- O2R12 IT-Richtlinie

IMS Services Datenschutz

Der wichtigste Erfolgsfaktor für die Erreichung eines angemessenen Sicherheitsniveaus sind verantwortungsbewusste und kompetente Mitarbeiter.

Um sicherzustellen, dass jeder Mitarbeiter die ihn betreffenden IT-Sicherheitsaspekte kennt und beachtet, ist die zielgruppengerechte Aufbereitung und Vermittlung der Inhalte des IT-Sicherheitskonzepts eine zentrale – und vielleicht auch die wichtigste – Aufgabe des IT-Sicherheitsbeauftragten.

Datenschutz und Datensicherheit lassen sich nur mit Sicherheitsrichtlinien erreichen Datenschutz braucht IT-Sicherheitsrichtlinien

Die große Mehrzahl der Datenpannen passiert nicht aus bösem Willen oder mit kriminellen Absichten. Sondern aus Unwissenheit und Sorglosigkeit. Deshalb sind Unterweisungen und Datenschutz-Schulungen so wichtig. Und deshalb sind auch IT-Sicherheitsrichtlinien entscheidend, um Datenschutz und Datensicherheit zu steigern.

Nur wenn die Mitarbeiterinnen und Mitarbeiter verbindliche Vorgaben für die Nutzung und Sicherheit der Datenverarbeitung erhalten, sie verstehen und umsetzen, schützt das personenbezogene Daten.

IT-Sicherheitsrichtlinien brauchen auch Datenschutz

Nicht nur der Datenschutz braucht die IT-Sicherheitsrichtlinien. In jeder IT-Sicherheitsrichtlinie gilt es, Ziele des Datenschutzes und Vorgaben aus dem Datenschutz-Konzept zu beachten.

So kommen die Maßnahmen der IT-Sicherheit dort an ihre Grenzen, wo sie gegen den Schutz personenbezogener Daten verstoßen.

Ein klassisches Beispiel ist die Protokollierung der Nutzeraktivitäten und deren Auswertung.

DSB gehört in die Richtlinien-Gruppe

Deshalb sollten Sie als Datenschutzbeauftragter Teil der Gruppe sein, die die IT-Sicherheitsrichtlinien entwickelt, begutachtet und aktualisiert.

Geben Sie sich nicht damit zufrieden, an der IT-Sicherheitsrichtlinie „Datenschutz“ beteiligt zu werden: Sondern sorgen Sie für die richtigen Datenschutz-Aspekte in allen IT-Sicherheitsrichtlinien.

Das ist gerade mit Blick auf die Datenschutz-Grundverordnung wichtig. Denn sie sieht bei Verletzungen des Datenschutzes scharfe Konsequenzen vor.

Beraten Sie die Leitung

Beraten Sie die Geschäftsleitung ausführlich über die Datenschutz-Ziele. Denn die verantwortliche Leitung muss die IT-Sicherheitspolitik vorgeben, die Grundlage aller IT-Sicherheitsrichtlinien ist.

Fordert die IT-Sicherheitspolitik des Unternehmens den Datenschutz nur halbherzig ein, werden Sie es bei der weiteren Umsetzung der IT-Sicherheitsrichtlinien nicht leicht haben.

Deshalb sollte der Datenschutz konkreter Bestandteil der IT-Sicherheits-Rahmenrichtlinie sein. Sie bestimmt die Eckpunkte der IT-Sicherheitsorganisation ein und macht Vorgaben zu den einzelnen IT-Sicherheitsrichtlinien.

Typische Fehler bei IT-Sicherheitsrichtlinien vermeiden

Geht es darum, die einzelnen IT-Sicherheitsrichtlinien zu entwickeln, zu prüfen und zu aktualisieren, helfen Sie dabei, typische Fehler in den IT-Sicherheitsrichtlinien zu vermeiden.

Nur ein Unternehmen, das die IT-Sicherheitsrichtlinien erfolgreich umsetzt, hat etwas für den Datenschutz und die Datensicherheit gewonnen.

1) Sicherheitsrichtlinien individualisieren

Viele Unternehmen verweisen in ihren IT-Sicherheitsrichtlinien auf Sicherheitsstandards, ohne die Vorgaben auf die eigene Situation anzupassen.

