Aktuelles Urteil des BGH – Aktives Ja zu Cookies muss sein

Gavel, scales of justice and law books

Neues BGH Urteil

Aktives Ja zu Cookies muss sein

Internet-Cookies sammeln Nutzerdaten. Oft ist die Erlaubnis dazu voreingestellt, doch das darf nicht sein, hat der Bundesgerichtshof entschieden. Die Nutzer müssten aktiv ankreuzen, wenn sie einverstanden seien.

Gavel, scales of justice and law books

Wer auf Internetseiten Cookies setzen will, mit denen ein Anbieter das Verhalten des Nutzers im Internet erfasst, ein Nutzerprofil von ihm erstellt und ihm dann darauf abgestimmte Werbung zusendet, der braucht in jedem Fall die aktive Zustimmung des Nutzers. Ein voreingestellter Haken im Feld zur Cookie-Einwilligung benachteilige den Nutzer unangemessen.

Das entschied der Bundesgerichtshof (BGH) in einer Klage gegen einen Gewinnspielanbieter. Eine Gewinnspielseite enthielt ein Kästchen, das bereits mit einem Häkchen versehen war. Dadurch stimmte der Internetnutzer dem Setzen von Cookies zu Werbezwecken automatisch zu so der BGH.

Mitarbeiter sicher ins Homeoffice verlagern

Man sitting at desk working from home on computer

Mitarbeiter sicher ins Homeoffice verlagern

Durch die Covid19 Krise werden Unternehmer immer wieder vor neue Herausforderungen gestellt. Dabei stellt sich unter anderem auch die Frage wie gewährleiste ich, dass meine Mitarbeiter im Homeoffice halbwegs sicher arbeiten können. Wer den völligen Stillstand in seinem Unternehmen verhindern möchte, dem sei es anzuraten sich mit dieser Thematik zu beschäftigen. Es sei allerdings vorab angemerkt: Ohne entsprechenden Aufwand und auch finanzielle Mittel läßt sich das nicht umsetzen.

Wir werden versuchen Ihnen Ansätze zur Umsetzung dieser Thematik zu vermitteln.

Office workplace with keyboard, notepad, glasses and pen

1. Vorbereitung und Abstimmung mit den Mitarbeitern

Zunächst ist eine Abstimmung mit den Mitarbeitern hinsichtlich Home Office als Arbeitsort erforderlich. Sie haben noch keine Regelung zum Home Office, keine Bange, sprechen Sie mit Ihren Mitarbeitern und erklären Ihnen, dass:
– die Arbeit von zu Hause/ aus dem Home Office, ab sofort erlaubt ist 
– sich die Regeln nach den IT- und Datenschutzrichtlinien für das Home Office richten (dazu unter 5. mehr) 

Eine Absprache mit den Mitarbeitern ist als “Dringend nötig!” Wenn im Arbeitsvertrag des Mitarbeiters/der Mitarbeiterin das Büro als Arbeitsplatz festgelegt ist, können Sie diese nicht einfach ins Home Office schicken. In der aktuellen Lage werden die Mitarbeiter sich vermutlich freuen die Möglichkeit zu haben von zu Hause aus zu arbeiten. Durch die Unterzeichnung der IT– und Datenschutzrichtlinien (mehr dazu bei 5.) für das Home Office, können Sie die Zustimmung zur Arbeit von zu Hause einholen. 

2. Abstimmung mit den Mitarbeitern hinsichtlich der Nutzung ihrer eigenen Hardware dem Grunde nach 

Sie können Ihre Mitarbeiter*innen nicht anweisen Ihre privaten Geräte für die Arbeit zu gebrauchen. Deswegen stimmen Sie sich mit Ihnen ab. Auch hier werden Ihre Mitarbeiter*innen, angesichts der aktuellen Lage, im Zweifel bereit sein, Ihre privaten Geräte zu nutzen (und wenn auch nur bis Arbeitsgeräte an geschaffen wurden), um im Home Office arbeiten zu können und dadurch sich und andere zu schützen. 

Aus Gründen des Datenschutzes und der Datensicherheit ist es wichtig, passende IT- und Datenschutzrichtlinien für das Home Office zu vereinbaren, die die Mitarbeiter auf Pflichten zum Datenschutz und der IT- Sicherheit, wenn Sie Ihre eigenen Geräte dienstlich nutzen. Deswegen müssen Sie die folgenden Aufwendungen aufbringen. 

3.  Sichere Kommunikation und Ablage der Daten
VPN-Tunnel oder Zur Verfügungstellung einer sicheren Cloud-Lösung (inkl. Backup-Funktionen) 

Natürlich müssen die Mitarbeiter*innen weiterhin an Ihre Arbeitsdokumente herankommen und diese nach Bearbeitung auch sicher ablegen können.  

