Aus Linux-Magazin 03/2022

Wie DSGVO und Homeoffice sinnvoll zusammen funktionieren

© melpomen / 123RF.com

Die Pandemie hat dem Homeoffice zum endgültigen Durchbruch verholfen. Doch für Mitarbeitende gelten auch in den eigenen vier Wänden die Regeln der DSGVO. Wie die sich sinnvoll umsetzen lassen und worauf Betroffene achten müssen, verrät dieser Artikel.

Corona und kein Ende: Im dritten Jahr der Pandemie hat sich in weiten Teilen der Bevölkerung aus nachvollziehbaren Gründen eine allgemeine Müdigkeit im Hinblick auf die Pandemie breit gemacht. Das Virus interessiert das allerdings wenig; nahezu alle Expertinnen und Experten rechnen damit, dass Corona auch 2022 das dominierende Thema sein wird. Schon jetzt lässt sich feststellen, dass Corona so manche Veränderung bewirkt hat, die wohl die Pandemie selbst überdauern wird.

Homeoffice bleibt …

In der IT lässt sich das besonders gut beobachten. So hat Corona den Managern der Branche seit der ersten Welle 2020 das Thema Homeoffice aufgezwungen. Gingen noch Ende 2020 viele Unternehmen davon aus, dass Corona bald vorbei und dann alles wieder wie zuvor sein würde, ist mittlerweile längst klar: Die Pandemie hat die Branche deutlich beeinflusst, und der Trend zum Homeoffice wird das Virus wohl überleben. Man darf davon ausgehen, dass sich am Ende der Pandemie das Rad der Zeit nicht zurückdrehen lässt. Die meisten Unternehmen haben längst verstanden, dass hundertprozentige Remote-Jobs beim Anheuern neuer Mitarbeiter Vorteile bringen: Wer sie nicht anbieten kann, gerät ins Hintertreffen.

Aus Sicht der Betroffenen erscheint das verständlich: Nicht wenige Admins und Entwickler haben während der Pandemie massiv in den Ausbau des eigenen Homeoffice investiert und sich hochspezifische, an die eigenen Bedürfnisse angepasste Arbeitsplätze gebaut. Für diese Menschen ist die Vorstellung ein Graus, zurück ins Großraumbüro mit all seinen Nachteilen zu wechseln. Zudem haben die meisten Unternehmen mittlerweile angefangen, ihre internen Prozesse mit verteilter Arbeit kompatibel zu machen. Das stellt sie allerdings vor manch größere Herausforderung.

… die DSGVO auch

Dabei spielt auch das Thema Datenschutz eine wichtige Rolle. Aus Sicht der DSGVO ist es unerheblich, ob jemand zu Hause oder im Büro arbeitet. Die strengen Regeln der Verordnung gilt es so oder so zu einzuhalten.

Eben dieser Punkt lässt so manchen Manager die Stirn runzeln: Wie lassen sich die zur Einhaltung der DSGVO notwendigen Prozesse so gestalten, dass Mitarbeitende sie auch aus der Ferne einzuhalten vermögen? Nicht selten haben Firmen eigene Hardware wie Aktenvernichter und Schredder für Speichermedien aller Art angeschafft, um den gesetzlichen Anforderungen gerecht zu werden. Diese Hardware fehlt im Homeoffice, und das ist längst nicht das einzige Problem. Auch im Homeoffice ist dafür Sorge zu tragen, dass Daten nicht in falsche Hände geraten. Während es hinsichtlich der Problematik kaum Zweifel gibt, bleibt bezüglich möglicher Lösungsansätze oft vieles unklar.

Dieser Artikel wirft ein Schlaglicht auf die Möglichkeiten, die DSGVO sinnvoll mit der Arbeit von zu Hause unter einen Hut zu bringen. Das umfasst Prozesse ebenso wie konkrete Handlungen, und so viel sei schon ganz am Anfang verraten: Prozesse, die verteiltes Arbeiten sinnvoll ermöglichen, sind oft genug auch der Grundstein für DSGVO-kompatibles Homeoffice.

