Der Ausbruch von COVID-19 und die Pandemie haben dazu geführt, dass das gesamte öffentliche Leben in einer nie da gewesenen Form verändert wurde. Eine Vielzahl von Ihnen arbeitet seit Wochen im Homeoffice oder mobil. Zudem werden verstärkt Technologien wie Cloud-Speicher, Videokonferenzen oder Kollaborationsplattformen wie Microsoft Teams, Zoom oder Slack im Unternehmen eingesetzt. Dadurch ergeben sich in diesen Krisenzeiten eine Vielzahl von neuen Herausforderungen, die Sie meistern müssen.

Mit diesen praxisbezogenen Tipps und Best-Practice-Anleitungen können Sie den Datenschutz auch in Krisenzeiten wahren. Dies gilt für die Arbeitsplätze und Verfahren im Unternehmen genauso wie für die im Homeoffice. Helfen Sie Ihrem Unternehmen, die gesetzlichen Sicherheitsvorkehrungen einzuhalten und datenschutzkonform zu handeln.

Bei Rückfragen wenden Sie sich vertrauensvoll an Ihre Datenschutzbeauftragte/Ihren Datenschutzbeauftragten.

Plötzlich im Homeoffice?


Datenschutz und die Informationssicherheit gelten auch im Homeoffice!
Im Zuge der Corona-Pandemie hat sich vieles im Alltagsleben sehr schnell verändert. Dazu gehört auch das Arbeiten von Zuhause (Homeoffice, Telearbeit). Üblicherweise ist die Einrichtung eines Heim-Arbeitsplatzes mit viel Vorbereitung verbunden, um zum Beispiel auch den Datenschutz am heimischen Arbeitsplatz in gleichem Maße wie im Büro zu gewährleisten.

Da Sie sehr spontan ins Homeoffice wechseln mussten, haben wir einige einfache Regeln und Hinweise für den Umgang mit personenbezogenen Daten, die Sie auch sofort umsetzen können.

Arbeitsplatz im Homeoffice einrichten
Achten Sie bei der Einrichtung ihres Arbeitsplatzes in den eigenen vier Wänden nicht nur darauf, dass Sie ungestört, angenehm und effektiv arbeiten können:

1. Am besten ist ein Arbeitsplatz in einem eigenen Raum oder in einer eigenen Ecke. Wählen Sie den Platz so, dass andere nicht den Bildschirm sehen können – auch nicht durch ein Fenster. Eine Sichtschutzfolie für den Monitor kann dies unterstützen.

2. Da Sie Ihren privaten Internet-Anschluss verwenden: Richten Sie Ihren Computer so ein, dass er mit dem privaten Netzwerk durch ein Kabel oder ein verschlüsseltes WLAN verbunden ist. Ihr WLAN sollte ohnehin so eingerichtet sein, dass man sich nur mit einem Passwort einwählen kann.

3. Achten Sie auch darauf, dass Ihre Geräte nicht zugänglich sind, wenn Sie den Raum verlassen, z. B. abends nach getaner Arbeit.

Nachdem Sie dies alles beachtet haben, überlegen Sie noch einmal selber, wo Risiken lauern können.

Mit Vorgesetzten klären
Der Arbeitsplatz zu Hause bringt einige Fragestellungen mit sich, die mit den Vorgesetzten geklärt werden müssen. Bei spontan eingerichteten Homeoffice-Arbeitsplätzen ist mindestens Folgendes zu beachten: Dokumente, an denen Sie arbeiten, und Ihre Arbeitsergebnisse speichern Sie ausschließlich im Netz der SaarLB. So kann auch die übliche Datensicherung (Backup) gewährleistet werden. Legen Sie gemeinsam fest, wie Sie untereinander und nach außen erreichbar sind und wie Sie Datenschutzrisiken vermeiden.

Sollen beispielsweise private Telefone verwendet werden, müssen Sie sicherstellen, dass automatisch gespeicherte Anrufkontakte regelmäßig gelöscht werden. Zumeist ist es sinnvoll, dass Ihre private Nummer bei Ihren Anrufen nicht übertragen wird, weil sonst Kundinnen und Kunden Ihre Privatnummer des Handys oder Ihres Haushalts auch in späteren Kontakten nutzen könnten.

