Vor zwei Wochen hätte noch niemand gedacht, dass sich Deutschland je einmal in einem derartigen Ausnahmezustand befinden könnte, wie ihn das Coronavirus zur Folge hat: Produktionen stehen still, Hotellerie, Gaststätten und Teile des Einzelhandels sind durch gesetzliche Verordnungen und die Sorge der Menschen vor einer Ansteckung massiv in ihrer Geschäftstätigkeit eingeschränkt, Schulen und Kitas geschlossen. Vor allem aber musste die öffentliche Verwaltung vom Normalbetrieb auf den Krisenmodus umschalten, um überhaupt arbeitsfähig zu bleiben: Dienststellen bleiben für den Publikumsverkehr geschlossen, Mitarbeiter werden zu ihrem Schutz ins Homeoffice abgeordnet oder befinden sich, weil sie infiziert sind, in häuslicher Quarantäne. Was ist jetzt wichtig, damit das Rathaus auch im „Remote-Betrieb“ funktioniert? Und welche datenschutzrechtlichen Fragen wirft die Nutzung privater Geräte und allgemein zugänglicher Kommunikationstools auf?
Wenn Mitarbeiter von heute auf morgen unter Quarantäne gestellt werden müssen und nicht mehr an ihre Unterlagen und ihr Equipment kommen, sieht sich die Kommunalverwaltung einer enormen Herausforderung gegenüber: Wie lässt sich die Arbeitsfähigkeit wenigsten in den wichtigsten Aufgabenbereichen sichern? Nur wenige Mitarbeiter verfügen über ein Dienst-Notebook oder Dienst-Smartphone, um direkt von Zuhause aus weiterarbeiten zu können. Denn viele Verwaltungen haben sich mit dem Thema „Homeoffice“ bisher nicht anfreunden können, und Notfallpläne für dezentrales Arbeiten in Situationen wie der aktuellen gibt es allenfalls für Krisenstäbe.
Anbindung von Home-Office-Arbeitsplätzen an die Verwaltungs-IT
Groupware-Funktionen wie Mail oder Kalender stellen für die Fern-Anbindung von Mitarbeitern nicht das größte Problem dar. Denn diese sind ohnehin oft via Web-Clients und mobile Apps ortsunabhängig verfügbar. Anders sieht die Sache dagegen beim Austausch von Dateien und Dokumenten aus. Wollen Verwaltungen den Home-Office-Arbeitsplätzen Zugang zu den internen Netzlaufwerken verschaffen, sind dafür oft komplexe und aufwändige Konstruktionen mit Virtuellen Privaten Netzwerken (Virtual Private Network, VPN) erforderlich. Ein Zugriff von Smartphones oder Tablets ist dabei in der Regel überhaupt nicht möglich.
Finger weg von Public-Cloud-Diensten zum Austausch sensibler Dokumente!
Eine moderne Alternative für den Zugriff bieten sogenannte Content-Collaboration-Lösungen. Mit diesen können Dateien durch eine zentrale Online-Speicherung schnell, einfach und Endgeräte-unabhängig abgerufen und ausgetauscht werden. Die Versuchung, einfach kurzerhand auf einen der zahlreichen Public-Cloud-Speicherdienste zu setzen, ist groß. Davon rät Tobias Gerlinger, Managing Director beim Nürnberger Cloud-Anbieter Owncloud, allerdings entschieden ab: „Finger weg von solchen Diensten“. Denn die seien in aller Regel US-amerikanischen Ursprungs und unterlägen deshalb dem US Cloud Act. Das relativ neue Gesetz legitimiert amerikanische Behörden, von den Betreibern die Herausgabe sämtlicher Daten einer Person oder eines Unternehmens zu verlangen. Das heißt: Sensible Daten von Bürgern und Firmen, die von den kommunalen Servern in solche Online-Speicher hochgeladen werden, sind vor fremdem Zugriff nicht geschützt. Mit deutschen beziehungsweise EU-Datenschutzbestimmungen wie der Datenschutz-Grundverordnung (DSGVO) ist dies nicht vereinbar.
Das hat letztlich auch zur Gaia-X-Initiative für eine vertrauenswürdige Dateninfrastruktur in Europa geführt, sowie zur Entwicklung von rechtssicheren Lösungen durch deutsche Unternehmen wie dem Anbieter Owncloud. Der hat mit mehr als 100 Millionen Nutzern weltweit die führende Open-Source-Lösung für den Austausch von Dateien.
Auf zuverlässige Verschlüsselung setzen
Wo es um kritische Daten geht, auf die die Verwaltung den Zugriff durch Unbefugte verhindern muss, bietet sich bei der Online-Speicherung deren Verschlüsselung an. Hierfür eignen sich Tools wie beispielsweise „Boxcryptor“. Anbieter ist das in Augsburg ansässige Unternehmen Secomba, das seine Server in Deutschland betreibt. Die Verschlüsselung von Dateien erfolgt mit einfachen Handgriffen auf dem jeweiligen Endgerät des Nutzers. Die Daten sind also schon auf dem Weg zum Cloud-Speicher für Dritte nicht mehr lesbar. Damit ist der Datenschutz auf allen Geräten gesichert, die mit dem Online-Speicher verbunden sind: Desktop-Rechner, Tablet und Smartphone.