Begrifflichkeiten

Ganz am Anfang steht allerdings die Klärung von Begriffen. Oft werden etwa Homeoffice und Fernarbeit (oder Telearbeit) synonym verwendet, nach Arbeits- und Datenschutzrecht sind sie das aber nicht.

Arbeit im Homeoffice sieht tatsächlich vor, dass ein ordentlich eingerichteter, regelmäßig nutzbarer Arbeitsplatz in den eigenen vier Wänden zur Verfügung steht. Nach Lesart vieler Juristen erfordert das sogar einen eigenen Raum, was die Möglichkeit der Arbeit am Küchentisch (Abbildung 1) zumindest theoretisch ausschließt. Die repräsentiert eher die Idee der Telearbeit, wonach Mitarbeitende mit minimalem Equipment, oft nicht mehr als einem Laptop, ihre Aufgaben praktisch überall erledigen können.

Abbildung 1: Nicht dasselbe: Homeoffice und Telearbeit werden oft synonym verwendet, sind aber rechtlich nicht dasselbe. Quelle: imtmphoto / 123RF.com

Abbildung 1: Nicht dasselbe: Homeoffice und Telearbeit werden oft synonym verwendet, sind aber rechtlich nicht dasselbe. Quelle: imtmphoto / 123RF.com

Im Hinblick auf DSGVO und Datenschutz muss man diese Arbeitsmodelle allerdings voneinander trennen. Manche Datenschutzaspekte ähneln sich zwar, doch gibt es auch signifikante Unterschiede. Dieser Artikel bemüht sich, beide Modelle bestmöglich abzudecken, muss aber zum Zwecke inhaltlicher Schärfe den Fokus manchmal auf das Homeoffice und weniger auf das mobile Arbeiten per se legen.

Die Grundlagen

Wer sich mit dem Thema Homeoffice und DSGVO beschäftigt, tut gut daran, sich zunächst die ehernen Grundsätze der DSGVO in Erinnerung zu rufen. Das gemeinsame europäische Rahmenwerk für den Umgang mit Daten legt ein paar grundlegende Details vor allem im Hinblick auf Daten mit Personenbezug sowie Sozialdaten fest.

Dabei gilt stets und prominent das Prinzip der Datensparsamkeit: Grundsätzlich zwingt die DSGVO den Anwender, überhaupt nur solche Daten zu erheben, zu verarbeiten und zu speichern, die er im operativen Alltag tatsächlich auch benötigt: Daten, die ein Unternehmen nicht hat, kann es nicht verlieren. Aus demselben Grund erlegt die DSGVO Betroffenen hohe Pflichten im Hinblick auf das Löschen von Daten auf. Grundsätzlich sind Firmen dazu verpflichtet, Daten nach bestimmten Fristen zu löschen, sofern sie sie nicht mehr benötigen. Alle diese Anforderungen gelten auch im Homeoffice.

Mancher Administrator mag sich hier bereits voreilig die Hände reiben. Personenbezogene Daten und Sozialdaten, so denken nicht wenige Verantwortliche, seien eine Sache der anderen, mit denen man es im eigenen Job schließlich nicht zu tun hat. Diese Hoffnung erweist sich in vielen Fällen allerdings als Trugschluss. An manchen Stellen ist das offensichtlich: Wer etwa administrativen Zugriff auf die Systeme hat, die die Datenbank für das eigene CRM beheimaten, bekommt es selbstredend mit personenbezogenen Daten zu tun. Wer einen Webshop betreut, findet dort ebenfalls Kundendaten zuhauf vor. Nach strenger Auslegung der DSGVO sind sogar die persönlichen Dateien von Kolleginnen und Kollegen auf Systemen, auf die man selbst als Administrator Zugriff besitzt, Daten mit Personenbezug im Sinne der DSGVO. Exemplarisch seien die Logdateien der Kommandozeile genannt, die bei der Arbeit einer Person anfallen.

Niemand ist davor gefeit, den Umgang mit personenbezogenen Daten falsch einzuschätzen. Ein in der gesamten Branche allerdings klar konstatierbarer Mangel an Wissen rund um die DSGVO führt dazu, dass selbst solche Menschen keinen persönlichen DSGVO-Bezug sehen, die mit sensibelsten Daten hantieren.

