Welche Risiken Sie bei der Einf√ľhrung von Home-Office vermeiden sollten

Corona hat jeden zweiten Besch√§ftigten ins Home-Office gedr√§ngt. Unternehmen konnten die Krise nutzen, um die Vorz√ľge von mobilem Arbeiten kennenzulernen. Doch auch die Herausforderungen und Risiken wurden sichtbar. In diesem Artikel stellen wir typische Risiken vor, die Unternehmen managen sollten, um Home-Office dauerhaft und erfolgreich umsetzen zu k√∂nnen.

Inhaltsverzeichnis

Dossier zu Datenschutz und Datensicherheit im Home-Office

Gerade keine Zeit, den ganzen Artikel zu lesen?
Laden Sie sich das umfassende Dossier mit all unseren Beiträgen rund um Datenschutz im Home-Office als PDF herunter und lesen später offline.

Eine von der Bitkom zu Beginn des Corona-Lockdowns 2020 durchgef√ľhrte Befragung fand heraus, dass jeder zweite Berufst√§tige ganz oder zumindest teilweise (im Sinne einer hybriden Organisation) im Home-Office arbeitet. Vor der Pandemie lag die Quote noch bei rund 20 Prozent. Entsprechend war das mobile Arbeiten f√ľr die meisten Arbeitgeber zwar eine willkommene Notl√∂sung, jedoch gleichzeitig mit gro√üen Unsicherheiten verbunden. Viele Unternehmen stehen nun vor der Herausforderung die¬†tempor√§re L√∂sung in eine sichere und zuverl√§ssige Dauerl√∂sung zu √ľberf√ľhren. Ob Home-Office¬†als Dauerl√∂sung gelingt, l√§sst sich zum gr√∂√üten Teil beeinflussen und steuern.¬†Home-Office bietet Vorteile, doch¬†Arbeitgeber m√ľssen auch die Risiken kennen. Zu den typischen Risiken im Home-Office z√§hlen beispielsweise die mangelnde IT-Sicherheit, das Thema Datenschutz und die mangelnde informelle Kommunikation.

Risiko #1: Flurfunk im Home-Office

Eine kurze Unterhaltung an der Kaffeemaschine, ein gemeinsames Mittagessen oder ein unerwartetes Wiedersehen auf den B√ľrog√§ngen: Das Arbeiten in den R√§umlichkeiten des Arbeitgebers bietet den Besch√§ftigten viele zuf√§llige Gelegenheiten des Flurfunks, also Begegnungen von Mitarbeitern mit informeller Kommunikation. Auch im Home-Office haben Mitarbeiter das Bed√ľrfnis nach Aufmerksamkeit und Kommunikation jenseits von offiziellen Meetings und formalen Entwicklungsgespr√§chen. Mitarbeiter wollen sich √ľber Themen austauschen, die √ľber die Arbeit hinausgehen. Sie wollen auch √ľber Themen und Entwicklungen im Unternehmen informiert bleiben, die nicht auf der offiziellen Agenda stehen.

Der Flurfunk hat bekannterma√üen Vorteile f√ľr Unternehmen. Es f√∂rdert das Zusammengeh√∂rigkeitsgef√ľhl (Wir-Gef√ľhl) der Mitarbeiter, st√§rkt die Unternehmenskultur und stellt die zus√§tzliche Informationsverbreitung sicher. Mit der Verlagerung der Mitarbeiter ins Home-Office entsteht das ‚ÄěRisiko des mangelnden Flurfunks‚Äú. Je nachdem, ob die Besch√§ftigten ausschlie√ülich bzw. permanent oder nur teilweise bzw. zeitweise im Home-Office t√§tig sind, nimmt das Risiko zu und es bedarf entsprechender Ma√ünahmen. Permanente Home-Office Arbeitspl√§tze ben√∂tigen Kommunikationsl√∂sungen, die die vielf√§ltigen und unterschiedlichen Kommunikationsbed√ľrfnisse der Mitarbeiter bedienen. Gefragt sind beispielsweise digitale Chatl√∂sungen und Social Media Gruppen. Laden Sie Home-Office Mitarbeiter beispielsweise einmal in der Woche zu einem digitalen Stammtisch per Videochat ein.

Risiko #2: IT-Sicherheit im Home-Office

Corona hat viele IT-Abteilungen ans Limit gebracht. Binnen k√ľrzester Zeit mussten neue Rechner und VPN-Dienste f√ľr das mobile Arbeiten bereitgestellt werden. IT-Abteilungen haben Ad-hoc-L√∂sungen entwickelt, um Mitarbeitern im Home-Office den schnellen Zugriff auf Unternehmensdaten zu erm√∂glichen. Viele kleinere und mittelst√§ndische Unternehmen haben auf diese Weise digitales Neuland betreten und gleichzeitig neue IT-Sicherheitsrisiken f√ľr das Unternehmen geschaffen.

Um die kurzfristige Arbeitsf√§higkeit des Unternehmens aufrechtzuerhalten, wurden die Sofortma√ünahmen vieler Unternehmen gr√∂√ütenteils‚ÄĮohne konzeptionelle Vorbereitungsma√ünahmen‚ÄĮumgesetzt. Gleichzeitig wurden Kompromisse bei der IT-Sicherheit akzeptiert, die zuvor aufgrund ihrer‚ÄĮRisiken‚ÄĮnicht genehmigt worden w√§ren. Schwache IT-Sicherheitskonzepte erh√∂hen die Erfolgschancen von Cyberangriffen. Der Diebstahl von Informationen und Identit√§ten, die Erpressung von Leistungen, die Manipulation der Systemintegrit√§t und Angriffe auf die Systemverf√ľgbarkeit sind die m√∂glichen Risiken und Konsequenzen.

