virtuell-Private-Networks“, kurz VPN aufgebaut werden. Vereinfacht ausgedrückt, wird damit ein privates, geschütztes Netzwerk geschaffen, mit dem Ihre Mitarbeiter von zu Hause aus auf die Firmenserver zugreifen können. Voraussetzung ist, dass bereits VPN-Zugänge/Schnittstellen auf den Servern eingerichtet sind, bzw. eingerichtet werden. So dann müssen den Mitarbeitern die VPN-Einstellungen mitgeteilt werden und die Mitarbeiter können etwa gemäß dieser Anleitung (für Windows 10) das VPN auf ihren Laptops einrichten.  Das ist kein Hexenwerk. Aber… machen wir uns nichts vor, es kann sein, dass Sie als Entscheider dazu nicht in der Lage sind und gerade auch keinen (hinreichenden) IT-Support erhalten. Ebenso kann der eine oder andere Mitarbeiter mit der Einrichtung des VPN-Tunnels von seiner Seite aus überfordert sein.

Macht nichts. Es gibt eine noch einfachere Lösung.

Setzen Sie auf sichere Cloudanbieter mit automatischen Backup-Funktionen und Berechtigungskonzepten. (Sollten Ihnen bei dem Wort „Cloud“ die Nackenhaare hochgehen, dann seien Sie bitte an dieser Stelle versichert, dass Ihr Server im Keller auch nichts anderes ist als eine „Cloud“, ein Server, auf den Ihre Mitarbeiter zugreifen. Vermutlich nicht halb so gut gesichert, wie die Server und Cloudlösungen, die ich Ihnen jetzt vorstelle).

Es gibt Anbieter, wie etwa Teamdrive oder Dracoon (es gibt sicher noch weitere, suchen Sie einfach danach), die bieten Ihnen Cloud-Services zur Speicherung von Daten, zum kollaborativen Zugriff auf diese Daten inklusive Berechtigungskonzepten, Versionierungen und Backups sowie einfache Lösungsmöglichkeiten zum sicheren Versenden von Daten an Dritte (also nicht Firmenmitarbeiter). Der Vorteil dieser Anbieter (jedenfalls von Teamdrive, Dracoon kenne ich nicht aus eigener Anschauung) ist, dass die Daten Ende-zu-Ende verschlüsselt hoch- und heruntergeladen werden. Der Schlüssel dazu liegt ausschließlich in Ihren Händen. Der Anbieter selbst kann auf Ihre Daten nicht zugreifen. Teamdrive und Dracoon arbeiten DSGVO-konform (beide tragen das European Privacy Seal) und sind ISO-zertifiziert. Das alles bieten Ihnen OneDrive, G-Suit und Dropbox Pro nicht.

Die Anwendung bzw. Einrichtung ist wirklich einfach und kann von jedem geschafft werden. Das Unternehmen muss sich einfach nur den Client herunterladen (oder die Webanwendung nutzen), den Schlüssel gemäß der Anwendung erstellen und die Speicherplätze, auf die künftig von Mitarbeitern Zugriff genommen werden können soll, mit der Anwendung verbinden. Im Anschluss werden die Mitarbeiter in die Anwendung bzw. zu den Speicherplätzen eingeladen. Dabei können dezidiert Zugriffsrechte vergeben werden. D.h. jeder Mitarbeiter kann in bestimmte Speicherplätze eingeladen werden und zu anderen nicht. Ferner können selbst diese Zugriffe noch konfiguriert werden (Nur Lesen, Lesen/Schreiben, Lesen/Schreiben/Löschen u.ä.) Ist die Verbindung erfolgt, sehen die Mitarbeiter diese Speicherplätze auf Ihrem Rechner und können von nun an darauf zugreifen.

Die Installation ist für die Mitarbeiter ebenfalls sehr, sehr einfach und für jeden machbar.