Containerlösungen zur Einbindung von Tablets und Smartphones nutzen
Dass in der Corona-Sondersituation plötzlich der Privat-PC und das private Smartphone der Mitarbeiter gebraucht werden und auf Nachrichtenkanäle zugegriffen wird, die im Verwaltungsbetrieb üblicherweise gemieden werden, wirft einige Probleme auf. Sascha Wellershoff, Vorstand des Münchner Mobile-Security-Spezialisten Virtual Solution, warnt vor der allzu sorglosen Nutzung von unsicheren Kommunikationsmitteln wie „Whatsapp“ für die dienstliche Kommunikation, dem Versenden von Verwaltungsinterna über den privaten Mail-Account und der Speicherung von wichtigen Dateien auf dem meist schlecht geschützten Heim-PC. Denn Verwaltungen kommen damit unter Umständen in Teufels Küche: Das Engagement der ins Home-Office beorderten Mitarbeiter ist Cyber-Angriffen schutzlos ausgesetzt und zudem auch nicht DSGVO-konform.
Sicherheit können hier sogenannte Container-Lösungen wie die Applikation „SecurePIM“ und das Framework „SERA“ für IOS- und Android-Geräte bieten. Sie machen das private Smartphone oder Tablet zu einem geschützten mobilen Office bis zur Geheimhaltungsstufe „Verschlusssache – Nur für den Dienstgebrauch“, kurz „VS – NfD“. Mitarbeiter sind telefonisch erreichbar, können verschlüsselt über Mail und Messenger kommunizieren, Dokumente einsehen und bearbeiten, haben Zugriff auf das Intranet und ihren Kalender. IT-Admins haben innerhalb der Container-App die volle Kontrolle – alle anderen Daten und Anwendungen bleiben komplett privat.
Temporäre Mail-Accounts mit Datenschutzvertrag in Erwägung ziehen
Wenn die Verwaltung ihren im Home-Office arbeitenden Mitarbeitern auf die Schnelle keinen Zugang zum dienstlichen Mail-Postfach einrichten kann, bietet sich an, bei entsprechenden Anbietern temporäre Mail-Accounts zu buchen, die in der Mailadresse den Stadtnamen als einen Bestandteil führen. Auf diesen Account werden dann alle Mails weitergeleitet und können von dort mit einer Webapp aufgerufen werden. Das Unternehmen Stadtlandnetz aus Dresden etwa bietet eine solche Möglichkeit an, schließt dazu mit den Auftraggebern Datenschutzverträge. Was mit den Mails funktioniert, kann der Anbieter übrigens auch mit einem datenschutzkonformen Online-Kalender ermöglichen.
Der Google Kalender als Alternative ist eine komfortable Sache, zumal für viele Mitarbeiter der Verwaltung von der privaten Nutzung her vertraut. Allerdings: Persönliche Daten beziehungsweise Daten, die Bürger und Unternehmen betreffen, sollte man dem Dienst des US-amerikanischen Anbieters nicht anvertrauen.
Frei verfügbare Kollaborations-Tools – nützlich, aber mit Vorsicht zu genießen
Der schnelle, unkomplizierte Frage-Antwort-Austausch, im „Normalbetrieb“ der Verwaltung über den Schreibtisch hinweg, sollte auch in der neuen Arbeitssituation möglich sein. Genauso wie Besprechungen, bei denen die Teilnehmer sich sehen.
Das Tool „Slack“ ermöglicht als Messenger-Programm die einfache Online-Kommunikation. Im Büro-Chat können zwei Mitarbeiter kommunizieren wie auch Teams oder die gesamte Verwaltung. Im Hinblick auf den Datenschutz ist der Einsatz von „Slack“ und ähnlichen Messengern, so etwa auch Microsoft Teams, allerdings nicht unkritisch, da die Dienste bestimmte Daten an die Unternehmen übermitteln. Sofern ein Rückschluss zu einem Nutzer möglich ist, stellen selbst Metadaten personenbezogene Daten im Sinne der DSGVO dar. Die Mitarbeiter sollten also über die datenschutzrechtliche Problematik informiert und für diese Thematik sensibilisiert werden, ist die Auffassung von David Oberbeck, auf Datenschutzrecht spezialisierter Anwalt und externer Datenschutzbeauftragter aus Hamburg.
Unabhängig davon, wie die jeweiligen Messenger-Anbieter mit den Daten der Nutzer umgehen gilt auch: Online-Tools sind immer von außen angreifbar, eine hundertprozentige Sicherheit gibt es nicht. Aus diesem Grund sollten über die webbasierten Kommunikations-Tools keine vertraulichen Informationen ausgetauscht werden.
Videobesprechungen: Vorsicht bei vertraulichen Inhalten!