Was tun?

Die Frage, wie sich DSGVO und Homeoffice unter einen Hut bringen lassen, erscheint insofern in vielen Firmen dringlich. Dieser Artikel beleuchtet im Folgenden die relevanten Aspekte aus zwei Perspektiven – einerseits aus Sicht des Unternehmens, das die Einhaltung der DSGVO sicherstellen muss, und andererseits aus Sicht der Beschäftigten, die bei allem Bemühen um Datenschutz irgendwie in der Lage bleiben müssen, ohne allzu drakonische Einschränkungen produktiv zu arbeiten. Beide Ziele schließen sich keineswegs gegenseitig aus.

Die (harten) Fakten

Die meisten Unternehmen, die eine Möglichkeit zur (dauerhaften) Arbeit im Homeoffice einräumen, meinen damit genau das: ein eigenes Büro zu Hause (Abbildung 2). Das umfasst, um das Offensichtliche zu beschreiben, einen eigenen Raum mit abschließbarer Tür, in dem sich der Arbeitsplatz einer Person befindet. Das Schlüsselwort lautet hier “abschließbar”: Die DSGVO schreibt klar vor, dass der Zugang zu sensiblen Daten physisch eingeschränkt sein muss. Im Büro geschieht das über Systeme, die den Zugang steuern, etwa mittels Zugangskarte oder banal über Schlösser.

Abbildung 2: Damit Unternehmen wie Juristen von Homeoffice sprechen, muss es in aller Regel einen eigenen, abschließbaren Raum geben, in dem sensible Daten vor Dritten geschützt sind. Quelle: Skdesign / 123RF.com

Abbildung 2: Damit Unternehmen wie Juristen von Homeoffice sprechen, muss es in aller Regel einen eigenen, abschließbaren Raum geben, in dem sensible Daten vor Dritten geschützt sind. Quelle: Skdesign / 123RF.com

In Privathaushalten finden sich solche Systeme naturgemäß eher selten. Das kann im Kontext der DSGVO zum Problem werden, weil längst nicht jeder DSGVO-relevante Daten aus der virtuellen in die echte Welt holt. Als zentraler Punkt für Zugriff auf DSGVO-Daten eines Unternehmens aus dem Homeoffice heraus dient in aller Regel ein Computer, meist ein Laptop. Den gilt es im Hinblick auf die DSGVO ohnehin besonders zu schützen; dazu später noch mehr. Ob ein solches Gerät mit seinen Schutzmechanismen im eigenen Raum oder auf dem bereits zitierten Küchentisch steht, ist aber von untergeordnetem Interesse.

Ein mögliches Angriffsszenario wäre hier etwa, dass jemand per Fernglas Daten vom Display abliest. So banal das Szenario erscheint, so einfach ist es zu verhindern, etwa mit Sichtschutzfolie für Computer-Displays. Diese Privacy Guards kleben Betroffene sich auf den Bildschirm; sie verringern den Winkel radikal, aus dem heraus sich auf dem Gerät noch etwas lesen lässt. Wer ausschließlich digital unterwegs ist, hat hier Vorteile, denn ein großer Teil der DSGVO-Pflichten greift nicht bei Setups, in denen sich Daten ausschließlich digital im Zugriff befinden.

Aktenvernichter und Rollcontainer

Anders liegen die Dinge, wenn Mitarbeitende Daten im physischen Zugriff benötigen. Wer etwa Buchhaltung oder Vertrieb macht, muss früher oder später Dokumente ausdrucken, schafft also analoge Kopien der eigentlich digital vorhandenen Daten. Hier wird die Implementierung der DSGVO ungemütlich: Zumindest ein abschließbarer Schrank oder Rollcontainer gilt hier als zwingende Voraussetzung, um Dokumente vor den Blicken Dritter zu schützen. Die DSGVO unterscheidet dabei keineswegs zwischen einem Einbrecher und Oma Erna: Grundsätzlich müssen DSGVO-relevante Daten mit Personen- oder Sozialbezug wirksam vor den Blicken jeglicher Dritter geschützt sein.