Meines Erachtens ist dies die schnellere und einfachere Alternative als die Einrichtung von VPN-Tunneln. Zudem schlagen Sie verschiedene Fliegen mit einer Klappe. Sie haben nicht nur eine sichere Cloud zur Kollaboration binnen kürzester Zeit auf die Beine gestellt, sondern so ein vernünftiges Back-Up und die Möglichkeit Berechtigungskonzepte ein- und umzusetzen. Des Weiteren haben Sie das Löschen von Daten ausschließlich in der Hand. Last but not least: Sie können die Verbindung auf den Heimcomputer des Mitarbeiters jederzeit kappen, ohne dass Sie dabei Daten verlieren.

(Nein, ich erhalte – leider 😉 – kein Geld von den vorgenannten Anbietern. Ich halte es nur für wirklich sinnvoll, insb. wenn eben noch keine anderweitige Infrastruktur steht..)

4. Email

Im besten Fall haben Ihre Mitarbeiter schon jetzt die Möglichkeit per Weboberfläche auf ihr Postfach zuzugreifen. Wenn dem so ist: Herzlichen Glückwunsch! In diesem Fall weisen Sie Ihre Mitarbeiter einfach an, den Webaccess zu nutzen. Unterbinden Sie strikt den Download der Emails auf den privaten Rechnern (z.B. in dem die Mitarbeiter sich den Email-Account im eigenen Outlook einrichten), denn in diesem Fall haben Sie keine Kontrolle mehr über die einmal heruntergeladen Emails.

Wenn diese Möglichkeit des Webaccess noch nicht besteht, dann müssen Sie diesen aktivieren und für die Mitarbeiter freischalten. Alle gängigen Lösungen wie Exchange oder Notes verfügen über diese Funktion. Auch wenn die Emails via IMAP/POP abgerufen werden und bei einem Hosting-Anbieter mit der Firmendomain liegen, ist in der Regel ein Webaccess über das Interface des Anbieters möglich. (Thx to Sascha Kuhrau an dieser Stelle, der meine Vermutung, dass Webaccess heutzutage grundsätzlich immer möglich ist, qualifiziert bestätigte).

Also, dies Problem lässt sich auch lösen.

5. Knackige IT- und Datenschutzrichtlinie für Home Office und B-/UYOD

Es nützt nichts. Auch wenn ich wirklich verstehe, dass derzeit nur wenig Ressourcen für IT-Sicherheit und Datenschutz vorhanden sind, dieser wenigen hier aufgezeigten Schritte müssen Sie sich annehmen – gerade, wenn es „Use your own Device“ heißen soll. Andernfalls können Sie nicht nur ein kleines, sondern früher oder später ein riesengroßes Problem in Sachen IT-Sicherheit und Datenschutz bekommen. Das gilt ganz besonders für eine IT- und Datenschutzrichtlinie, da Sie damit Ihre Sicherungsmaßnahmen dokumentieren (sog. organisatorische Maßnahme iSv. Art. 32 DSGVO).

Diese Regelungen muss Ihre IT- und Datenschutzrichtlinie enthalten:

a. Regelung zum Home Office an sich

Es muss klargestellt sein, dass Home Office gemäß den nachfolgenden Regelungen gestattet ist und zwar auch dann, wenn die Arbeitsverträge bislang ausschließlich eine Erbringung der Arbeitsleistung an einem bestimmten Ort (idR am Firmensitz im Büro) vorsehen.

b. Regelung zu UYOD – Verpflichtung, das Device umgehend zu sichern (neueste Updates, Virenschutz), Kosten

Es muss geregelt sein, dass der Mitarbeiter sein privates Endgerät für dienstliche Tätigkeiten nutzen darf. In diesem Fall muss er sich allerdings verpflichten,

  • das Gerät software-seitig auf dem neuesten Stand zu halten. Dies bedeutet, dass er die neusten Systemupdates herunterladen und installieren muss. Dazu gehören auch Updates des Virenschutzprogrammes, (das sich heutzutage auf allen Rechnern installiert findet.).
  • die Systemeinstellungen zu überprüfen und die datenschutzfreundlichsten Einstellungen im System zu wählen (z.B. Ausschluss der Werbe-ID, Ausschalten von Cortana u.ä. Diensten, etc.).