Als Folge finden sich weder Unternehmensleitung noch Mitarbeiter in den Richtlinien wieder, und alle betrachten die Vorgaben als praxisfern. Die Aufsichtsbehörden für den Datenschutz werden sich damit genauso wenig zufrieden geben.

IT-Sicherheitsrichtlinien, die alle Beteiligten innerlich ablehnen, scheitern. Zudem bedeutet die Arbeit an den unternehmensspezifischen IT-Sicherheitsrichtlinien, dass sich alle mit dem Thema Datensicherheit und Datenschutz befassen und so stärker sensibilisiert sind.

Drängen Sie deswegen darauf, dass die IT-Sicherheitsrichtlinien individuell angepasst werden. Auch wenn es viel Mühe kostet.

2) IT- Sicherheitsrichtlinien müssen durchführbar sein

Wenig sinnvoll sind zudem IT-Sicherheitsrichtlinien,

die sich praktisch nicht durchführen lassen,
die zu Widersprüchen in Verbindung mit anderen Vorgaben und Richtlinien führen und
deren Einhaltung sich nicht überprüfen lässt.

Solche IT-Sicherheitsrichtlinien führen dazu, dass die Leitung glaubt, alles geregelt zu haben und sich in trügerischer Sicherheit wähnt, während die tägliche Praxis ganz anders aussieht.

3) Freigabe, Bekanntmachung und Zielgruppe sind bedacht

Weiterhin muss der für die Verarbeitung Verantwortliche, in der Regel die Unternehmensleitung, jede IT-Sicherheitsrichtlinie freigeben. Damit ist es aber nicht getan. Die Anwender der Datenverarbeitung müssen ebenfalls davon wissen.

Denken Sie also bei allen Richtlinien mit Bezug zu personenbezogenen Daten daran, sie bekannt zu machen und zu schulen.

Und wie bei jeder Vorgabe und Anleitung darf auch bei einer IT-Sicherheitsrichtlinie nicht die Zielgruppe in den Hintergrund geraten: Die Zielgruppe muss die Beschreibungen verstehen.

4) Richtlinie wird ständig aktualisiert

Schließlich bleibt festzuhalten, dass IT-Sicherheitsrichtlinien aktualisiert werden müssen. Denn gerade in der IT ändern sich die Systeme und Bedrohungen in kurzen Zeitabständen. IT-Sicherheitsrichtlinien zu entwickeln und zu prüfen, ist deshalb ein laufender Prozess.

Anlage

IT Sicherheit im Homeoffice

Was ist Home-Office

Das Home-Office ist in Deutschland auch unter den Begriffen “Teleheimarbeit” oder “e-Work” bekannt. Die Arbeit im Home Office erfolgt per Definition von zu Hause aus. Arbeitnehmer richten sich in ihrem Haus oder ihrer Wohnung einen Arbeitsplatz ein und können via E-Mail oder Telefon die Aufgaben und Ziele mit dem Arbeitgeber absprechen.

Es gibt zwei verschiedene Arten von Home Office in Deutschland. In der heimbasierten Telearbeit erfolgt die Arbeit ausschließlich von zu Hause aus. In der alternierenden Telearbeit arbeitet der Mitarbeiter sowohl von zu Hause als auch beim Arbeitgeber im Unternehmen. Die entsprechenden Arbeitstage und -zeiten werden dabei im Vorfeld abgesprochen.

Eine gesetzliche Regelung zum Anspruch auf Heimarbeit gibt es derzeit nicht.

Weniger weit verbreitet ist das Nachbarschaftsbüro. Angestellte verschiedener Arbeitgeber sitzen gemeinsam in einem Büro. Die Arbeitgeber sparen dadurch Kosten, da sich die Mitarbeiter Büroeinrichtung und Arbeitsgeräte teilen können. Zudem hat dieses Home-Office den Vorteil, dass Arbeitnehmer nicht sozial isoliert werden.