Für den Fall eines Datenverlusts (z. B. Verlust eines Notebooks) oder eines Datenschutzverstoßes (z. B. Zugang von Unbefugten an den Computer) besteht eine Meldepflicht. Hier muss auch für das Arbeiten im Homeoffice klar sein, dass Sie dies unverzüglich melden müssen.

Beim Arbeiten im Homeoffice beachten
Bei der Arbeit im Homeoffice sollten Sie die gleichen Sicherheitsanforderungen wie an Ihrem Arbeitsplatz im Büro berücksichtigen. Sie sollten sich an folgenden Maßnahmen orientieren:

1. Organisieren Sie Ihren Arbeitsplatz so, dass sich private und dienstliche Daten nicht mischen.

2. Wenn Sie Ihren Arbeitsplatz kurzfristig verlassen, aktivieren Sie den Bildschirmschoner mit Kennwortschutz, damit niemand unberechtigt auf Ihre dienstlichen Daten zugreifen kann.

3. Achten Sie beim Verlassen des Arbeitsplatzes darauf, dass Türen und – vor allem im Erdgeschoss – Fenster verschlossen bzw. geschlossen sind, um eine unbefugte Kenntnisnahme, einen Verlust oder eine Veränderung von Daten zu verhindern.

4. Wenn Sie am häuslichen Arbeitsplatz dienstlich telefonieren müssen, dann achten Sie da- rauf, dass Sie dafür einen ungestörten Bereich aufsuchen, damit andere Personen im Haushalt keine Kenntnis von Ihrem Telefonat nehmen können.

Bei Fragen wenden Sie sich an Ihren Vorgesetzten.

Clean Desk. Was heißt das im Homeoffice?


Ich muss stets verhindern, dass während meiner Abwesenheit Unbefugte Zugriff auf vertrauliche Informationen erhalten. Die nachfolgenden Punkte muss ich hier beachten:

Büroraum im privaten Umfeld
1. Ich bewahre (streng) vertrauliche Daten sicher auf (abschließbarer Schrank usw.).
2. Ich schließe ggf. den Raum ab, wenn ich ihn verlasse.

IT-Systeme
1. Ich sperre meine IT-Systeme beim Verlassen (WIN- und L-Tasten).
2. Ich fahre meine IT-Systeme am Ende des Arbeitstags herunter.
3. Ich verwende sichere Anmeldepasswörter für meine Accounts.

Mobile Geräte
1. Ich verwende starke Passwörter (PIN-Code mindestens sechs Zeichen).
2. Ich aktiviere die Geräteverschlüsselung.
3. Ich verschlüssele die Daten auf mobilen Datenträgern.
4. Ich lasse IT-Geräte nur bei vertrauenswürdigen Stellen reparieren.

Entsorgung von Daten/Informationen
1. Ich schreddere vertrauliche Papiere.
2. Ich vernichte nicht mehr benötigte Datenträger datenschutzkonform (Schredder, Entsorger).

Wichtig: Auch Reinigungskräfte, Besucher oder Familienmitglieder können Unbefugte sein. Ich muss also dafür sorgen, dass Unterlagen mit personenbezogenen Daten oder der PC auch bei kurzer Abwesenheit vor unbefugtem Zugang geschützt werden. Denn ich kann nicht ausschließen, dass jemand mein privates Büro betritt.

Cybersecurity. Welche besonderen Gefahren lauern im Homeoffice?


Die Corona-Krise nimmt Einfluss auf die Methoden von Cyberkriminellen. So warnt die Verbraucherzentrale Nordrhein-Westfalen z. B. vor gefälschten E-Mails der Sparkasse, worin Kundinnen und Kunden zur Eingabe ihrer persönlichen Daten aufgefordert werden. Die E-Mail gibt vor, dass die Übermittlung persönlicher Daten an die Sparkasse notwendig sei, um in Zeiten der Corona-Krise auch per Chat mit der Bank in Verbindung bleiben zu können. Über einen Link werden Betroffene auf eine authentisch aussehende Eingabemaske geleitet, die die Daten nach der Eingabe direkt an Betrüger sendet.
Mit solchen Angriffen muss ich auch an meinem Arbeitsplatz im Homeoffice rechnen. Die nachfolgenden Punkte zeigen mir, wie ich diese Gefahren abwehren kann:

E-Mail: Was muss ich denn konkret beachten?
Ganz grundsätzlich vermeide ich großen Ärger, indem ich unbekannte Dateien nicht öffne, den Ursprung von E-Mails überprüfe und sowohl Absender als auch enthaltene Verlinkungen gründlich hinterfrage. E-Mails sind nicht sicher. Ich kann nicht wissen, ob eine Absenderadresse gefälscht ist, ob ein Link mich zu einem Trojaner führt oder ein Dateianhang Trojaner enthält. Die nachfolgenden Regeln muss ich daher beachten:

1. Ich bin bei Werbemails (Spam) und falschen Virenmeldungen sehr vorsichtig.
2. Ich antworte nie auf Spam.
3. Ich abonniere Newsletter nur von seriösen Anbietern.
4. Ich lasse vor Viren, Trojanern, Würmern etc. Vorsicht walten.
5. Ich lösche E-Mails mit unseriösem Betreff sofort.
6. Ich öffne keine Anhänge, die ich nicht angefordert habe.
7. Zukünftig könnten auch Anrufe getätigt werden, in denen angeblich öffentliche Stellen Daten über die Ausbreitung der Epidemie erfassen wollen und dazu personenbezogene Informationen zu Anmeldedaten oder Zugängen zu Banken bzw. zu unserem Unternehmensnetzwerk abfragen. Ich werde bei solchen Anrufen sehr vorsichtig vorgehen und keine sensiblen Informationen preisgeben oder gar Zahlungen ausführen.
8. Ich mache niemals telefonisch Angaben zu sensiblen Informationen, ohne die Identität des Anrufers zweifelsfrei festgestellt zu haben. Ich weiß, dass Behörden, Banken und anderen Institutionen diese niemals auf diese Weise abfragen.
9. Zudem werden betrügerische Webportale versprechen, Lösungen für Corona-bezogene Probleme bereitzustellen und dafür Produkte oder Dienstleistungen anbieten. Ich lasse mich nicht von dieser Verlockung täuschen. Sollten wirksame Medizinprodukte auf den Markt gelangen, wird das Bundesministerium für Gesundheit darüber informieren.
10. Werbe- und Pop-up-Fenster können plötzlich erscheinen, um mir entweder Heilmittel, Impfungen und Behandlungen anzupreisen oder vorzugeben, ein sicherheitsrelevantes Programm meines Arbeitgebers installieren zu wollen. Ich verzichte grundsätzlich darauf, derartige Werbefenster anzuklicken. Solche Banner oder Pop-ups können Schadsoftware enthalten, unabhängig von den Produkten, für die sie werben.

Achtung:
Ist es trotz allem dazu gekommen, dass ich sensible Informationen eventuell an Betrüger versendet habe, ändere ich sofort mein Passwort. Ging es bei diesen Informationen um betriebliche Angelegenheiten, muss ich den Vorgang meiner IT-Abteilung melden. Habe ich zudem Passwörter übermittelt, die ich für mehrere Accounts verwende, werde ich sofort bei all diesen Zugängen die Passwörter zu ändern.

Insbesondere bei Links in E-Mails muss ich mich vergewissern, dass diese nicht auf gefährliche Internetseiten führen. Aber wie erkenne ich, wohin mich ein Link wirklich führt?

Wichtig: So erkenne ich den „Wer-Bereich“ eines Links
Der „Wer-Bereich“ bezeichnet die Domäne, auf die ein Link zeigt (Wer steckt hinter dem Link?). Diesen „Wer Bereich“ kann ich mit einer einfachen Zählmethode ermitteln. Ein Link ist immer gleich aufgebaut: http://www.Beispiel.de/home. Ich muss einfach die im Link enthaltenen „/“ von links beginnend zählen. Der „Wer-Bereich“ befindet sich links neben dem dritten „/“, hier also „Beispiel.de“.

