Unterstützung & Hilfe für Startups, KMU, Macherinnen & Macher

#09 Corona-Krise: Datenschutz und Coronavirus – Mit Daten selbst während der Krise richtig umgehen

Einrichtung von Home-Office und Verarbeitung von Gesundheitsdaten.

Viele Betriebe sind von den Auswirkungen durch das Corona-Virus („SARS-CoV-2“) betroffen. Einige Unternehmen haben Mitarbeiter bereits angewiesen von zu Hause aus zu arbeiten oder deren Gesundheitszustand dokumentiert. Auch in solchen Situationen sind Maßnahmen der DSGVO nicht außer Acht zu lassen, insbesondere Vorkehrungen zur organisatorischen und technischen Sicherheit. So manch ein Unternehmen hat bereits eine Home-Office-Richtlinie für Mitarbeiter, andere eben noch nicht. Welche Schritte gesetzt werden müssen, soll dieser Beitrag im Überblick beleuchten.

Massnahmen zum Schutz vor Corona-Virus

Werden Informationen über den Gesundheitszustand von Mitarbeitern erhoben, werden Daten verarbeitet, die als Gesundheitsdaten einem erhöhten Schutzniveau der DSGVO unterliegen. Diese können beispielsweise durch Fiebermessen am Eingang des Betriebsgeländes oder durch Befragung der Mitarbeiter selbst verarbeitet werden. In Anbetracht der Notwendigkeit andere Mitarbeiter oder Kunden vor einer Infektion zu schützen, wird es als zulässig betrachtet den Gesundheitszustand abzufragen, jedoch nicht pauschale Gesundheitsinformationen einzuholen. Ob eine Fiebermessung gerechtfertigt wäre, wird bislang unter den Datenschutzexperten diskutiert, wobei hierbei die Freiwilligkeit zur Teilnahme an einer solchen Maßnahme eine Rolle spielt. Flächendeckende Fiebermessungen, systematische medizinische Aufzeichnungen, Handyortungen und exzessives Auswerten von Bewegungsprofile von reisenden Mitarbeitern hingegen gelten als gemeinhin überbordende Maßnahmen, die mit gelinderen Mitteln (wie Befragung) erreicht werden könnten.

Werden also Gesundheitsmaßnahmen zum Schutz gegen das Coronavirus gesetzt und dabei Gesundheitsdaten verarbeitet, sind datenschutzrechtliche Vorgaben (u.a. gesetzliche Ausnahmen oder Ermächtigungen, Einwilligungen) einzuhalten.

Home-Office und Datensicherheit

Werden Mitarbeiter dazu angehalten von zu Hause aus zu arbeiten, ist es mehr als sinnvoll sich Gedanken darüber zu machen, wie die Arbeitsprozesse zur Verfügung gestellt werden können, damit ein Weiterarbeiten überhaupt möglich und sicher ist.

Regelungen für die Heimarbeit können in Einzel- oder Rahmenvereinbarungen getroffen werden. Es sollte vorab überlegt werden, welche Unterlagen zu Hause benötigt werden, um überhaupt arbeiten zu können. Zudem wie die Dokumente oder Datenbanken (CRM-Anwendungen) gegeben falls gesichert werden. Ebenso muss geklärt werden, ob mit privaten oder firmeneigenen Geräten gearbeitet werden kann. Erfüllen die Privatgeräte dieselben technischen Mindeststandards? Kann der Datentransfer verschlüsselt und gesichert stattfinden?

Hier finden sich mögliche Maßnahmen, die zur Datensicherheit beitragen können:

  • Arbeitszimmer (falls vorhanden) abschließen und vertrauliche Dokumente in Aktenschränke sperren
  • Internetanschluss absichern
  • Sensible Daten mittels Kartelesegerät oder Benutzter-ID freigeben, Einsatz von 2-Faktor-Authentifizierung
  • Verbindung zum Firmennetzwerk über VPN herstellen
  • Datenübertragung verschlüsseln
  • Drucker lokal anbinden
  • Sofern firmeneigene Geräte eingesetzt werden können, sollten diese nicht privat genutzt werden
  • Papierausdrucke sollten mittels Aktenvernichter im Hausmüll entsorgt werden
  • Sicherstellen, dass andere Personen keinen Zugriff oder Zugang zu den Firmendaten erhalten (zB Familienmitglieder, WG-Partner, Besucher)
  • Einsatz von sicheren Kollaborationstools (Chats, Videokonferenzen, etc.)
  • Private Sprachassistenten (Alexa & Co) aus dem Arbeitsbereich entfernen

Helfen Sie ihren Mitarbeitern dabei die Geräte einzurichten und informieren sie darüber, welche Sicherheitsmaßnahmen einzuhalten sind. Sensibilisieren Sie ihre Mitarbeiter über die Gefahr von Phishing-Mails und Social Engineering. Auch sollte klar sein, dass Datenpannen („Data-Breaches“) selbst im Home-Office dem Vorgesetzten weiterhin mitzuteilen sind. Derzeit kursieren einige Stolperfallen im Netz zum Thema Coronovirus (siehe Heat-Map mit Hintergrunddownload von Schadsoftware in dem Artikel).

Datenschutzrisiken beim Einrichten von Home-Offices zu berücksichtigen ist ein wichtiger Bestandteil. Sollten Fragen oder spezielle Einzelfälle offen sein, wenden Sie sich bitte an einen Experten oder die MoreThanDigital Community.

Die Autorin: Karin Tien

Karin Tien berät Unternehmen, aber auch Privatpersonen, in allen Aspekten des Datenschutzes, IT-Sicherheit und der Privatsphäre. Sie startete als Textilchemikerin und absolvierte neben der Anwaltsprüfung mehrere Jahre in internationalen Wirtschaftskanzleien. Ihre Fachschwerpunkte sind Smart Textiles, Privacy by Design und Digitale Ethik.


Die Initiative für Startups und KMU von:

Der vorliegende Artikel ist zum ersten Mal auf der Plattform MoreThanDigital erschienen.