Das Sommerloch wird in diesem Jahr von einigen unterhaltsamen (nicht immer datenschutzrelevanten) Gerichtsurteilen gefüllt. Mein persönlicher Favorit war bisher der Fall eines jungen Mannes, der fristlos gekündigt werden sollte, weil er auf einer Firmenfeier, die auf einem Boot stattfand, nur mit Unterhose bekleidet in den Rhein gesprungen war (mehr zu diesem Fall lesen Sie hier).
Ziemlich unterhaltsam ist auch ein aktuell veröffentlichter Beschluss des Arbeitsgerichts Köln (ArbG Köln, 10.01.2023, 14 BV 208/20): Eine Arbeitgeberin wurde in einem vorherigen Verfahren dazu verpflichtet, dem Betriebsrat einen Laptop zu überlassen. Den Laptop hat die Arbeitgeberin besorgt. Dieser wurde dem Betriebsrat aber nur unter der Voraussetzung überlassen, dass der Laptop im Betriebsratsbüro befestigt wird.
Nochmal: Der Laptop – der bereitgestellt werden musste, damit der Betriebsrat nicht nur den festen Arbeitsplatz PC im Betriebsratsbüro nutzen kann – sollte dauerhaft fest im Betriebsratsbüro verbaut werden.
Doch das Arbeitsgericht stärkte die Rechte des Betriebsrats und bemerkte spitzfindig: „Ein Laptop sei eine spezielle Bauform eines PCs, die zu den Mobilgeräten zählt und damit standortunabhängig verwendbar sei. Eine Befestigung würde damit der definitionsgemäßen Verwendungsmöglichkeit entgegenstehen.“ Die Arbeitgeberin legte nach dem Beschluss vom 10.01.2023 umgehend Beschwerde ein, die am 05.06.2023 zurückgewiesen wurde (Az.: 5 Ta 26/23).
Auch wenn in diesem Fall die Vermutung nahe liegt, dass es neben der Sorge vor einem Verlust oder einer Beschädigung des Laptops noch andere Gründe für das Verhalten der Arbeitgeberin gegenüber dem Betriebsrat geben könnte, so stellt sich natürlich die Frage, welche Sicherheitsmaßnahmen als Alternative zur „festen Montage des Geräts“ zu treffen sind. Hier lässt sich der Bogen zum Datenschutz spannen: Zur Sicherheit der Verarbeitung sind nach Art. 32 DSGVO geeignete Maßnahmen zu treffen, die u. a. auch die Aspekte Stand der Technik, Implementierungskosten sowie Art, Umfang, Umstände und der Zwecke der Verarbeitung berücksichtigen. Folgendes gilt sowohl für Laptops als auch für andere Mobilgeräte, die durch Mitarbeitenden, einschließlich des Betriebsrats, genutzt werden.
Festplattenverschlüsselung
Laptops und andere außerhalb des Büros genutzten Geräte sollten eine Festplattenverschlüsselung erhalten. Für Laptops ist hierfür z. B. Bitlocker geeignet, das von Microsoft selbst bereitgestellt wird. Da die Festplattenverschlüsselung bei Laptops nur aktiviert wird, wenn das Gerät ausgeschaltet ist, ist darauf zu achten, den Laptop auch wirklich stets nach Feierabend herunterzufahren. Das wird gerne vergessen oder aus Bequemlichkeit unterlassen. Eine Festplattenverschlüsselung ist nur dann nicht erforderlich, wenn überhaupt keine Daten lokal gespeichert werden, also bspw. nur über VPN oder in der Cloud gearbeitet wird. Aber Vorsicht, teilweise speichern auch Cloud-Produkte Daten lokal ab, z. B. wenn das E-Mail-Postfach auch offline verfügbar ist. Bei Smartphones und Tablets reicht übrigens häufig schon die normale Code-Sperre für eine Vollverschlüsselung.
IT-Sicherheitsstandards
Beim mobilen Arbeiten ist es umso wichtiger, dass die standardmäßig getroffenen Sicherheitsmaßnahmen korrekt konfiguriert sind. Hierzu gehören Virenscanner und Firewall, aber auch ein geeignetes Backup-Konzept. Zusätzlich muss sichergestellt sein, dass auch bei mobilen Geräten zeitnah alle Updates eingespielt werden.
Wenn auf dem Gerät nicht nur lokale Dateien bearbeitet werden sollen, muss es eine sichere Möglichkeit geben auf Dateien zuzugreifen, z. B. über VPN oder eine Cloud-Lösung. Allerdings sind auch Cloud-Lösungen, wie der kürzlich erfolgte Hackerangriff auf die Microsoft-Cloud zeigt, nicht frei von Sicherheitsrisiken.
Der Faktor Mensch
Nicht zuletzt muss beim Arbeiten außerhalb des Büros das eigene Verhalten angepasst werden – das gilt umso mehr für den Betriebsrat, der häufig höchst sensible Daten verarbeitet. Hier sind die Klassiker und absolut zwingenden Vorgaben:
- Geräte nicht unbeaufsichtigt lassen, wenn man angemeldet ist. Im öffentlichen Raum (z. B. im Zug) den Laptop also immer einpacken und mitnehmen, auch wenn es nur kurz zur Toilette geht.
- In der Öffentlichkeit Sichtschutzfolien verwenden und keine sensiblen Telefonate oder Videokonferenzen führen.
- Auch Familie und Freunde gehen die Details der Arbeit nichts an. Daher gilt für das sichere Arbeiten im Homeoffice ebenfalls: PC sperren, wenn der Schreibtisch verlassen wird, Geräte und Ordner sicher verwahren, Arbeitszimmer ggf. abschließen etc. Sonst können schnell meldepflichtige Datenpannen entstehen. Betriebsratsmitglieder trifft hier eine besondere Verschwiegenheitspflicht!
31. August 2023 @ 12:56
Es ist leider schade, dass die meisten User trotz aktiviertem Bitlocker und mehrfacher Hinweise weiterhin den Rechner nicht vollständig Herunterfahren. Um dies zu verhindern könnt ein GPO angelegt werden, die den Hypernationmode deaktiviert und die Powertaste bzw. das Zuklappen des Laptops in der Energieverwaltung so einstellt, dass das System vollständig heruntergefahren wird. Das würde sicherlich nicht gut bei den Usern ankommen.