Beispiele:
Identifizieren Sie die tatsächliche Webadresse hinter diesem Link. Achten Sie nur auf den „Wer-Bereich“!
http://www.amazon.de/account
Richtig! Dieser Link führt zu Amazon.

Lassen Sie sich nicht von Webadressen in die Irre führen, bei denen die Institution außerhalb des „Wer-Bereichs“ steht.
http://www.amazon.shop24.de/account
Richtig! Dieser Link führt Sie NICHT zu „amazon.de“, sondern zu „shop24.de“. Dahinter steckt bestimmt ein Betrüger!

Prüfen Sie den „Wer-Bereich“ auch in Bezug auf Tippfehler und Buchstabendreher.
http://www.mircosoft.com/login
Richtig! Dieser Link führt ganz bestimmt nicht zu „microsoft.de“. Auch hinter diesem Link stecken Betrüger.

Prüfen Sie den „Wer-Bereich“ genau hinsichtlich der Verwendung von ähnlich aussehenden Zeichenfolgen oder auch Zahlenfolgen.
http://www.mediarnarkt.de/einkaufen
Richtig! Schon wieder ein betrügerischer Link.

UYOD. Was muss ich bei betrieblichen Daten auf meinem privaten Geräten beachten?


Grundsätzlich sollte ich keine betrieblichen Daten auf privaten Endgeräten speichern oder verarbeiten. Ist es in dieser Krisensituation dennoch erforderlich, dass ich z. B. im Homeoffice mit meinem privaten PC, Notebook oder Smartphone arbeite, muss ich die nachfolgenden Richtlinien beachten:

1. Ich trenne geschäftliche und private Daten in geeigneter Form (verschiedene Ordner usw.).
2. Ich achte darauf, dass ich die Firewall aktiviert habe, meine Systeme und Anwendungen regelmäßig mit Sicherheitsupdates versorge, meine Antivirensoftware täglich aktualisiere und keine Software aus zweifelhaften Quellen installiere.
3. Ich nutze, wenn möglich eine Zwei-Faktor-Authentisierung (2FA) und sichere Passwörter.
4. Ich verschlüssele meinen PC, mein Notebook oder mein Smartphone.
5. Ich richte für jeden Nutzer des Rechners einen eigenen Nutzer ein. So kann ich verhindern, dass andere Nutzer auf betriebliche Daten zugreifen.
6. Ich arbeite nicht mit einem Administrator-Account.
7. Ich bin besonders vorsichtig bei der Nutzung des Internets und E-Mail. Hier lauern die größten Gefahren.

Dokumentation. Welche besonderen Anforderungen gibt es für mich in der Krise?


Selbst in der Krise muss ich alle Dokumentationsanforderungen erfüllen, die ich auch vor der Krise einhalten musste. Demnach muss ich entweder geeignete organisatorische oder technische Maßnahmen ergreifen, um diese Anforderungen zu erfüllen. Wenn mir kein Drucker zur Verfügung steht, um Akten anzulegen oder Dokumente abzulegen, muss ich entsprechend strukturierte Verzeichnisse in den jeweiligen Speichersystemen erstellen und die Dokumente in elektronischer Form ablegen. Auch in meinem E-Mail-Postfach kann ich solche Ordner anlegen, um meine E-Mails strukturiert abzulegen.

Kann ich meinen Dokumentationspflichten nicht nachkommen, muss ich mich an meinen Vorgesetzten wenden und um eine Lösung bitten.

Daten. Was muss ich beachten, wenn ich wieder im Unternehmen arbeite?


Im Homeoffice habe ich eventuell Daten auf dem betrieblichen oder privaten Endgerät gespeichert oder auch Akten verwahrt. Sowohl die Geräte als auch die Daten und Akten müssen ins Unternehmen zurückgebracht werden. Ich achte beim Transport auf den Datenschutz und lasse keine Akten oder Systeme unbeobachtet im Zug oder Auto.

Löschen. Was muss ich konkret löschen und wie stelle ich das an?


