Seit Beginn der Corona-Pandemie ist Homeoffice in vielen Betrieben fester Bestandteil des Arbeitsalltags. Doch die Arbeit von Zuhause aus kann Probleme nach sich ziehen: Der Firmenlaptop kann herunterfallen, Bedienfehler können zu einem Datenverlust führen – und Hacker können sich über die schlechter geschützte private Internetverbindung Zugriff auf das Firmennetzwerk und damit sensible Daten verschaffen. Heimarbeiter und ihre Arbeitgeber sind daher gleichermaßen gefordert, sich vor den entsprechenden Unwägbarkeiten zu schützen.
Ganz wichtig ist es zunächst, die Firmen-IT vor Hackerangriffen zu schützen. Diese haben nämlich in den vergangenen Jahren immer stärker zugenommen – und betreffen zunehmend auch kleine und mittlere Unternehmen. Besonders perfide sind dabei sogenannte Ransomware-Angriffe, bei denen Hacker die Firmencomputer verschlüsseln und erst gegen eine Lösegeldzahlung wieder freigeben. Ein beliebtes Einfallstor für Cyberkriminelle ist dabei das Homeoffice, denn das private Netzwerk ist meist schlechter geschützt. Daher sollte das elektronische Firmennetzwerk für Arbeitnehmer nur über ein sicheres Passwort zugänglich sein, ebenso wie die Kommunikation per E-Mail nur über den Server der Firma und damit verschlüsselt ablaufen darf, rät Haye Hösel, Geschäftsführer und Gründer des Datenschutz- und IT-Sicherheitsspezialisten HUBIT Datenschutz.
Um die Sicherheit des Netzwerkes auch außerhalb des Büros zu gewährleisten, empfiehlt es sich zudem, grundsätzlich virtuelle private Netzwerke, sogenannte VPNs, zu nutzen, so Hösel. „Bei der Nutzung des Diensthandys sollten Mitarbeiter Messengerdienste wie WhatsApp, die laut DSGVO als nicht datenschutzkonform gelten, meiden und lieber auf alternative Apps oder SMS setzen.“ Und wenn Videokonferenzen die herkömmlichen Meetings ersetzen, gilt es natürlich auch hier, für eine professionelle Verschlüsselung zu sorgen, damit keine vertraulichen Informationen nach außen dringen können.
Wichtig ist es zudem, die Mitarbeiter für die im Cyberspace lauernden Gefahren zu sensibilisieren. Unternehmen seien in der Pflicht, ihre Mitarbeiter hier bestmöglich zu schützen, sagt Johanna M. Hofmann, Rechtsanwältin in der Wirtschaftskanzlei CMS in München und Expertin für IT- und Datenschutzrecht. „Eine Kette ist immer nur so stark wie ihr schwächstes Glied. Menschliches Fehlverhalten ist nach wie vor mit Abstand die häufigste Ursache für Datenschutzverletzungen.“ IT-Sicherheit betreffe prinzipiell alle Abteilungen im Unternehmen – und sämtliche Mitarbeiter. „Alle sollten an einem Strang ziehen“, so Hofmann. „Zuständigkeiten sollten klar zugewiesen sein, es sollte einen Ansprechpartner für Fragen der IT-Sicherheit geben.“
Datenschutz auch zuhause einhalten
Gerade in Sachen Datenschutz müssen Unternehmen und ihre Mitarbeiter bei der Arbeit im Homeoffice gut aufpassen, denn die Datenschutzgrundverordnung (DSGVO) gilt natürlich auch in Corona-Zeiten. „Auch in der aktuellen Situation sollten Unternehmer ihre Mitarbeiter weiterhin für den Datenschutz sensibilisieren“, betont Datenschutzexperte Hösel. In jedem Fall müssten Unternehmer Regelungen treffen, wie Mitarbeiter im Homeoffice zu arbeiten haben. Diese sollten idealerweise in einer Richtlinie dokumentiert und direkt an die Mitarbeiter verschickt werden.
Aus rechtlicher Sicht ist es in Bezug auf den Datenschutz zunächst einmal relevant, ob Arbeitnehmer mit personenbezogenen Daten arbeiten. „Dies trifft jedoch auf nahezu jeden Arbeitsplatz zu, denn zu den personenbezogenen oder personenbeziehbaren Daten zählen nicht nur Namen, sondern beispielswiese auch Telefonnummern, E-Mail-Adressen, Kontodaten, Personalnummern oder IP-Adressen“, sagt Hösel. Dementsprechend sollten Unternehmen ihre Mitarbeiter dazu anhalten, gewisse Maßnahmen zu befolgen. So gilt zunächst, dass das Arbeitszimmer abschließbar sein muss und Unterlagen in einem abschließbaren Schrank aufbewahrt werden müssen. „Auch Laptops, PCs sowie externe Datenträger wie zum Beispiel USB-Sticks gilt es zu verschlüsseln oder einzuschließen“, so Hösel.
