„Das Leben stellt die Herausforderungen – ich die Lösungen“ und so grüble ich gerade über eine bestimmte Fallsituation nach:
Müssen Mitarbeiter in einer Co-Working Umgebung besondere Regeln beachten?
Die Antwort ist: Nein. Warum werde ich dir erklären.
Zunächst möchte ich den Begriff „Privacy“ für mich neu definieren.
„Privacy“ ist die die Tatsache, dass alle Arten von Informationen vor Veränderungen, Missbrauch, Diebstahl, Offenlegung, Manipulation und jeder anderen denkbaren Form von „Angriffen“ geschützt werden.
Personenbezogene Daten sind dabei auch nichts anderes als Informationen, die darüber hinaus noch einen besonderen Schutzbedarf haben.
Eine „sichere“ (IT-) Arbeitsumgebung hat es eigentlich nie gegeben.
Vielleich „damals“ als man an einem „Terminal“ in einem geschützten Bereich des Rechenzentrums gearbeitet hat.
Wer heute denkt das heimisch Arbeitszimmer oder das Büro seien irgendwie besonders geschützt unterliegt einem Irrtum.
Risiken gibt es überall und entsprechend sind die Ansprüche an den Schutz der oben definierten „Privacy“ immer gegeben.
Umtriebige Datenschützer kommen nun auf die Idee, neue Spielregeln für das „Co-Working“ definieren zu müssen.
Bullshit!
Worin unterscheidet sich das Co-Working vom grundsätzlichen „Mobile Work“ oder dem Großraumbüro oder einem „sicheren“ Büro oder Arbeitszimmer?
Gar nicht!
- Im heimischen Umfeld könnte ein Lebenspartner für einen ausländischen Geheimdienst tätig sein.
- Im Büro könnte die Reinigungskraft in der Nacht tätig werden.
- Im Zug können die Sitznachbarn zu Spionen und heimlichen Mithörern werden.
- Im Büro kann der Kollege für einen Mitbewerber arbeiten.
Es spielt keine Rolle, wo wir arbeiten.
- Eine „Richtlinie für das mobile Arbeiten“ – kann man machen, muss man aber nicht.
- Die „Clean Desk Policy“ – macht Sinn, das aber immer!
Worauf ich hinaus möchte, ist, dass wir unser Denken in „Kästen“ aufgeben sollten und uns primär mit den Informationen, deren Schutzbedarf und den notwendigen TOM’s beschäftigen sollten.
Datenschutz und Informationsschutz sind untrennbar miteinander verbunden.
Für mich ist aus der Brille des Informationsschutzes der Datenschutz nur ein weiteres Schutzziel „Verarbeitung“, auf das ich achten muss.
Und die Kategorien der personenbezogenen Daten sind nichts anderes als Informationsklassifizierungen.
Mit diesem Denkansatz kann ich den „Verwaltungsaufwand“ deutlich geringer halten.
- Es gibt eine „Richtlinie für die Arbeit“.
- Egal ob mit oder ohne die Unterstützung von Technik
- Egal ob im Home-Office oder im Zug
- Egal ob ich nur die Urlaubsbilder der Familie oder die Krankendaten einer Krankenkasse bearbeite
Weder der Ort noch die Art der Informationen machen einen Unterschied.
- Warum sollte ich in einer Co-Working Umgebung die Geräte mit einer Kette am Schreibtisch festbinden aber z.B. dann nicht, wenn ein Consultant tagelang in der Umgebung des Kunden unterwegs ist?
- Warum sollte ich den Computer irgendwo an die Kette legen, wenn er zuverlässig bei Abwesenheit gesperrt ist und alle Daten darauf sicher verschlüsselt sind?
Diese Maßnahme schützt am Ende nur den Vermögenswert aber nicht die Informationen. - Warum stört es niemanden, wenn ich im Urlaub in der Türkei auf meinem Smartphone Unternehmensmails bearbeite aber wenn jemand aus der Türkei arbeiten möchte gibt es eine wahre “Datenschutzexplosion”?
Wäre der Computer an der Kette, nicht gesperrt und der Nutzer abwesend – was nutzt die Kette?
Wie immer ist das nur ein Vorschlag zum „Selbst-darüber-Nachdenken“ und keine wissenschaftliche Arbeit.
Ganz sicher habe ich einige Aspekte nicht berücksichtigt. Das ist aber für die Kernaussage unwichtig.
Wir müssen Informationen jeder Art zu jeder Zeit vollumfänglich nach dem höchsten denkbaren Standard schützen.
Wenn wir das tun, brauchen wir keine Sonderregelungen oder Gesetze.
Alle machen sich Gedanken darüber, wie schlimm es ist, wenn „Uncle Sam“ über den „Cloud Act“ Zugriff auf personenbezogene Daten bekommen könnte.
Sollten wir uns nicht auch Gedanken darüber machen was der gleiche „Uncle Sam“ mit Firmengeheimnissen anstellen könnte?
Hast du das schon einmal bedacht?
Also: Re-Think Privacy