Hierzu sollten Sie dem Mitarbeiter unbedingt Erläuterungen bereitstellen, wie er dies umsetzen kann.

Früher wurde dringend empfohlen, zu regeln, wer die Kosten für den Einsatz von eigenen Geräten, Internet und Strom trägt. Das war auch sinnvoll, da die Geräte und vor allem ein Internet- und Telefonzugang teuer waren. Auch konnten Geräte relativ viel Strom verbrauchen. All dies ist heutzutage nicht mehr der Fall. Von daher macht das zumeist gar keinen Sinn mehr. Es kostet Sie vermutlich mehr Zeit dafür eine Regelung zu treffen. Anders sieht es natürlich aus, wenn Ihre Mitarbeiter in Teilen (einer genügt!) keinen Internetzugang zu Hause, sondern nur begrenztes Datenvolumen über einen Mobilfunkanbieter hat. Hier machen Regelungen Sinn. Klären Sie das.

c. Speicherung von Dokumenten/Daten

Der Mitarbeiter muss darauf verpflichtet werden, Dokumente ausschließlich auf Speicherplätzen zu sichern, die mit dem Cloud-System verbunden sind oder Sicherungen ausschließlich auf dem Firmenserver (wenn ein VPN-Tunnel eingerichtet ist.). Sollte der Mitarbeiter, insb. bei der Arbeit über VPN-Tunnel, Dokumente zwischenzeitlich bei sich speichern, müssen Sie ihn zwingend verpflichten, diese Dokumente unmittelbar, nach dem diese auf den Firmenserver übertragen wurde, wieder zu löschen.

d. Passwörter

Hier gilt, was schon immer galt, gelten sollte: Der Mitarbeiter hat für alle Accounts (Cloudspeicher, Emails, VPN-Zugang, whatever…) sichere Passwörter zu wählen. Sicher heißt mindestens 20 Zeichen, Sonderzeichen, Zahlen etc.. Verpflichten Sie ihn darauf.

e. Datenschutz  im Home Office: Sichtschutz, Dokumente nach der Arbeit weglegen und verschließen.  Arbeitsplatz sperren etc.

Weiter müssen Sie Ihren Mitarbeiter auf sonstige Einhaltung des Datenschutzes verpflichten. Er oder sie muss derart arbeiten, dass Betriebsfremde (d.h. auch die Familie) keine Einsicht in die Arbeit und Dokumente nehmen kann. Der virtuelle Arbeitsplatz muss beim Verlassen des Rechners gesperrt und Dokumente müssen nach getaner Arbeit weggeschlossen werden können. Ihr Mitarbeiter sollte ohnehin so viel wie möglich digital arbeiten. Ist dies nicht ganz möglich, so stellen Sie ihm doch vielleicht einfach eine verschließbare Box zur Verfügung.

f. Sanktionsandrohung bei Verstößen

Damit die Regelungen rechtsverbindlich sind, Sie sie im Zweifel auch durchsetzen können und ein Organisationsverschulden Ihrerseits bestmöglich ausgeschlossen wird, bedarf dieses Dokument, wie jedes arbeitsrechtliche Dokument, auch der Sanktionsandrohung bei Verstößen. Das heißt, Sie müssen klar darlegen, dass Verstöße gegen die Richtlinie mit arbeits-, zivil- sowie gegebenenfalls strafrechtlichen Konsequenzen verbunden sein wird (Abmahnungen, Kündigung, Schadensersatz).

An dieser Stelle noch ein paar Worte zur Implementierung der Richtlinie sowie zu Generatoren und Mustern für Home Office Richtlinien.