Mancher Jurist zumindest geht davon aus, dass sich mobiles Arbeiten unter diesen Voraussetzungen nur mehr schwierig umsetzen lässt und ein tatsächlich abschließbarer Raum mit nochmals abschließbarem Schrank oder Rollcontainer Voraussetzung ist, um Datenschutz zu gewährleisten. Grundsätzlich gilt, dass die zum Schutz der Daten genutzten Mechanismen wenigstens so gut sein müssen, wie es auch im Bürogebäude der Fall wäre – mit zum Teil durchaus lustigen Nebeneffekten: Wer Daten aus dem CRM zu Hause ausdruckt, muss die Unterlagen auch DSGVO-konform wieder vernichten können.

Zumindest in der Theorie gehört in den abschließbaren Raum mithin ein DSGVO-kompatibler Aktenvernichter, und der ist nicht billig: Aktenvernichter klassifiziert man bekanntlich nach den Sicherheitsstufen P1 bis P7, wobei höhere Zahlen kleinere Partikelgrößen des geschredderten Guts bedeuten. Je feiner Dokumente geschreddert werden, desto schwieriger lassen sie sich wieder zusammensetzen. Der klassische Aktenvernichter für ein paar Euro aus dem Schreibwarenbedarf schreddert regelmäßig nur vertikal (Abbildung 3), Geräte der Schutzstufen 4 und höher zerhacken das Schreddergut in kleine Segmente. Grundsätzlich gehen Datenschützer davon aus, dass DSGVO-konformes Schreddern mindestens einen Aktenvernichter der Stufe P4 erfordert; passende Geräte gibt es im Handel ab rund 130 Euro.

Abbildung 3: Für das Verarbeiten DSGVO-relevanter Daten auf Papier im Homeoffice muss der Arbeitgeber auch ein Werkzeug zum Vernichten der Daten stellen. Schredder mit einfachem Streifenschnitt, wie der hier gezeigte, genügen dabei nicht. Quelle: Wikimedia Commons / Heiko Tobien, CC-BY-SA 4.0, https://commons.wikimedia.org/wiki/File:Streifenschnitt.jpg

Abbildung 3: Für das Verarbeiten DSGVO-relevanter Daten auf Papier im Homeoffice muss der Arbeitgeber auch ein Werkzeug zum Vernichten der Daten stellen. Schredder mit einfachem Streifenschnitt, wie der hier gezeigte, genügen dabei nicht. Quelle: Wikimedia Commons / Heiko Tobien, CC-BY-SA 4.0, https://commons.wikimedia.org/wiki/File:Streifenschnitt.jpg

Digital bleiben

Schnell wird klar: Wenn es für Mitarbeitende irgendwie machbar ist, lohnt es sich, Daten in der digitalen Sphäre zu belassen, statt sie auf Papier zu holen – und nicht nur, weil das der Umwelt nützt. Ohne die Notwendigkeit von Ausdrucken oder anderem analogen Arbeitsmaterial, das es aus DSGVO-Gründen vor den Augen Dritter zu schützen gilt, lassen sich die Arbeit im Homeoffice und Remote Working viel angenehmer bewerkstelligen. Automatisch alles in Butter ist aber auch in diesen Szenarien noch nicht, denn noch immer existieren genug Fallstricke mit DSGVO-Bezug.

Strikt trennen

Manche Faktoren sind dabei schmerzhaft offensichtlich. Eine Unsitte etwa, die in vielen Unternehmen mit dem steigenden Anteil von Telearbeit um sich greift, ist das Vermischen von beruflicher und privater Nutzung der zur Verfügung gestellten Hardware. Manche Arbeitsverträge sehen sogar explizit vor, dass Mitarbeitende das dienstliches Equipment auch für private Zwecke nutzen dürfen, etwa um während der Arbeitszeit die privaten Mails zu checken.

Im Büro mögen solche Regelungen bis zu einem bestimmten Grad sinnvoll sein, weil das Personal dann nicht den eigenen Laptop mitbringen muss, um private Mails zu lesen (obgleich Smartphones das heute ebenfalls recht bequem ermöglichen). Im Homeoffice wirkt die Idee zumindest eingangs ebenfalls attraktiv: Wenn nur ein Laptop auf dem Schreibtisch steht, spart das Platz und administrativen Aufwand.