Um den sicheren Dauerbetrieb von Home-Office sicherzustellen, bedarf es einer ausf√ľhrlichen¬†Bewertung der Prozesse und IT-Strukturen¬†hinsichtlich der Eignung f√ľr dezentrale Arbeitsplatzorganisationen. Der Analyse folgt die Risikobewertung und die n√∂tige Anpassung der IT-Systeme. Wurden beispielsweise privaten Rechner (‚ÄěBYOD‚Äú) im Home-Office bis dato geduldet, m√ľssen nun m√∂glicherweise h√∂here IT-Sicherheitsstandards umgesetzt werden. Konnte beispielsweise bis dato jeder Mitarbeiter von unterwegs mit Benutzername und Passwort auf das Unternehmensnetzwerk zugreifen, werden im Home-Office Dauerbetrieb VPNs und 2-Faktoren-Authentifizierung obligatorisch. IT-Verantwortliche m√ľssen mehr denn je einen Spagat zwischen Sicherheit, Praktikabilit√§t und Kosten leisten.

Risiko #3: Datenschutz im Home-Office

Der Datenschutz und insbesondere der Schutz von personenbezogenen Daten ist in der europ√§ischen Datenschutzgrundverordnung (DGSVO) und dem neuen Bundesdatenschutzgesetz (BDSG-neu) geregelt. Der Versto√ü kann von Datenschutzbeh√∂rden geahndet werden. Es drohen empfindliche Bu√ügelder bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Gesch√§ftsjahr; je nachdem, welcher Wert der h√∂here ist. Zum finanziellen Risiko kommt der m√∂gliche Reputationsschaden, der sich in Umsatzeinbu√üen ausdr√ľckt und das Gesch√§ft auf Jahre sch√§digen kann.

Die DGSVO ist nicht neu und der Arbeitgeber als datenschutzrechtlich Verantwortlicher ist auch im Home-Office f√ľr die Einhaltung des Datenschutzes verpflichtet. Wenn beispielsweise Zugriffs-, Autorisierungs- und Authentifizierungsrichtlinien nicht durchgedacht sind, kann es passieren, dass Mitarbeiter auf Daten zugreifen k√∂nnen, die Sie nicht sehen sollten. Je nach dem wo das Home-Office ist, besteht die Gefahr, dass auch Dritte Daten einsehen k√∂nnen.¬†Die Herausforderung f√ľr den Arbeitgeber liegt nun darin, geeignete *technische und organisatorische Ma√ünahmen (TOM)* zu ergreifen, um die Datensicherheit im Home-Office zu gew√§hrleisten. Bei der Auswahl der TOM sollen das Schutzniveau nach Stand der Technik und das Risiko f√ľr die Betroffenen in Einklang gebracht werden. Nach Artikel 32 DGSVO schlie√üen die getroffenen Ma√ünahmen unter anderem Folgendes ein:¬†

  • ¬†die Pseudonymisierung und Verschl√ľsselung personenbezogener Daten;¬†
  • die F√§higkeit, die Vertraulichkeit, Integrit√§t, Verf√ľgbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
  • die F√§higkeit, die Verf√ľgbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
  • ein Verfahren zur regelm√§√üigen √úberpr√ľfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Ma√ünahmen zur Gew√§hrleistung der Sicherheit der Verarbeitung.¬†

Der DGSVO-konforme Home-Office Arbeitsplatz ist im Ergebnis eine Kombination aus organisatorischen Prozessen und technischen Lösungen. Die entsprechenden TOM können von Unternehmen zu Unternehmen abweichen. Als technische Lösung bietet sich Trusted Secure Desktop (TSD) an, um Mitarbeiter zuverlässig im Home-Office anzubinden.

Risiko #4: Mitarbeiter-Eignung

Nicht jeder Mitarbeiter ist geeignet, um von Zuhause aus zu arbeiten. Grundlegende technische Voraussetzungen wie z.B. ein leistungsf√§higer Internetanschluss muŐąssen zwar erfuŐąllt werden, reichen jedoch bei weitem nicht aus. Der Mitarbeiter muss auch notwendige Pers√∂nlichkeitseigenschaften mitbringen, damit er im alleinigen, eigenverantwortlichen Arbeiten auch die geforderte Leistung erbringen kann. Die Leistungsf√§higkeit eines Mitarbeiters kann im Home-Office zunehmen oder auch sinken. W√§hrend der eine im Home-Office produktiver ist, mangelt es dem anderen an Selbstdisziplin oder f√ľhlt sich alleine unwohl und unsicher.

Nicht jeder Arbeitnehmer ist f√ľr die Arbeit im Home-Office geeignet. Das entsprechende Eignungsprofil zu erkennen und entsprechend zu f√ľhren, ist eine typische Managementaufgabe. Mithilfe eines Pers√∂nlichkeits-Profils kann die voraussichtliche Leistungsf√§higkeit im Home-Office prognostiziert werden. F√ľr die Bewertung k√∂nnen u.a. das Bindungs– und Best√§tigungsbed√ľrfnis, die Gewissenhaftigkeit, der Wille zur Auftragserf√ľllung, die Ablenkbarkeit w√§hrend einer Aufgabe und die Selbstdisziplin herangezogen werden.¬†