Aber nicht nur Angriffe von außen können für Schäden sorgen – sondern auch Unachtsamkeiten der Mitarbeiter im Umgang mit den ihnen zur Verfügung gestellten Geräten. Da reicht es schon, wenn das Diensthandy herunterfällt, sich eine Teetasse über den Laptop ergießt oder ein Kurzschluss den Computer lahmlegt und wichtige Daten löscht. Die Haftung des Mitarbeiters gegenüber seinem Arbeitgeber ist in solchen Fällen allerdings eingeschränkt – man spricht hier von der sogenannten Haftungsprivilegierung bei betrieblich veranlassten Tätigkeiten.
In der Praxis bedeutet das konkret, dass bei leichter Fahrlässigkeit – etwa der über den Laptop vergossenen Teetasse – der Arbeitgeber den Schaden komplett selbst tragen muss. Bei grober Fahrlässigkeit ist die Höhe des Schadensersatzes gedeckelt, um die Mitarbeiter vor finanzieller Überforderung zu schützen. „Das bedeutet für Arbeitgeber, dass sie bei Schäden in jedem Fall mit Kosten rechnen müssen“, sagt Christina Müller, Rechtsexpertin bei der Nürnberger Versicherung. Allein bei vorsätzlich durch den Mitarbeiter verursachten Schäden kann der Mitarbeiter gegenüber seinem Arbeitgeber schadenersatzpflichtig sein. Zudem können in solchen Fällen auch arbeitsrechtliche Konsequenzen wie etwa eine Abmahnung angezeigt sein.
Private Nutzung erlaubt?
Ob allerdings die Haftungsprivilegierung greift, hängt wiederum davon ab, ob der Mitarbeiter das beschädigte Gerät gerade dienstlich oder privat genutzt hat. Denn schließlich gestatten viele Betriebe ihren Mitarbeitern auch die private Nutzung ihres Diensthandys oder -laptops. Entsteht bei der privaten Nutzung – etwa einem Videocall mit Freunden – ein Schaden an dem Gerät, muss der Mitarbeiter diesen im Regelfall selbst tragen. „Entscheidend ist, dass der Arbeitgeber nachweisen muss, dass der Schaden während der privaten Nutzung passiert ist – und dass er auf Vorsatz, grobe oder mittlere Fahrlässigkeit des Mitarbeiters zurückzuführen ist“, erklärt Nürnberger-Expertin Müller.
Mitunter kann es auch vorkommen, dass die vom Arbeitgeber bereitgestellte Unternehmens-IT einen Schaden beim Mitarbeiter verursacht. „Fängt beispielsweise der Akku des Firmenlaptops Feuer und löst einen Brand im Arbeitszimmer aus, muss der Arbeitgeber für die Schäden haften – allerdings nur, wenn er Schuld an dem Defekt hat“, so Müller. In diesem Fall würde die Betriebshaftpflichtversicherung für den Schaden aufkommen.
Grundsätzlich sinnvoll ist es für Betriebe, sich mithilfe einer Elektronik- sowie einer Cyberversicherung vor finanziellen Unwägbarkeiten zu schützen. Elektronikversicherungen bieten finanziellen Schutz bei technischem und menschlichem Versagen – auch im Homeoffice. Abgedeckt sind etwa Schäden durch Kurzschluss, Nässe oder Bedienungsfehler, optional können auch Schäden durch Feuer, Blitzschlag oder Explosionen abgesichert werden. Da meistens eine Pauschalversicherung für den gesamten Betrieb abgeschlossen wird, sind sämtliche Geräte und Anlagen geschützt und müssen nicht einzeln aufgeführt werden. Auch verlorene Daten oder Schäden an Datenträgern sind mitversichert. Cyberversicherungen wiederum schützen insbesondere bei Schäden durch Hackerangriffe wie etwa Ransomware-Attacken. Sie umfassen auch Assistance-Leistungen wie beispielsweise die Datenwiederherstellung sowie eine Krisenberatung. Hier besteht gerade in kleinen und mittelständischen Betrieben noch Nachholbedarf: Einer aktuellen Studie der Gothaer Versicherung zufolge verfügen bislang lediglich 16 Prozent der Mittelständler über eine solche Absicherung.(czy)