Ich muss alle Daten löschen, die nicht mehr benötigt werden. Das betrifft alle privaten und betrieblichen Systeme, auf denen personenbezogene oder vertrauliche Informationen gespeichert wurden. Ebenso sind Akten zu vernichten, die nicht mehr benötigt werden oder bereits im Unternehmen gespeichert wurden. Bei betrieblichen Notebooks oder Speichersystemen wird die IT-Abteilung die Daten löschen oder vernichten. Daher gebe ich die Geräte dort ab. Gleiches gilt für Akten. Diese sollte ich im Unternehmen ordnungsgemäß vernichten lassen (Shreddern, Papierentsorgung).

Bei privaten Endgeräten muss ich dafür sorgen, dass die betrieblichen Daten gelöscht werden. Auf dem PC lösche ich die entsprechenden Ordner und anschließend auch den Papierkorb. Ich denke daran, dass auch eventuelle Datensicherungen gelöscht werden. Das private Smartphone setze ich am besten auf den Auslieferungszustand zurück. Ich führe aber vorher eine Sicherung meiner privaten Daten durch.

Habe ich in Ausnahmefällen auch meinen privaten E-Mail-Account für die betriebliche Kommunikation genutzt, muss ich diese E-Mails ebenfalls löschen. Dies gilt nicht nur für mein lokales E-Mail-Postfach auf dem Rechner, sondern auch für die E-Mails bei meinem Provider (Webmail-Postfach).

E-Mail, Teamlaufwerke. Was muss ich prüfen, wenn ich wieder im Büro bin?


Wenn ich wieder vom Homeoffice in mein Büro zurückkehre, muss ich prüfen, ob es eventuell wichtige unbearbeitete E-Mails in meinem Postfach gibt (falls diese nicht in das Homeoffice umgeleitet wurden). Ebenso muss ich prüfen, ob alle Dateien, die ich im Homeoffice bearbeitet habe, tatsächlich in den zentralen Teamlaufwerken vollständig enthalten sind. Eventuell wurden Dateien auf Cloud-Speichern verarbeitet und noch nicht in die zentralen Laufwerke überführt.

Ich prüfe, inwieweit meine E-Mails noch an Vertretungen umgeleitet werden und ob diese Umleitung tatsächlich noch erforderlich ist. Genauso prüfe ich, ob eventuell andere Mitarbeiter auf Dateien zugreifen können, obwohl dies nach der Krise nicht mehr erforderlich ist.

Wieder im Büro. Wofür muss ich jetzt sorgen?


Wenn ich wieder im Büro bin, sollte ich zunächst prüfen, ob ein Kollege in der Zwischenzeit in meinem Büro gearbeitet hat. Dies ist oft der Fall, weil die Unternehmen Mitarbeiter auf Einzelbüros verteilen mussten. Ich schaue nach, ob derjenige sensible Informationen wie Passwörter usw. unter meiner Schreibtischunterlage oder an anderen Stellen abgelegt hat. Ich vernichte diesen Zettel und benachrichtige den Kollegen, falls ich weiß, wer es ist. Ich informiere auch die IT-Abteilung, damit der Account gesperrt wird. Denn wer weiß, wer dieses Passwort außer mir noch gefunden hat.

Ebenso sollte ich in meinem Schrank nachschauen, ob dort Akten meiner Kollegen stehen oder Post liegt, die diese noch nicht abgeholt haben. Sollte es sich um vertrauliche Informationen handeln, darf ich diese nicht einsehen. Ich lasse die Akten kurzfristig abholen. Ich prüfe auch, ob jemand auf meinem PC Daten lokal gespeichert hat. Ist das der Fall, informieren ich die IT-Abteilung.

Videokonferenzen. Wie soll ich mich konkret verhalten und worauf muss ich besonders achten?