Was jung, dynamisch und flexibel scheint, birgt im DSGVO-Kontext aber manche handfeste Gefahr. Regelmäßig findet etwa Software den Weg auf private Systeme, die man auf dem Dienstgerät nicht installieren würde. Verschwimmen die Grenzen zwischen privater und dienstlicher Nutzung nun also, erhöht das implizit die von Drittanbietersoftware ausgehende Gefahr für die dienstlichen Daten.

BYOD ist kaum kompatibel

Hinzu kommt ein anderer Faktor: Praktisch müssen Unternehmen für sich nämlich Mittel und Wege finden, die Geräte von Mitarbeitenden zuverlässig aus der Ferne zu löschen, und zwar schon aus ganz praktischen Überlegungen heraus. Ein großer Nachteil mobiler Geräte wie Laptops oder Smartphones ist ja gerade, dass sie viel leichter abhanden kommen können.

Eben deshalb sind Smartphones heute per Security Policy unmittelbar mit der Geräteverwaltung von Google oder Apple verknüpft, wo Admins über die zentrale Steuerkonsole per Mausklick einem Gerät aus der Ferne den Garaus machen können, sollte es verloren gehen. Das macht das Gerät für Diebe praktisch unbrauchbar, weil einerseits die alten Daten gelöscht sind, andererseits aber eine Registrierungssperre die Neukonfiguration unmöglich macht. Speichert eine Kollegin oder ein Kollege private Daten auf einem dienstlichen Smartphone, verschwinden im Falle eines Falles freilich auch diese Daten im Orkus.

Eben dieser Umstand macht Bring your own Device (BYOD) eher kompliziert: Mitarbeitende müssten bereit sein, ihre privaten Geräte unter die Hoheit der Geräteverwaltung des Unternehmens zu stellen. Das mag im Einzelfall klappen, doch den meisten dürfte bei dem Gedanken schummrig werden, zumal die Fernwartungsdienste von Google und Apple auch eine umfangreiche Überwachung ermöglichen. So bequem es also auch scheinen mag: Aus DSGVO-Sicht gewinnen Unternehmen wie Mitarbeitende viel, wenn sie die strikte Trennung privater und dienstlicher Inhalte vorschreiben und vollziehen.

Spielregeln für Notebooks

Mobile Geräteverwaltung ist vor allem für Smartphones umfassend und komplett implementiert. Bei ausgewachsenen Laptops finden sich entsprechende Funktionen eher selten. Auch hier gibt es allerdings Spielregeln, die Unternehmen beachten müssen. So gehört es zum guten Ton, die Datenträger mobiler Geräte mittels der vom Betriebssystem dafür vorgesehenen Funktionen zu verschlüsseln. Bei Windows kommt dann etwa Bitlocker zum Einsatz, bei Linux LUKS2 und bei MacOS Filevault. Falls das jeweilige Gerät es zulässt, kommt grundsätzlich auch infrage, den Bootvorgang oder die dazu gehörende BIOS-Konfiguration per Passwort einzuschränken. Das verhindert im Falle eines Diebstahls, dass Ganoven das Gerät anderweitig weiterverwenden. Ähnliche Regeln müssen für externe Datenträger gelten: Auch sie sind unbedingt zu verschlüsseln, bevor man sie produktiv nutzt (Abbildung 4).

Abbildung 4: Portable Geräte wie Smartphones oder Laptops sollten unbedingt für die Verwendung verschlüsselter Datenträger konfiguriert sein. So bleiben Daten auch nach einem Diebstahl geschützt.

Abbildung 4: Portable Geräte wie Smartphones oder Laptops sollten unbedingt für die Verwendung verschlüsselter Datenträger konfiguriert sein. So bleiben Daten auch nach einem Diebstahl geschützt.