Viele Arbeitgeber in Deutschland sprechen sich gegen die Home Office Arbeit aus. Nur im persönlichen Kontakt könne effektiv an Projekten gearbeitet werden. Dies sei durch die örtliche Distanz nicht so gut realisierbar. So wünschen sich Unternehmen in Deutschland vor allem die Präsenz ihrer Arbeitnehmer.

Eine gesetzliche Home Office Regelung gibt es in Deutschland nicht. In den Niederlanden haben Arbeitnehmer allerdings seit Juli 2015 einen Rechtsanspruch auf Home Office. Hierzulande müssen sich Arbeitnehmer und Arbeitgeber über eine Home-Office-Vereinbarung einig sein.

Datenschutz und Datensicherheit

Grundsätzlich gilt im Home Office der gleiche Standard Datenschutz und Datensicherheit wie im Unternehmen selbst. Der Verantwortliche für den Datenschutz bleibt auch im Home Office für Umsetzung und Überprüfung verantwortlich.

Grundsätzlich gelten folgende Vorgaben für den Home Office Betrieb:

Es dürfen keine privaten Geräte (Handy, PC, LapTop, Tablet) genutzt werden
Das Arbeitszimmer muss ein separater Raum sein, abschließbar und überwiegend beruflich genutzt werden
Unterlagen und Hardware wie Datenträger sind in einem abschließbaren Schrank (oder ähnlich) zu verwahren
Daten sind nach Stand der Technik (derzeit SSL / TSL) zu verschlüsseln
Beruflicher und privater Internetanschluss müssen getrennt sein
Es darf nur Firmenhardware genutzt werden
Dokumente und Unterlagen (Papierformat) sind datensicher zu verwahren
Datenspeicherung darf nicht auf lokalen Geräte erfolgen, sondern ausschließlich auf Systeme (Server) des Arbeitgebers
Nutzer von Home Office Arbeitsplätze sind zusätzlich über die Vorgaben nachweislich zu belehren
Der Arbeitgeber, sowie der Datenschutz- und Datensicherheitsbeauftragte hat ein Besichtigungsrecht, das vertraglich zu sichern ist
Die Arbeitszeit ist zu erfassen und eine Kernarbeitszeit ist zu vereinbaren
Der Home Office Nutzer muss erreichbar sein (Telefon, Mail usw.)

Folgende weitere Ausstattungen sind vorzuhalten:

Schreibtischstuhl:

Sitzhöhe entspricht der Kniekehlenhöhe
Fester Kontakt zur Rückenlehne und mindestens zwei Fingerbreit Platz von der Sitzvorderkante zur Kniekehle
Armauflage entspricht der Ellenbogenhöhe über der Sitzfläche
Rückenlehne stützt den Rücken und macht jede Bewegung mit

Schreibtisch:

Mindestens 72 cm Höhe
Arbeitsflächengröße von 160 x 80 cm
Drucker und andere vibrierende Geräte sollten auf einem anderen Tisch stehen
ausreichende Beinfreiheit
reflexionsarme Oberfläche
ggf. neigbar

Raumtemperatur und Beleuchtung:

Im Arbeitszimmer beträgt die ideale Raumtemperatur ca. 22 Grad C. Zudem sollten Sie regelmäßig lüften, damit ausreichend Frischluft im Raum ist. Der Bildschirm sollte auf 400 bis 600 Lux eingestellt werden. Viel Tageslicht sorgt außerdem dafür, dass Ihre Augen nicht so stark belastet werden wie bei künstlichem Licht.

Weitere Informationen

Grundsätzlich muss zwischen einem dauerhaften Homeoffice Arbeitsplatz und einem vorübergehenden Homeoffice Arbeitsplatz unterschieden werden. Der dauerhafte Arbeitsplatz sollte nach den o.g. Vorgaben umgesetzt sein. Ein vorübergehender Arbeitsplatz (Pandemie, Renovierungsarbeiten im Unternehmen usw.) kann und muss nicht alle o.g. Umsetzungsvorgaben umsetzen. Wichtig dabei ist jedoch die Einhaltung der IT-Sicherheit. Diese bleibt unberührt und ist immer einzuhalten.

Anlagen:

Kontaktformular

Suche

Externe Inhalte