1. Möglichkeit: Einrichtung eines „Virtuell-Private-Networks“ – VPN 

Vereinfacht, es wird ein privates, geschütztes Netzwerk geschaffen, wodurch Ihre Mitarbeiter von zu Hause aus auf den Server der Firmer zugreifen können. Um dies zu ermöglichen müssen VPN-Zugänge/Schnittstellen auf dem Firmenserver eingerichtet sein, oder eingerichtet werden. Den Mitarbeiter*innen muss nun die VPN-Einstellung mitgeteilt und das VPN auf Ihrem Laptop eingerichtet werden. Wenn Sie selbst nicht über hinreichende IT-Kenntnisse verfügen und zurzeit auch nicht auf hinreichenden IT-Support zurückgreifen können, gibt es noch eine weitere Lösung. 

2. Möglichkeit: Sicherer Cloudanbieter mit automatischen Backup-Funktion 

Wenn Sie sich nun Sorge bei der Bezeichnung Cloud haben, Ihr Server ist auch eine Art Cloud – ein Server, auf den Ihre Mitarbeiter*innen zugreifen. Und vermutlich ist dieser nicht so gut gesichert wie die Server und Cloudlösungen, die nun vorgestellt werden. Hier werden exemplarisch nur ein paar genannt, um den Rahmen nicht zu sprengen. Zwei Anbieter bieten Ihnen Cloud-Services zur Speicherung von Daten, Backups, sowie einfache Lösungsmöglichkeiten zum sicheren Versenden von Daten an Firmenexterne/Dritte und kollaborativen Zugriff auf diese Dateien mit Berechtigungskonzepten, diese sind Dracoon und Teamdrive. Der Vorteil dieser ist, dass sie die Daten sowohl beim Hoch- wie auch Runterladen Ende-zu-Ende verschlüsselt sind. Der Schlüssel liegt nicht bei den Anbietern, sondern nur bei Ihnen, somit können nur Sie auf die Dateien zugreifen. Beide arbeiten DSGVO-konform (mit European Privacy Seal) und sind ISO-zertifiziert. OneDrive, G-Suite und Dropbox Pro bieten Ihnen das nicht. Die Einrichtung ist einfach und von jedem umsetzbar. Ihr Unternehmen muss nur den Client herunterladen (Webanwendung kann auch genutzt werden), Schlüssel gemäß der Anwendung erstellen und die Speicherplätze mit der Anwendung verbinden. Danach werden die Mitarbeiter*innen in die Anwendung bzw. den Speicherplatz eingeladen, die Zugriffsrechte können dezidiert vergeben werden, was bedeutet jede/r Mitarbeiter*in kann zu bestimmten Speicherplätzen eingeladen werden und zu anderen nicht. Außerdem können diese Zugriffe noch konfiguriert werden – z.B. nur Lesen, Lesen&Schreiben, Lesen&Schreiben&Löschen. Sobald die Verbindung erfolgt ist, sehen die Mitarbeiter*innen dies auf Ihren Computern und können auf die Speicherplätze zugreifen. Für die Mitarbeiter*innen ist die Installation auch einfach. 

Wir empfehlen die Cloud-Lösung. Sie ist einfacher und geht schneller als das Einrichten eines VPN. Außerdem haben Sie ein vernünftiges Backup und die Möglichkeit Berechtigungskonzepte ein- und umzusetzen. Das Löschen von Daten obliegt weiterhin nur Ihnen und Sie können jeder Zeit die Verbindung auf dem Heimcomputern Ihrer Mitarbeiter*innen trennen.  

Diese Lösung ist sinnvoll, vor allem wenn bisher keine Infrastruktur besteht. 

4. E-Mail 

Wir gehen heute davon aus, dass nahezu jeder E-Mailanbieter ein Webinterface für die Nutzung von E-Mails bereitstellt. Nahezu alle gängigen Lösungen wie zum Beispiel Exchange von Microsoft. Falls diese Methode in ihrem Unternehmen nicht genutzt wird, so sollte ich die Aktivierung des Webinterfaces jedoch durch einen Klärung mit dem Anbieter auch nachträglich freischalten lassen. Nahezu in jedem fall lassen sich auch bei eigenenen Firmendomains die Mails über IMAP oder POP abrufen. Im Optimalfall haben Ihre Mitarbeiter*innen schon die Möglichkeit sich per Weboberfläche auf Ihr Postfach zuzugreifen. Also geben Sie die Anweisungen den Webaccess zu nutzen. Verbieten Sie den Download der E-Mails auf den privaten Computern z.B. durch das Einrichten des E-Mail Accounts im eigenem Outlook, denn dadurch haben Sie keine Kontrolle mehr über die heruntergeladenen E-Mails.  