Sehr praktisch für verteilt arbeitende Mitarbeiter ist auch die Möglichkeit, sich in Videokonferenzen zu treffen. „Skype“ stellt wohl die bekannteste Lösung, Alternativen bieten sich etwa mit „Zoom“ oder auch „Microsoft Teams“ mit Chat, Videobesprechungen, Telefonie und Dateispeicherung an einem zentralen Ort. Allerdings gibt es auch hier einen Strauß an datenschutzrechtlichen Fragestellungen, angefangen von der Speicherung von Nutzerdaten – der Rathausmitarbeiter möglicherweise nicht zustimmen würden, wäre ihnen die Problematik bewusst – bis hin zur nicht garantierten Vertraulichkeit. Denn „Skype“-Anbieter Microsoft räume sich eine weltweite und gebührenfreie Lizenz für geistiges Eigentum zur Inhaltsnutzung ein, wird im Tätigkeitsbericht 2018 des brandenburgischen Landesbeauftragten für den Datenschutz moniert. Damit dürfte die Berechtigung des Unternehmens verbunden sein, die Inhalte eines Gesprächs, das über Skype geführt wird, unter bestimmten Voraussetzungen zu speichern, zu übertragen, zu kopieren oder weiterzugeben, heißt es in dem Bericht.
File Transfer mit kostenlosen Tools im Hinblick auf den Datenschutz nicht unkritisch
Wenn es um das Versenden von vielen Megabyte großen Dateien geht, von umfangreichen Dokumenten oder Fotos, kann der Mail-Weg schnell nervig werden. Der eigene Dienst macht nur bis zu einem bestimmten Dateivolumen mit, auch kann es passieren, dass das Postfach des Empfängers schon gut gefüllt ist und die Sendung daher garnicht angenommen wird. Hier bietet der bekannte webbasierte Dienst „WeTransfer“ einen Ausweg – zumal einen sehr komfortablen. Ganz ohne Anmeldung und sonstige Hürden überträgt er in seiner kostenlosen Variante Dateien bis zu einer Größe von zwei Gigabyte und informiert den Absender sowohl über die erfolgreiche Übertragung als auch das Herunterladen der Dateien durch den Empfänger.
Soweit so gut. Den Sicherheitsanforderungen zum Einsatz in der Verwaltung für die Übermittlung sensibler Dokumente genügt der Transferdienst allerdings nicht. Denn es kann allein schon die von „Wetransfer“ an den Empfänger übermittelte Mail mit dem Downloadlink von Unbefugten abgefangen und zum Abrufen der Dateien verwendet werden. Problematisch ist auch, dass die hochgeladenen Dateien vom Unternehmen unverschlüsselt auf Servern gespeichert werden, die auf US-Territorium stehen. Das heißt, dass auch hier die amerikanischen Geheimdienste Zugriff haben.
Eine Alternative zu „WeTransfer“ ist „Firefox Send“. Dieser Transfer-Dienst unterscheidet sich von seiner Konkurrenz durch eine erhöhte Datensicherheit, bietet eine Übertragung, die Ende-zu-Ende verschlüsselt ist. Zudem hat laut Mozilla selbst der Hersteller keinen Zugriff auf die übertragenen Informationen.
Wenn der Rechner des „Heimarbeiters“ hakelt
Zugriff ist auch das Stichwort für ein weiteres nützliches Werkzeug in der aktuellen Hoch-Zeit des Home-Office. Der „Teamviewer“ ermöglicht es, sich auf den Rechner anderer Personen aufzuschalten. Das erweist sich als sehr sinnvoll, wenn es Software-Probleme gibt und der kommunale IT-Administrator schnell mal nach dem Rechten schauen will. Nutzen lässt sich das Tool aber auch für Meetings mehrerer Teilnehmer, die sich dann virtuell auf der Arbeitsoberfläche eines Nutzers treffen. Dort können sie zum Beispiel gemeinsam Dokumente einsehen und zusammen an diesen arbeiten.
Welche hilfreichen Anwendungen es für das Arbeiten im Home-Office gibt und wie sich Mitarbeiter am ungewohnten heimischen Arbeitsplatz so organisieren können, dass die Produktivität möglichst hoch bleibt, hat das Magazin für Digitalisierungsthemen „T3N“ in einem Leitfaden zusammengestellt. Dieser kann hier heruntergeladen werden (1,9 MB, kostenlos).
In der Corona-Krise nicht noch den Verschlüsselungs-Virus riskieren
Viele Möglichkeiten also, mit den an die Heimarbeitsplätze beorderten Mitarbeitern die Funktionsfähigkeit der Verwaltung einigermaßen aufrechtzuerhalten – aber auch etliche Risiken hinsichtlich des Datenschutzes und der Sicherheit der Daten vor Verlust oder Diebstahl. Nicht umsonst hebt die Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister (Vitako) hervor, gerade in der aktuellen Phase die Fragen der IT-Sicherheit im Blick zu haben. Es gelte zu vermeiden, dass erfolgreiche Cyber-Attacken die aktuelle Lage weiter verschärften und Internet-Kriminelle zusätzlich Kapital aus der angespannten Situation schlügen. Eine zeitgleiche Beeinträchtigung sowohl durch das Coronavirus als auch durch ein Verschlüsselungs-Virus – wie sie aktuell ein Krankenhaus in Tschechien traf – sei unbedingt zu vermeiden.
Wolfram Markus