zurück
data-security-concept-PSC5G7N

IT Sicherheit im Homeoffice


Die Zahl der Angriffe nimmt weiter zu. Dies hängt nicht nur mit der weiteren Digitalisierung der Unternehmen zusammen. Der Markt für Dienstleistungen zum Abfassen von Daten ist in den letzten Jahren kontinuierlich gewachsen. Bestes Beispiel ist der Angriff und das daraus resultierende Chaos bei der Funke Mediengruppe. Dieser Vorfall zeigt auch wieder, dass es einen hundertprozentigen Schutz vor Angriffen nicht gibt. Daher sollte ein Notfallplan oder Incident-Response-Plan (Vorfallreaktionsplan) erstellt und bestenfalls geübt werden.


Nicht erst durch den Beschluss der Ministerpräsidentenkonferenz, mit der Verpflichtung des Angebotes von Heimarbeit, sollten Sie die häuslichen Arbeitsplätze ganz besonders in Ihrem Sicherheitskonzept beachten.

Was gilt von Ihren Datenschutzkonzept und getroffenen Schutzmaßnahmen noch an den Heimarbeitsplätzen? Hat jeder Mitarbeiter einen abgeschlossenen Raum? Ebenso werden Geräte, Unterlagen oder Dokumente vermutlich nicht vor Fremdzugriff geschützt sein. Dazu zählt auch die Zugriffsmöglichkeit durch Familienmitglieder. Die wohl häufigste Situation ist der Laptop im Wohnzimmer, Ausdrucke erfolgen auf dem heimischen W-Lan-/Bluetooth-Drucker. Sowie Zugriffsmöglichkeit auf den Rechner durch Kinder oder Besucher.


Das ist nicht akzeptabel? Richtig!


Welche Möglichkeiten gibt es für einen sicheren Heimarbeitsplatz?


  • Alle ausgegebenen Rechnereinheiten bleiben in zentraler Verwaltung und werden von der IT zentral gepatcht.

  • Die Verbindung zum Firmen-Netzwerk erfolgt über VPN und nur über diesen Tunnel wird mit der Firma kommuniziert.

  • Wenn es nicht zum Arbeiten benötigt wird, verhindern die Netzwerkeinstellungen der Firmenrechner einen direkten Zugang ins Internet. Wenn notwendig, Internetzugang über VPN-Tunnel zum Firmenserver und erst von dort einen (kontrollierten) Übergangs ins Internet

  • An den Firmenrechner dürfen keine privaten Geräte angeschlossen werden.

  • Nur der Mitarbeiter selbst darf mit dem Firmenrechner arbeiten.


Auswahl von DSGVO-Bußgeldern


Aus den aktuellen Bußgeldern und laufenden Verfahren kann ein Überblick über aktuell Prüfungsschwerpunkte abgeleitet werden. Nachfolgend finden Sie eine kleine Auswahl der aktuell verhängten Bußgelder:


Thema             Unrechtmäßige Videoüberwachung von Mitarbeitern und Kunden

Branche          Online-Versandhandel (Deutschland)

Verstoß           Artikel 5 DSGVO, Artikel 6 DSGVO

Bußgeld          10.400.000 EUR


Das Unternehmen hat Beschäftigte und Kunden in unzulässiger Weise sowie ohne wirksame Rechtsgrundlage mit Kameras überwacht. Die Aufzeichnungen wurden bis zu 60 Tage gespeichert. Die Begründung für die Installation der Kameras war die Prävention von Diebstählen im Lagerbereich.

Dieses Urteil zeigt, dass vor der Installation von Kameras die Rechtsgrundlage intensiv geprüft werden muss. Wer an unserer Schulung Datenschutz 2020 teilgenommen hat, kann sich vielleicht noch an das Beispiel mit der Überwachung eines Spielplatzes (Vandalismus) erinnern.


Thema            Unzulässige Weitergabe von sensiblen personenbezogenen Daten an Dritte

Branche          Social Media (Norwegen)

Verstoß           Artikel 6 Absatz 1 DSGVO, Artikel 9 Absatz 1 DSGVO

Bußgeld          10.000.000 EUR


In dem Fall hat das Unternehmen die Daten von App-Nutzern unerlaubt, für Marketingzwecke, an Dritt-Unternehmen weitergegeben. Zu den Dateninhalten gehörten zum Beispiel Benutzerprofildaten, GPS-Daten und die sexuelle Orientierung. Mit dem zuletzt genannten Punkt fallen die Daten in den besonders schützenswerten Bereich.


Thema            Unzureichende TOM (technische-organisatorische-Maßnahmen) trotz wiederholter Hacker-Angriffe

Branche          Online-Versandhandel (Frankreich)

Verstoß           Artikel 32 DSGVO

Bußgeld          150.000 EUR


Über einen Zeitraum von zwei Jahren erhielt die Datenschutzbehörde in Frankreich wiederholte Meldungen über Datenschutzvorfälle im selben Unternehmen. Durch die Ermittlungen kam heraus, dass die Website immer wieder Zielscheibe von Angriffen wurde. Die Angreifer konnten hier Zugang zu Namen, Mailadressen, Geburtsdaten und weiteren Kundendaten von circa 40.000 Personen erlangen. Das betroffene Unternehmen hat zwar mit der Entwicklung von Sicherheitsmaßnahmen begonnen, aber der Prozess zog sich über einen zu langen Zeitraum. So zumindest die Ansicht der Behörde.

Contact Work zurück