Auch wenn im Homeoffice gearbeitet wird, müssen die Bestimmungen der Datenschutzgrundverordnung (DSGVO) eingehalten werden. Vertrauliche Daten dürfen entsprechend nicht einfach im Hausmüll entsorgt werden und in die falschen Hände geraten. Das birgt auch Haftungsrisiken für Versicherungsvermittler.
Was tun, wenn man im Homeoffice arbeitet - und Dokumente von Kundinnen und Kunden nicht mehr braucht? Klar ist: auch wer zuhause arbeitet, muss die Datenschutzgrundverordnung (DSGVO) einhalten. Und folglich gewährleisten, dass persönliche Daten von dem betreuten Kundenstamm entsprechend geschützt werden. Darauf macht aktuell die R+V Versicherung in ihrem Infocenter aufmerksam.
„Wer in der eigenen Wohnung arbeitet, darf zum Beispiel nur die vom Arbeitgeber bereitgestellte Hard- und Software nutzen. Private USB-Sticks oder lokale Festplatten sind tabu“, erklärt Roland Weiß, Sicherheitsexperte bei der R+V Versicherung. Entsprechend empfiehlt er, diese sensiblen Infos nur auf gesicherten Servern über einen VPN-Zugang zu speichern - oder auf der Hardware des Arbeitgebers.
Dasselbe gilt auch, wenn man Unterlagen bereits ausgedruckt hat. Die Dokumente einfach in den Hausmüll werfen, ist in diesem Fall tabu. Hier empfiehlt Weiß, ein Aktenvernichtungsgerät zu verwenden oder die Dokumente mit zum Arbeitgeber zu nehmen und dort datenschutzgerecht zu entsorgen - sofern das Büro nicht im eigenen Haus ist. „Noch besser ist es natürlich, gar nicht zu drucken – für den Datenschutz und die Umwelt.“
Mitunter lässt es sich im Homeoffice nicht vermeiden, dass der Wohnraum auch für die Arbeit benutzt wird. „Ein eigenes Zimmer ist aus Sicht des Datenschutzes natürlich der Idealfall. Vorgeschrieben ist es jedoch nicht“, sagt Weiß. Ein abschließbarer Schrank oder Rollcontainer könne hier aber Abhilfe schaffen. Zudem sollten alle Arbeitsgeräte mit sicheren Passwörtern geschützt und Videokonferenzen nicht auf dem Balkon oder der Terrasse gehalten werden.
Vermehrt Cyberangriffe im Homeoffice
Dass Kriminelle die veränderten Bedingungen im Homeoffice zu nutzen wissen, hat Richard Renner, Geschäftsführer bei der Perseus Technologies GmbH, bereits im ersten Lockdown beobachtet. Hier habe es einen 220-fachen Anstieg von Spam-Mails gegeben. „Im Namen von Banken und offiziellen Stellen, wie Behörden und Ministerien, sind Nachrichten mit schadhaften Anhängen verschickt worden“, berichtete Renner im Versicherungsbote-Interview.
Oft seien Mitarbeiter in den Spam-Mails vermeintlich aufgefordert worden, Familien- und Krankenurlaub einzutragen. „Die Kriminellen spielen hier bewusst mit der Angst und Unwissenheit der Menschen im Zuge der Corona-Krise“, weiß Renner. Oft würden die Kriminellen hierbei vortäuschen, dass die Mails von Vorgesetzten oder Kollegen kommen - Infos, die man leicht auf Unternehmens-Webseiten bekommen kann.
Die strengen Datenschutz-Anforderungen gelten auch für Plattformen und Konferenz-Systeme, die Versicherungsvermittler für die Beratung einsetzen. Werden entsprechende Plattformen aus einem Drittland verwendet, das nicht EU-Gesetzgebung unterliegt -hierzu gehören auch die USA-, ist die Einwilligung des Kunden bzw. der Kundin vonnöten, wie Andreas Sutter, Director protect beim Digitaldienstleister disphere interactive, in einem Gastbeitrag für Versicherungsbote aufklärte. Die Einwilligung muss sauber dokumentiert sein und darf nicht durch vorangekreuzte Auswahlfelder erfolgen. Auch ist es notwendig, über die Risiken der Nutzung aufzuklären.