Alle gängigen Betriebssysteme einschließlich der bekannten Desktop-Distributionen bieten Möglichkeiten, die vollständige Verschlüsselung externer Geräte zu erzwingen. Wer als Arbeitgeber seine Beschäftigten aus der Ferne arbeiten lässt, tut gut daran, von diesen Features Gebrauch zu machen. Das schützt Daten im Falle eines Gerätediebstahls, ohne im Alltag nennenswerte Probleme hervorzurufen. Da handelsübliche Prozessoren einen Teil der Kryptografie heute ohnehin selbst berechnen, entstehen in den meisten Fällen auch keine Performance-Nachteile.

Das größere Ganze

Ein Artikel, der auf die Vereinbarkeit von entfernter Arbeit sowie DSGVO eingeht, kann die Prozesse und Mechanismen innerhalb einer Firma nicht unberücksichtigt lassen. Wer die Anforderungen der DSGVO erfüllen will, der braucht im Unternehmen Spielregeln, die denen entfernter Arbeit in vielerlei Hinsicht sehr ähneln. Ein paar Beispiele sollen das verdeutlichen.

In vielen Unternehmen war es vor Corona etwa üblich, im Rahmen der Kommunikation von Schreibtisch zu Schreibtisch zentrale Details und Informationen weiterzugeben. Oft kam dafür auch der berühmte Flurfunk an der Kaffeemaschine zum Einsatz. Auf das Wesentliche reduziert, handelt es sich dabei um eine Art von Kommunikation, die im geschützten Rahmen – im Büro – stattfindet und so implizit dafür sorgt, dass die geteilten Informationen im kleinen Kreis bleiben. Wer regelmäßig aus der Ferne arbeitet, weiß aber: Diese Art der Kommunikation funktioniert für Remote-Arbeit nicht.

So grotesk es aus heutiger Sicht auch wirkt: Viele Unternehmen haben in Vor-Pandemie-Zeiten versucht, Arbeit aus der Ferne mit technischen Mitteln in ein sehr ähnliches Korsett zu zwängen. Wer etwa schon einmal mit der IT-Hardware großer Enterprises gearbeitet hat, der weiß: Die Geräte werden oft derart zugenagelt, dass ihr Nutzen ernsthaft in Zweifel steht. Ohne VPN-Verbindung sind sie praktisch wertlos, weil die ausgebenden Stellen durch völlige Kontrolle den Abfluss von Daten zu verhindern suchen.

Unternehmen, die zum Beispiel VPN zum zentralen Baustein ihrer Remote-Strategie gemacht haben, waren es im Rahmen der Pandemie oftmals auch, die schmerzlich lernen mussten: Es ist nicht ganz trivial, eine VPN-Infrastruktur auf die Beine zu stellen, mittels derer Zehntausende Mitarbeitende flüssig und effektiv arbeiten können (Abbildung 5). Ganz gleich ob vor Ort im Büro oder auf bis zur Unbrauchbarkeit entstellten mobilen Clients: Das Prinzip, wonach der Zugriff auf bestimmte Daten nur an bestimmten (virtuellen) Orten möglich ist, muss letztendlich als gescheitert gelten.

Abbildung 5: VPNs gelten bis heute in vielen Unternehmen als Standard für den Zugriff auf Daten von außerhalb. Solche Ansätze erschweren die DSGVO-konforme Datenhaltung erheblich. Quelle: Viscosity

Abbildung 5: VPNs gelten bis heute in vielen Unternehmen als Standard für den Zugriff auf Daten von außerhalb. Solche Ansätze erschweren die DSGVO-konforme Datenhaltung erheblich. Quelle: Viscosity

RASCI und RBAC

Dabei handelt es sich übrigens um keine neue Erkenntnis. Google tingelt seit Jahren mit seinem BeyondCorp-Produkt durch die Lande. Netflix offeriert ein ähnliches System namens LISA (Location Independent Security Approach). Vergleichbare Konzepte firmieren in der IT heute unter dem Oberbegriff Zero Trust: Kein Client gilt als vertrauenswürdig, jeder Zugriff auf Daten bedingt die vorherige Authentifizierung über mehrere, voneinander unabhängige Merkmale. Sämtliche Kommunikation hat zudem verschlüsselt zu erfolgen, damit Dritte keine Daten im Transit abschnorcheln können.