Ich beachte bei der Nutzung von Videokonferenzsystemen die nachfolgenden Punkte:

1. Videokonferenzsoftware darf ich nicht automatisch beim Hochfahren des Computers starten.
2. Ich schalte beim Betreten eines Videokonferenzraums das Mikrofon automatisch stumm.
3. Ich überprüfe vorab mein eigenes Videobild, ob es Objekte enthalt, die nicht gesehen werden sollten.
4. Ich wähle meine Meeting-ID bzw. Meeting-URL möglichst kryptisch und keinesfalls sprechend (z. B. meinen Namen oder meine Telefonnummer), damit mich niemand erraten kann.
5. Ich geben die Zugangsdaten zu dem Meeting nur an die geplanten Teilnehmer weiter.
6. Ich beobachte als Veranstalter des Meetings die Teilnehmer. Ich reagiere sofort, wenn ein nicht eingeladener Teilnehmer erscheint.
7. Ich halte die Videokonferenzsoftware (oder den Browser, mit dem ich an der Videokonferenz teilnehme) aktuell.
8. Ich hole für die Aufzeichnung einer Videokonferenz die Zustimmung aller Teilnehmer ein.
9. Wenn ich parallel zur Videokonferenz in der Software einen Chat-Kanal benutze, sollte ich mich nur so äußern, dass eine versehentliche Veröffentlichung des Chats keinen Schaden für mich oder mein Unternehmen anrichtet.
10. Ich kläre vor der Einladung zu einem Meeting, ob die zu erwartenden Inhalte der Konferenz für das Medium geeignet sind. Insbesondere bei Gesprächen aus dem Personalbereich (z. B. Vorstellungsgespräche, Mitarbeitergespräche) muss ich klären, ob das zulässig ist. Ich frage in Zweifelsfällen unseren Datenschutzbeauftragten.
11. Als Organisator einer Videokonferenz obliegt mir auch die Verantwortung für die ordnungsgemäße Durchführung der Videokonferenz.

Datenschutz und Microsoft 365. Was muss ich konkret bei meiner Arbeit beachten?


Microsoft verfolgt seit einigen Jahren eine weitreichende Cloud-Strategie. Insbesondere das Produkt Office 365 hat Microsoft den Weg in viele Unternehmen geebnet, bietet Office 365 doch eine Vielzahl von Services, die weit über die bekannten MS-Office-Produkte wie Word oder Excel hinausgehen. Insbesondere Services wie Sharepoint, Teams, Exchange und Online-Varianten der bekannten MS-Office-Produkte schaffen für Firmenkunden einen enormen Mehrwert. Für mich als Nutzer gilt es jedoch, einige grundlegende Anforderungen zum Schutz der Daten zu beachten.

Outlook in Office 365. Was muss ich bei meiner täglichen Arbeit konkret beachten?

Outlook unterscheidet sich in der Online Variante kaum von der lokal installierten Office-Version. Allerdings bietet die Office-365-Variante ab der Lizenz E5 die Möglichkeit, E-Mails sicher zu verschlüsseln und das auch mit Partnern außerhalb des Unternehmens. Die Partner müssen noch nicht einmal Office 365 nutzen. Das ist ein enormer Mehrwert für den Datenschutz und die Datensicherheit. Wenn ich bei einer neuen E-Mail die Option „Verschlüsseln“ im Menüband auswählen kann, steht mir diese Funktion zur Verfügung.


Neue E-Mail mit Verschlüsselungsoption

Wähle ich „Verschlüsseln“, wird die E-Mail inklusive Anhang sicher verschlüsselt. Der Empfänger erhält eine E-Mail mit einem Link auf die verschlüsselte E-Mail. Der Empfänger muss sich nun authentifizieren. In diesem Fall entweder mit einem Google Account oder einem temporären Account. Wähle ich den temporären Account, erhält der Empfänger eine E-Mail mit einem Zifferncode, den er in das Anmeldefenster eingeben muss.


Eingabe des Codes

Dann steht ihm die Nachricht zur Verfügung.


Entschlüsselte Nachricht

Dieses Verfahren ist sowohl für mich als auch den Empfänger einfach zu bedienen. So kann ich ebenso vertrauliche Informationen sicher übertragen.

Sharepoint und OneDrive. Was muss ich beim Teilen von Dateien beachten
Das Teilen von Dateien in Sharepoint oder OneDrive ist ein sehr effektives Mittel, um anderen Personen schnell Informationen zur Verfügung zu stellen. Doch gilt es, einige Regeln zu beachten, denn sonst geraten die Informationen schnell in die falschen Hände oder stehen schlimmstenfalls für jedermann frei im Internet zur Verfügung. Wenn mir mein Administrator erlaubt hat, Daten auch außerhalb unseres Unternehmens zu teilen, sollte ich nachfolgende Regeln beachten.

