Datenschutz und Arbeiten in Co-Working Spaces
Was macht Co-Working so attraktiv
Gründe hierfür sind für Gründer und Freelancer sicherlich neben der angenehmen Arbeitsatmosphäre und dem Austausch mit Gleichgesinnten auch finanzieller Natur. Kostspielige Infrastruktur wie Räume, Schreibtische, Internet und Drucker können so gemeinsam genutzt werden.
Inzwischen gibt es bereits Apps die Suchenden weltweit nicht nur Co-Working-Spaces, sondern auch freie Schreibtische in Büros oder in anderen Locations anzeigen.
Schöne neue Welt des Coworkings
Coworking–Spaces kommen den „Grundbedürfnissen“ von Kreativen nach: schnelles Internet, 24-Stunden-Zugang, fette Drucker und Cappuccino aus der Siebträgermaschine. Aber sind Coworking-Spaces nicht noch mehr?
Vielleicht sind Coworking-Spaces heute das, was Agenturen in den 90er Jahren waren: Orte des unkomplizierten kreativen Austauschs, wo sich Creative Class, Hipster und Digitale Nomaden die Hand geben, immer ein mega angesagtes Projekt am Start. Wer einmal in einem Coworking-Space gearbeitet hat, weiß, dass hier andere Werte als in der gewöhnlichen, „veralteten“ Arbeitswelt gelten: Kollaboration statt Silo-Denke, Flexibilität statt starre Struktur, Inspiration statt Hierarchien. Coworking ist nicht nur ein Trend, sondern ein Paradigmenwechsel in der Art und Weise, wie Menschen in Zukunft zusammenarbeiten.
Aber – Entschuldigung, dass ich jetzt der Spielverderber sein muss – wie ist das vereinbar mit den immer strenger werdenden Auflagen für Datenschutz und Informationssicherheit?
Wo lauern datenschutzrechtliche Stolpersteine
Wenn man die heile Welt der Co-Working Spaces und an Shared-Desk Arbeitsplätze unter die datenschutzrechtliche Lupe nimmt, erkennt man neben dem Charme des gemeinsamen Nebeneinanders schnell, dass doch an einigen Stellen Vorsicht geboten ist.
Das Problem mit dem Datenschutz in Coworking-Spaces
Betrachtet man das Arbeiten unter Einhaltung der Informationssicherheits- und Datenschutzrichtlinien im Vergleich zur kreativen Arbeit in einem Coworking-Space, wird schnell ersichtlich: Hier sind zwei gegensätzliche Kräfte am Werk. Denn offensichtlich kann man Informationssicherheit und Datenschutz in der freigeistigen Welt der Coworking-Spaces nur schwer gerecht werden.
In Unternehmen, die mit sensiblen Daten umgehen, werden die Mitarbeiter zum Thema Datenschutz geschult. Es gibt einen Standard, zu dem sich das Unternehmen verpflichtet hat, und Richtlinien, die Orientierung und Handlungsanweisungen geben. Für dessen Einhaltung werden auch die Voraussetzungen im Büro geschaffen. Doch was, wenn Mitarbeiter auch im Homeoffice oder in einem Coworking-Space arbeiten dürfen? Oder wenn man mit Freelancern zusammenarbeitet, die regelmäßig im Coworking-Space sitzen?
In den offenen Räumen eines Coworking-Spaces laufen stets andere Co-worker um die Schreibtische herum und holen sich Kaffee. Es herrscht eine Atmosphäre des lockeren Austauschs. Man guckt ganz automatisch auch mal auf den Bildschirm des Sitznachbarn und sieht Kalender, E-Mails oder vertrauliche Dokumente. Sie werden ja auch offen auf dem Bildschirm angezeigt. In Gesprächen fallen die Namen der Kunden und Ansprechpartner – oder sogar Details aus einem Projekt, das einer Vertraulichkeitsvereinbarung unterliegt. Man geht zum Drucker und sieht die Dokumente eines anderen Co-workers im Druckerfach liegen. Oder man wirft einen Blick in den Mülleimer und sieht Ausdrucke mit sensiblen Daten, die jeder lesen kann.
All diese Szenarien sind in Coworking-Spaces Alltag. Sie zeigen: Datenschutz und Informationssicherheit sind im Coworking-Space noch nicht angekommen. Coworking-Spaces sind sozusagen eine „Grauzone“ der Informationssicherheit. Oder einfach ein gigantisches, potenzielles Datenloch.
Arbeiten am Arbeitsplatz
Bei der Arbeit in geteilten Räumlichkeiten sollte man sich jederzeit bewusst sein, dass man zwar „zusammen arbeitet“, in dem Sinne, dass man zusammen in einem Raum, oder sogar an einem Tisch sitzt, aber eben nicht zusammenarbeitet.
Das erste Problem bereitet hier sicherlich der Sichtschutz. Wenn man in einem Raum oder gar an einem Tisch sitzt, bleibt es nicht aus, dass sich einem viele Möglichkeiten ergeben auch mal einen Blick auf den Monitor eines Nachbarn zu werfen. Ist dies der Fall, sind dort auch mit einer gewissen Wahrscheinlichkeit personenbezogene Daten oder andere vertrauliche Informationen zu sehen, die nicht für die Augen anderer gedacht sind.