Die Richtlinie soll verbindlich sein. Und Sie müssen nachweisen können, dass Ihr Mitarbeiter diese Richtlinie gesehen sowie in die darin enthaltenen Verpflichtungen eingewilligt hat. Das geht in diesem Fall am einfachsten per Unterschrift (wenn Sie ein funktionierendes Intranet hätten, mit dem Sie die Zustimmung zu der Richtlinie verbindlich abfragen könnten, hätten Sie vermutlich diesen Artikel gar nicht bis hierhin gelesen, da Sie dann vermutlich hinreichend gut aufgestellt wären, um mit Ihrer eigenen IT das Home Office der Mitarbeiter zum Laufen zu bringen). Wenn es schnell gehen soll und muss und der Mitarbeiter keinen Drucker zu Hause hat: Schicken Sie ihm das Dokument per Email und lassen Sie sich das Einverständnis mit dem Dokument und seinen Inhalten per Email bestätigten. Schicken Sie das Dokument im Anschluss per Post zu Ihrem Mitarbeiter. Dann kann dieser es zeichnen und zurücksenden.

In den letzten Tagen sind zahlreiche Generatoren und Muster zu „Home Office Richtlinien“ ins Netz gestellt worden. Diese (zT aus Generatoren erstellte) Muster sind nicht zwingend schlecht. Aber zum einen müssen Sie bei einem Generator unbedingt wissen, was denn eigentlich zu generieren ist (sonst erstellen Sie sich selbst eine falsche Vorlage). Und zum anderen gehen viele dieser Vorlagen davon aus, dass Sie in der Firma bereits über grundsätzliche Datenschutz- und/oder IT-Richtlinien verfügen oder dass alle Ihre Mitarbeiter bereits mit dienstlichen Geräten ausgestattet sind. Das wird aber (insbesondere, wenn Sie mit Interesse diesen Teil gelesen haben), nicht der Fall sein.

6. Erläuterungen für die Mitarbeiter

Ganz wichtig: Wenn Sie Ihre Mitarbeiter jetzt mehr oder minder über Nacht ins Home Office schicken und erst recht, wenn Sie das aus der Not heraus mit dem Rückgriff auf die privaten Geräte der Mitarbeiter tun. Kommunizieren Sie mit Ihren Mitarbeitern und stellen Sie Ihnen Erläuterungen zur Verfügung:

  • Kommunizieren Sie, dass Sie gemeinsam eine verbindliche Regelung zum Home Office benötigen, damit es später keinen Streit gibt und daneben weil es eine gesetzliche Anforderung ist.
  • Erläutern Sie, wie ein Mitarbeiter seinen Laptop sichern kann, wie er Updates ziehen und den Virenschutz aktivieren kann. Das müssen Sie nicht alles selbst aufschreiben. Anleitungen finden sich dazu en masse im Netz.
  • Erläutern Sie, wie Ihr Mitarbeiter den VPN-Zugang installieren bzw. die Cloud-Lösung für sich nutzen kann.
  • Wenn es bislang keinen Web-Access gab: Erläutern Sie Ihren Mitarbeitern wie Sie über die Weboberfläche an die Emails gelangen können.
  • Last but not least: Klären Sie über Probleme des Social Engineering und Social Hackings auf. Emotet & Co kommen immer noch vor allem über Email- und sonstige elektronische Nachrichten ins eigene Netzwerk!

Die bessere und einfachere Variante: Firmenlaptops

Wenn Ihre Mitarbeiter bereits über mobile Endgeräte verfügen: Großartig! Das macht vieles einfacher!  Denn damit sollte der Laptop update- und sicherheitstechnisch auf dem neuesten Stand sein und vermutlich sind auch schon VPN-Tunnel installiert. (Allerdings habe ich gerade jüngst gehört, dass es Unternehmen gibt, die entweder einen Dienstlaptop oder VPN-Tunnel zur Verfügung stellen. Das verstehen Sie nicht? Macht nichts. Ich auch nicht.)

Sollten bereits genügend Firmenlaptops vorhanden sein, müssen Sie sich nur um die oben genannte Punkte 1., 5. und 6. sowie gegebenenfalls 3. kümmern.