Wenn ich eine Datei teilen möchten, bekomme ich zunächst folgendes Fenster angezeigt:


Informationen zum Teilen eines Dokuments in Sharepoint

Ich prüfe zunächst die Option „Von Ihnen angegebenen Personen können bearbeitne“ in Detail. Hierzu klicke ich auf die entsprechende Schaltfläche.

Optionen für das Teilen eines Dokuments in Sharepoint

Habe ich die entsprechende Option ausgewählt, kann ich das Fenster mit der Schaltfläche „Übernehmen“ schließen und im folgenden Fenster entweder direkt mit der Schaltfläche „Senden“ den Link verschicken oder über die Schaltfläche „Link kopieren“ lediglich kopieren. Diesen Link kann ich ggf. in eine individuelle E-Mail an die entsprechenden Empfänger einfügen.

Mein Tipp: Beim Teilen von Dateien sollte ich mir immer Zeit nehmen und die oben stehende Tabelle durchgehen. Nur wenn ich alle Optionen geprüft habe, sollte ich die Informationen freigeben und den Link verschicken. Das Risiko, dass sensible Informationen über solche Freigaben in die falschen Hände geraten, ist hoch. Ich investiere also besser ein paar Minuten.



Wichtig: Über die Option „Zugriff verwalten“ kann ich in Sharepoint anzeigen lassen, welche Personen Zugriff auf die Datei und welche Personen über einen Link Zugriff erhalten haben. Über den Link „Nicht mehr teilen“ kann ich den Personen den Zugriff über diesen Link wieder entziehen. Das funktioniert auch mit Verzeichnissen. Ich sollte regelmäßig prüfen, ob diese Zugriffsberechtigungen noch aktuell sind. Denn oftmals ändern sich Zuständigkeiten oder auch die Ansprechpartner in anderen Unternehmen.

Sonderfall Teams. Was muss ich hier beachten?
Ich kann auch in Microsoft Teams Dateien teilen. Hier wird immer ein Link erzeugt, den ich dann per E-Mail weiterleiten kann. Das funktioniert aber nur bei registrierten Mitgliedern der Teams. Demnach ist das Teilen nicht so kritisch wie in Sharepoint. Ich muss dennoch beachten, dass auch hier das Minimalprinzip gilt. Nicht jeder darf auf alle personenbezogenen Daten in gleichem Maße zugreifen. Also prüfe ich auch hier vor dem Teilen, ob wirklich alle Teammitglieder diese Informationen erhalten dürfen. Ich beachte auch, dass die Datei beim Teilen bei Microsoft zwischengespeichert wird. Je nach Sensibilität des Inhalts muss ich diese Datei eventuell vor dem Teilen verschlüsseln.

Teams ist ein sehr mächtiges Tool, das vor allem die Zusammenarbeit verbessern kann. Allerdings bringt diese Freiheit in der Zusammenarbeit auch datenschutzrechtliche Risiken mit sich. Ich denke immer daran, dass jeder im Team uneingeschränkt auf alle Informationen in diesem Team zugreifen kann. Das gilt für Dateien, Chats, Wikis usw. Zudem kann in der Regel jedes Teammitglied beliebige andere Personen innerhalb oder auch außerhalb unseres Unternehmens in das Team einladen. Da geht der Überblick oftmals allzu leicht verloren. Ich schaue also regelmäßig nach, wer alles in meinem Team ist und ob wirklich alle Mitglieder auf die jeweiligen Informationen zugreifen dürfen.

Fazit: Office 365 stellt eine Vielzahl von Services bereit, die insbesondere die Zusammenarbeit und den Datenaustausch erleichtern. Hier gilt es aber, immer im Auge zu behalten, dass der Zugriff auf personenbezogene Daten nach dem Minimalprinzip erfolgen muss. Ich prüfe immer, welche Rechte ich den Empfängern einräume und ob der Zugriff auf die Daten überhaupt erforderlich ist. Nicht jeder benötigt nämlich alle Daten. Dann bin ich auch mit Office 365 auf der sicheren Seite.