5. Knackige IT- und Datenschutzrichtlinie für Home Office und B-/UYOD 

BYOD – bring your own device 

Wenn Sie später keine Probleme im Bereich IT-Sicherheit und Datenschutz bekommen wollen, sollten Sie sich an diese Regeln für eine IT- und Datenschutzrichtlinie orientieren, da Sie damit die Sicherungsmaßnahmen dokumentieren (organisatorische Maßnahmen i.S.v. Art. 32 DSGVO). 

a. Regelung zum Home Office an sich 

Sie müssen sicherstellen, dass das Home Office gemäß den folgenden Regelungen gestattet ist, auch wenn der Arbeitsvertrag bisher vorsah, dass Ihre Mitarbeiter*innen ausschließlich im Büro/in der Firma arbeiten. 

b. Regelung zu UYOD – Verpflichtung, das Device umgehend zu sichern (neueste Updates, Virenschutz), Kosten 

Der Gebrauch der privaten Endgeräte für dienstliche Tätigkeiten muss geregelt werden, dazu müssen Ihre Mitarbeiter*innen sich verpflichten: 
die Software des Geräts auf dem neusten Stand zu halten  

  • Systemupdates herunterladen/installieren 
  • auch die des Virenschutzprogrammes 
  • Systemeinstellungen zu überprüfen und die datenschutzfreundlichste Einstellung einzustellen (z.B. Ausschalten von Cortana und ähnlichen) 

Geben Sie dazu Hinweise, wie das umzusetzen ist. Wenn einer Ihrer Mitarbeiter*innen über keinen Internetzugang bzw. nur einen eingeschränkten in Form von begrenzten Datenvolumen verfügt, sollten Sie eine Regelung für die anfallenden Kosten finden. Allerdings heutzutage nur noch selten nötig. 

c. Speicherung von Dokumenten/Daten 

Die Dokumente dürfen nur auf den dafür vorgesehenen Speicherplätzen, in ihrem Cloud-System abgelegt werden oder im Falle der Nutzung des VPN ausschließlich auf dem Firmenserver. Sollten Dokumente zwischenzeitlich auf den privaten Endgeräten gespeichert werden, klären Sie, dass die Dokumente sobald diese dem Firmenserver übermittelt wurden umgehend gelöscht werden. Verpflichten Sie Ihre Mitarbeiter*innen dazu! 

d. Passwörter 

Weisen Sie Ihre Mitarbeiter*innen an für alle Accounts (Cloudspeicher, Mail, VPN Zugang und alle anderen) ein sicheres Passwort zu nutzen.  

  • sicher bedeutet min. 20 Zeichen, Zahlen und Sonderzeichen.  

  • dies einzuhalten sollte obligatorisch sein 

e. Datenschutz im Home Office: Sichtschutz, Dokumente nach der Arbeit weglegen und verschließen.  Arbeitsplatz sperren etc. 

Außerdem müssen Ihre Mitarbeiter*innen darauf achten den Datenschutz einzuhalten, soll heißen er oder sie müssen so arbeiten, dass Betriebsfremde (darunter fällt auch die Familie) keine Sicht auf die Dokumente und die Arbeit nehmen können. Der virtuelle Arbeitsplatz muss gesperrt werden sobald der Computer verlassen wird und Dokumente weggeschlossen. Um dies zu ermöglichen, stellen Sie einfach abschließbare Boxen zur Verfügung. 

f. Sanktionsandrohung bei Verstößen 

Damit die Regelungen rechtsverbindlich sind, Sie sie im Zweifel auch durchsetzen können und ein Organisationsverschulden Ihrerseits bestmöglich ausgeschlossen wird, bedarf dieses Dokument, wie jedes arbeitsrechtliche Dokument, auch der Sanktionsandrohung bei Verstößen. Das heißt, Sie müssen klar darlegen, dass Verstöße gegen die Richtlinie mit arbeits-, zivil- sowie gegebenenfalls strafrechtlichen Konsequenzen verbunden sein wird (Abmahnungen, Kündigung, Schadensersatz). 

Diese Richtlinie soll verbindlich sein! Sie müssen nachweisen, dass Ihre Mitarbeiter*innen diese Richtlinien gesehen und die darin enthaltenen Verpflichtungen eingewilligt haben, am Einfachsten lösen Sie das durch die Unterschrift Ihrer Mitarbeiter*innen.  

6. Erläuterungen für die Mitarbeiter*innen 

WICHTIG: Sie haben Ihre Mitarbeiter*innen ohne umfassende Vorbereitung ins Home Office geschickt und diese nutzen aus er Not heraus Ihre privaten Geräte á la UYOD, sprechen Sie mit Ihnen und stellen Sie Erläuterungen zur Verfügung: 

  • kommunizieren Sie, dass gemeinsam eine verbindliche Regelung für die Arbeit von zu Hause getroffen werden muss, um spätere Streitigkeiten zu verbinden  und weil es eine gesetzliche Anforderung ist 

erläutern Sie 

  • wie sichert man den Laptop 
  • woher Updates bekommen 
  • wie aktiviert man den Virenschutz  

Anleitungen dazu finden Sie im Netz 

  • wie richtet man den VPN- Zugang ein, oder 
  • wie nutzt man die Cloud-Lösung 
  • wie gelangt man über die Weboberfläche an die E-Mails(wenn es bisher keinen Webaccess gabe) 

und nicht vergessen  

  • rufen Sie die Probleme des Social Engineerings und Social Hacking in Erinnerung  

Die bessere und einfachere Variante: Firmenlaptops 

Ihre Mitarbeiter*innen verfügen bereits über mobile firmeneigene Geräte. Perfekt! Denn das bedeutet der Laptop für das Home Office ist von Seiten der Sicherheit und Updates auf dem neusten Stand und vermutlich liegt auch schon ein Zugang zum VPN vor.