1. Abstimmung bezüglich des Home Offices

Gleichgültig, ob Laptop oder nicht. Wenn bisher das Home Office nicht vereinbart war, können Sie Ihren Mitarbeiter nicht dazu zwingen. Stimmen Sie sich also ab. Siehe oben.

5. IT- und Datenschutzrichtlinie zum Home Office

Sie benötigen auch mit vorhandenen mobilen Endgeräten eine Richtlinie für das Home Office. Die Inhalte entsprechen denen, wie unter Ziffer 5 erläutert. Selbstverständlich brauchen Sie nun aber keine Regelung bezüglich B-/UYOD.

6. Erläuterungen

Wenn bisher kein Home Office möglich bzw. erlaubt war, haben Sie auch hier eventuell das eine oder andere zu erläutern, wie zum Beispiel die Einwahl per VPN ins Firmennetzwerk. Und Hinweise zu Social Engineering schaden auch hier nicht!

3.  VPN-Tunnel oder Zur Verfügungstellung einer sicheren Cloud-Lösung (inkl. Backup-Funktionen)

Möglicherweise hatten Sie trotz mobiler Endgeräte bislang weder VPN noch sichere Cloud-Lösungen zur kollaborativen Remote-Arbeit. Dann scrollen Sie einfach hoch und lesen die Vorschläge, wie Sie jetzt schnell eine solche Infrastruktur auf die Beine stellen können.

 

Und was muss man eigentlich tun?

Wie gesagt, was ich hier beschrieb, ist das Nötigste für die Krise. Ausreichend ist das alles nicht. Für einer im Sinne der DSGVO datenschutz-konformen und IT-technisch sicheren (ja, die DSGVO sieht auch IT-Sicherheit vor!) Infrastruktur bedarf es weit mehr. Ebenso sind weitere damit verbundene  arbeitsrechtliche Fragestellungen zu klären.

Aber das Nötigste ist weit mehr als nichts. Damit minimieren Sie Ihre Risiken erheblich. Jetzt gilt es einfach, mit dem Nötigsten gut durch die Krise zu kommen. Und fertig. Alles weitere kommt dann später.

Und ja, ich hatte versprochen Sie auch noch darüber aufzuklären, was denn „später“ eigentlich getan werden müsste. Das mach ich auch sehr gerne. Aber nach knapp 3.500 Wörtern glaube ich, dass Ihnen ohnehin schon der Kopf schwirrt. Darüber hinaus haben Sie jetzt vermutlich anderes zu tun, als zu lesen, was Sie eigentlich tun müssten. 😉 Deswegen gibt es dazu dann demnächst einen eigenen Artikel. (Nachtrag: Hier ist er, der versprochene Artikel.)

In diesem Sinne,

bis dahin & bleiben Sie gesund!

Schreibe einen Kommentar

Die Datenverarbeitung im Zusammenhang mit der Nutzung der Kommentierungsfunktion erfolgt auf Grundlage von Art. 6 I b) und Art. 6 I f) DSGVO wie in den Informationen zur Datenverarbeitung dargelegt.

Diercks Digital Recht

 

Nina Diercks (M.Litt, University of Aberdeen) arbeitet seit 2010 als Rechtsanwältin. Sie führt die Anwaltskanzlei Diercks in Hamburg. Die Anwältin berät und vertritt Unternehmen bundesweit, ist jedoch ausschließlich im IT-| Medien-| Datenschutz und Arbeitsrecht tätig. Daneben steht die Nina Diercks gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

Anmeldung zum Blog-Newsletter

LinkedIn

Wenn Sie an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie mir gerne auch auf LinkedIn oder stellen Sie mir eine Vernetzungsanfrage.

Bluesky

Wenn Sie nicht nur an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, sondern auch persönliche Meinungen zu Themen wie Politik, HR, Sport oder auch einfach mal Nonsense von mir lesen möchten, dann folgen Sie mir gerne auch auf Bluesky.