Den meisten Zero-Trust-Ansätzen ist heute zudem gemein, dass sie eine zentrale Benutzerverwaltung und darauf aufbauend eine zentrale Rechteverwaltung vorschreiben. Schon bevor ein Client sich überhaupt am System anmeldet, steht also fest, auf welche Daten er Zugriff erhält. Einmal mehr sei an den Grundsatz der Datensparsamkeit in der DSGVO erinnert: Daten, auf die Mitarbeitende keinen Zugriff haben, können sie auch nicht verlieren oder verkaufen. Die Grundlage für RBAC (Role Based Access Control) muss folgerichtig eine gut gepflegte RASCI-Matrix (Responsible, Accountable, Support, Consulted, Informed) sein, die festlegt, wer welche Daten verantwortet.

Kommunikationskultur

Es gibt noch einen weiteren zentralen gemeinsamen Faktor zwischen einem Zero-Trust-Ansatz und dem Streben nach sinnvoller DSGVO-Kompatibilität im Homeoffice. Gerade dass der spontane Tratsch an der Kaffeemaschine nicht mehr ohne Weiteres möglich ist, macht es in verteilten Umgebungen schwieriger, alle relevanten Personen an allen relevanten Informationen teilhaben zu lassen. Das Rückgrat verteilter Arbeit ist deshalb eine funktionale, auf diesen Umstand ausgerichtete Kommunikationskultur. Einmal implementiert, vereinfacht sie auch das Beachten der DSGVO-Regeln deutlich.

So gilt bei Remote Work etwa der Grundsatz, dass jede nicht systematisch schriftlich erfasste Information praktisch nicht existiert, weil sie mit einiger Wahrscheinlichkeit nicht allen relevanten Personen zur Verfügung steht. Im Umkehrschluss bedeutet das, dass Unternehmen, die entfernte Arbeit ermöglichen wollen, ein zentrales Wissensmanagement benötigen, das alle wichtigen Details umfasst. In vielen Firmen finden sich bereits Instanzen von Confluence und Konsorten, die diese Funktionalität zu liefern in der Lage wären und die sich obendrein perfekt mit den zuvor beschriebenen Technologien wie RBAC verheiraten lassen. Deren Einsatz scheitert vielerorts jedoch an der strukturierten Nutzung solcher Systeme.

Das ist doppelt bitter: Aus einem Confluence etwa lassen sich Daten, die nicht mehr benötigt werden, relativ leicht entfernen – und zwar dauerhaft und ohne sich über irgendwelche Clients Gedanken machen zu müssen. Abgesehen von der beschriebenen Notwendigkeit verschlüsselter Datenträger muss ein Client in einer Zero-Trust-Architektur praktisch kaum noch Bedingungen erfüllen, um sinnvoll und DSGVO-konform zu sein. Das vereinfacht nicht zuletzt den Aufwand für den Betrieb etwaiger Geräte massiv. Dass der Zwang zu einer eigenen VPN-Infrastruktur dabei entfällt, ist eine willkommene Zugabe.

Fazit

Homeoffice, entferntes Arbeiten und DSGVO lassen sich durchaus in Einklang bringen, wenn Unternehmen wie Mitarbeitende simple Regeln befolgen. Grundsätzlich gilt: Daten sollten nach Möglichkeit den digitalen Raum nicht verlassen. Verschlüsselung muss zum Einsatz kommen, wo immer sie zur Verfügung steht. Eine erlernte und gepflegte Komunikationskultur auf Basis zentraler Dienste in Verbindung mit einer zentralen Nutzer- und Rechteverwaltung schützt nicht nur die Daten. Sie erlaubt zudem quasi im Vorbeigehen eine effiziente Arbeit aus der Ferne ohne Krücken wie ein VPN. Unternehmen, die heute noch nicht für Zero Trust aufgestellt sind, sollten keine weitere Zeit verlieren und sich auf diese (durchaus beschwerliche) Reise machen: DSGVO-Kompatibilität fällt dabei quasi als Nebenprodukt ab. (jcb/jlu)

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 6 HeftseitenPreis €0,99
(inkl. 19% MwSt.)
LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben