Das Coronavirus stellt uns alle vor neue Herausforderungen mit denen wir umgehen müssen. Nach Auffassung einiger Experten wird uns diese Krise noch Monate beschäftigen. Die Auswirkungen dürften enorm sein.
Oberstes Ziel muss es jetzt sein, die weitere Ausbreitung des Virus zu verhindern oder wenigstens merklich zu verlangsamen (FlattenTheCurve). Gleichzeitig müssen Unternehmen versuchen, Schäden von Mitarbeitern und dem Unternehmen selbst abzuhalten. Hier werden viele Fragen auftauchen, die man im Zweifel jetzt noch nicht abschließend beantworten kann.
Wir wollen in diesem Artikeln auf ein paar Punkte eingehen, die nach unserer Auffassung “krisenrelevant” sind und die Unternehmen beachten sollten.
Wir werden folgende Themen behandeln:
- Corona und Datenschutz
- Homeoffice
- Entschädigungen (folgt)
- Fakenews (folgt)
- Was wenn es kracht? (folgt)
Corona und Datenschutz
Der Umgang mit Corona ist aus Sicht des Datenschutzes ein heikles Thema. Die Informationen um eine Coronainfektion sind gesundheitsbezogene Daten. Diese dürfen nicht ohne Weiteres verarbeitet werden. Demgegenüber muss gerade oberstes Ziel die Eindämmung der Pandemie und der Schutz der eigenen Mitarbeiter sein. Insofern sollte hier ein pragmatischer Umgang mit dem Datenschutz stattfinden und ein Ausgleich der Interessen stattfinden.
Corna und Gesundheitsdaten
Die erste Frage die sich stellt, ist ob und welche Daten Unternehmen im Zusammenhang mit Corona verarbeiten darf. Informationen im Zusammenhang mit einer Coronainfektion sind in der Regel Gesundheitsdaten. Gesundheitsdaten sind Daten besonderer Kategorien nach Art. 9 DSGVO. Die Verarbeitung ist nur unter strengen Voraussetzungen möglich. Gleichzeitig muss der Arbeitgeber Schutzmaßnahmen treffen, um seine Mitarbeiter vor Gefahren zu schützen (§ 618 BGB). Im Normalfall ist die Verarbeitung von Gesundheitsdaten durch den Arbeitgeber nahezu ausgeschlossen. Die deutschen Datenschutzbehörden halten gleichwohl bestimmte Maßnahmen für zulässig. Empfehlungen gibt sowohl die DSK (ein Zusammenschluss der unabhängigen Datenschutzbehörden der Länder) als auch der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg. Wir halten beide Empfehlungen/Stellungnahmen für pragmatisch und schließen uns an.
Möglich sind danach folgende Maßnahmen:
Aufbau eines innerbetrieblichen Kommunikationsnetzwerkes unter Verwendung der privaten Handynummern der Mitarbeiter. Hierdurch können Arbeitgeber einen schnellen Informationsfluss gewährleisten. Voraussetzung für die Nutzung der operivaten Handynummer ist allerdings, dass der einzelne Mitarbeiter seine Einwilligung erteilt hat.
Arbeitgeber dürfen Daten erheben und verarbeiten, um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Hierzu zählen insbesondere Informationen zu den Fällen:
-
- in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.
- in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.
Dabei können zum Beispiel Daten erhoben werden, mit wem die Person Kontakt hatte. Urlaubsrückkehrer können befragt werden ob sie aus einem Risikogebiet kommen. In der Regel genügt hier eine Negativauskunft. Weiter Nachfragen können aber bei besonderen Umständen gerechtfertigt sein.
Gegebenenfalls kann auch die Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern notwendig sein, insbesondere um festzustellen, ob diese Personen selbst infiziert sind, in Kontakt mit einer nachweislich infizierten Person standen, oder sich in einem Risikogebiet aufgehalten haben.
Vorsicht bei namentlicher Nennung
Einschränkungen gibt es aber bei der Offenlegung der Daten von Infizierten oder Verdachtsfällen gegenüber Dritten. Die Offenlegung ist nur in engen Grenzen zulässig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist. Das kann zum Beispiel im Rahmen des Contact-Tracing der Fall sein, also zum Nachverfolgen einer Infektionskette. Die Offenlegung gegenüber eine Behörde, etwa dem Gesundheitsamt wird in vielen Fällen zulässig sein.Die Offenlegung gegenüber Dritten zum Beispiel anderen Mitarbeitern ohne besonderen Grund ist unzulässig.
Viele Fragen offen
Beim Thema Corona und Datenschutz sind längst nicht alle Fragen geklärt. Unternehmen sollten hier jedoch pragmatisch mit ein bisschen gesundem Menschenverstand an die Sache herangehen. Im Rahmen der Krisenbewältigung werden viele Verarbeitungen zulässig sein. Bevor man eine Information verarbeitet sollte man sich überlegen, ob die Maßnahme zur Krisenbewältigung geeignet, notwendig und angemessen ist. Wenn ich zum Schutz der Mitarbeiter Fiebermessungen am EIngang durchführe, muss ich die Messwerte nicht zwingend von jedem Mitarbeiter speichern.
Wenn ich Daten von Mitarbeitern, Gästen und Lieferanten verarbeite, sollte ich auch die entsprechenden Informationspflichten nach Art. 13,14 DSGVO anpassen.
Der bisherige Umgang mit Corona und Datenschutz durch die deutschen Aufsichtsbehörden ist pragmatisch und aus unserer Sicht sehr zu begrüßen. Wir wollen aber nicht verheimlichen, dass andere europäische Aufsichtsbehörden das Thema durchaus restriktiver handhaben; eine Netzschau hierzu gibt es bei Telemedicus.
Corona-Krise und Homeoffice
Viele Unternehmen haben die Möglichkeit ihre Arbeit im Homeoffice fortzusetzen. Die Umsetzung geschieht gerade im Schnelldurchlauf. Home-Office, BYOD und Cloud-Anwendungen bieten große Chancen. Neue Prozesse, Technologien und Verhaltensweisen werden sich etablieren (müssen). Allerdings erhöht dezentrales Arbeiten die Angriffsszenarien in jedem Unternehmen. Wie kann man Tele-Arbeit sicher gestalten und wie kann man sich vor Cyberbedrohungen schützen?
Schaffen Sie verbindliche Regeln für alle Mitarbeiter
Eindeutige und verbindliche Regeln der IT-Sicherheit und des Datenschutzes sollten spätestens jetzt schriftlich im Unternehmen kommuniziert werden. Dabei bietet sich die Erstellung einer verbindlichen Unternehmensrichtlinie an, die Mitarbeitern eine klare Linie vorgibt was erlaubt ist und was nicht.
Benennen Sie zuständige Personen und Meldewege für IT-Vorfälle
Diese Kommunikationswege sollten allen Mitarbeitern bekannt sein. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält dafür eine Notfallkarte bereit. https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Angebote/IT-Notfallkarte/IT-Notfallkarte/it-notfallkarte_node.html
Schutz des Arbeitsortes
Beschäftigte müssen geschult werden, auch im Home Office die Sicherheitsmaßnahmen einzuhalten. Dazu gehört beispielsweise, dass der Arbeitsplatz durch Türen verschlossen ist, Bildschirme gesperrt werden, die Webcam am Laptop abgedeckt ist und keine Akten zuganglich sind für Familienmitglieder und Mitbewohner. Im Homeoffice müssen Daten genauso geschützt werden wie im Unternehmen.
Informieren Sie über Angriffsmöglichkeiten und Fraud
Dezentrales Arbeiten von zu Hause birgt die Gefahr, dass durch eine veraltete technische Infrastruktur, die nicht über das Firmennetz geschützt ist, Angreifer ein leichteres Spiel haben. Ungesicherte Router/WLAN-Verbindungen, unverschlüsselte Datenträger, Laden von Ransomeware oder Phishing-Mails sind nur einige Szenarien die Einfallstore für Angreifer bieten können. Eine weitere Gefahr stellt Fraud dar. Fraud ist eine Betrugsmasche, bei der Mitarbeiter zu fehlerhaften Verhalten/Handlungen animiert werden. Die Betrüger geben sich dabei als Vorgesetze, andere Mitarbeiter, Kunden oder Lieferanten aus. E-Mails werden täuschend echt nachgebildet. Ansprache und Wording sind zum verwechseln. Ähnlcih. Mitarbeiter müssen auf diese Gefahr sensiblisiert werden und
Privates WLAN sichern
Sichern Sie ihr WLAN mit einem starken Kennwort und halten Sie die Software auf dem aktuellen Stand! Im Idealfall wird ein eigenes W-LAN für die berufliche Nutzung eingerichtet.
Sichere Kommunikationswege
Verwenden Sie, wenn möglich, sogenannte VPN – Virtual Private Networks, zur Kommunikation mit dem Firmennetzwerk.
Sichere Passwörter
Sichere Passwörter können vor Angriffen schützen. Lange, komplexe Akronyme oder Passphrasen. Beispiel: „Wir unterstützen bei der Digitalisierung 2020!“
Solche Passphrasen sind oft stark, denn Sie beinhalten viele Zeichen und sind leicht zu merken. Fügen Sie Zahlen oder Sonderzeichen hinzu.
Passwortmanager sind auch eine Option. Sollten Sie einen Passwortmanager nutzen, dann schützen Sie diesen mit einem starken Passpharasen-Passwort.
Aktuelle Betriebssysteme, Software und Firewall
Verwendete Betriebssysteme, Apps und Firewall sollten auf den neuesten Stand sein und über regelmäßige Sicherheitsupdates verfügen. Mitarbeiter sollten dazu angehalten werden die Updates immer vorzunehmen.
Weitere hilfreiche Informationen finden Sie auch beim BSI –
https://www.bsi.bund.de/DE/Publikationen/Studien/KMU/Studie_IT-Sicherheit_KMU.html