Abhilfe kann hier eine geeignete Blickschutzfolie (IT-Grundschutzkompendium, CON.7.A4 Verwendung von Sichtschutz-Folien) schaffen. Durch eine solche reduziert sich der mögliche Einsichtswinkel von ca. 180 Grad auf bis zu ca. 60 Grad.
Ein weiteres Problem könnten Unterlagen in Papierform darstellen. Auch diese sind in einer solchen Umgebung allzu leicht unerwünschten Blicken ausgesetzt. Das beste Mittel hiergegen stellt sicher eine soweit wie möglich papierlose Arbeitsweise dar. Lässt sich das Arbeiten mit Unterlagen in Papierform nicht vermeiden, sollte darauf geachtet werden wo die Unterlagen auf dem Tisch platziert werden und dass sie nach Möglichkeit immer abgedeckt oder sicher verstaut sind, wenn sie zeitweise nicht benötigt werden. Bestenfalls stehen abschließbare Rollcontainer und Aktenvernichtern oder Datenschutztonnen zur sicheren Vernichtung (IT-Grundschutzkompendium, SYS.4.1.A12 Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln) zur Verfügung.
Verlassen des Arbeitsplatzes
Auch in einer solchen Umgebung kommt der Zeitpunkt an dem der Arbeitsplatz verlassen werden muss. Sei es um die Vorteile die ein geteilter Arbeitsplatz mit sich bringt zu nutzen und in Kontakt mit Gleichgesinnten zu treten, zur Befriedigung der eigenen Coffein-, Nikotin- oder Zuckersucht oder zur Verrichtung allzu menschlicher Bedürfnisse. Sobald aber in einem solchen Umfeld der „eigene“ Arbeitsplatz verlassen werden kann, gilt es einiges zu berücksichtigen.
So ist zunächst darauf zu achten, dass der Laptop bei nur kurzem Entfernen vom Arbeitsplatz durch eine Passwortsperre mit einem sicheren Passwort gesperrt wird (IT-Grundschutzkompendium ORP.4.A8 Regelung des Passwortgebrauchs), bzw. bei längerem Fernbleiben besser in einem Rollcontainer oder Schließfach zu verstauen ist, oder – soweit nicht vorhanden – mitgenommen wird. Außerdem ist natürlich darauf zu achten, dass alle Unterlagen bestenfalls in einem abschließbaren Rollcontainer sicher verstaut werden können. Datenträger sollten wenn überhaupt nur verschlüsselt zurück gelassen werden. Sicherer ist hier aber natürlich auch diese in einem Rollcontainer wegzuschließen.
Drucken und Telefonieren
Bei einer gemeinschaftlichen Nutzung von Arbeitsplätzen und Druckern drohen weitere Gefahren, dass vertrauliche Informationen in falsche Hände gelangen.
Die gemeinsame Nutzung von Netzwerkdruckern durch mehrere Personen, erschwert das Drucken von vertraulichen Dokumenten in hohem Maße. Beim Drucken ist in jedem Fall darauf zu achten, dass eine Pull-Printing-Lösung angeboten wird, so dass die Druckausgabe erst dann erfolgt, wenn man sich am Drucker authentifiziert hat (SYS.4.1.A15 Informationsschutz bei Druckern, Kopierern und Multifunktionsgeräten). Aber auch dann stellt sich die Frage nach den auf dem Gerät gespeicherten Druckdaten. Der Anbieter sollte hier die Datenspeicherung in geeigneter Weise verschlüsselten Form garantieren. Soweit es sich vermeiden lässt ist von einem Druck auf derlei gemeinschaftlich genutzten Druckern aber generell abzusehen.
Stellt sich noch die Frage nach unvermeidlichen Telefonanrufen während der Arbeit. Für das führen dienstlicher Telefonate bleibt einem letztlich keine andere Möglichkeit als sich aus der Hörweite anderer Co-Worker zu entfernen. Am besten gelingt einem das sicherlich in Telefonkabinen bzw. privaten Telefonräumen. Hier kommt es also zu einer Art Renaissance der guten alten Telefonzelle.
Nutzung des angebotenen WLANs
Eine Verschlüsselte Verbindung, etwa über VPN, ist unverzichtbar, wenn Sie sich in Co-Working Spaces und an Shared-Desk Arbeitsplätzen über das angebotene WLAN, mit Ihrem Unternehmensnetzwerk verbinden wollen (NET.2.2.A3 Absicherung der WLAN-Nutzung in unsicheren Umgebungen [IT-Betrieb]).
Für die allgemeine Nutzung des Internets empfiehlt es sich auf den Webseiten die Option „Immer HTTPS verwenden“ zu aktivieren.
Zusätzlich empfiehlt es sich die Dateifreigabe über die Systemeinstellungen zu deaktivieren. Den besten Schutz bietet an dieser Stelle aber wohl das WLAN zu deaktivieren, wenn eine Internetverbindung nicht benötigt wird.
Datenschutzkonformes Arbeiten in Co-Working Spaces ist möglich
Das Arbeiten im Co-Working Space oder Shared-Desk Arbeitsplatz bietet für viele eine äußerst attraktive Art des Arbeitens. Erst auf den zweiten Blick bemerkt man die sich aus diesem Konzept ergebenden Problemstellungen. Unter Beachtung der oben genannten Punkte ist aber ein datenschutzkonformes Arbeiten auch im Co-Working Space umsetzbar.
Wie können sich Co-worker richtig verhalten?
Um das nochmal zu betonen: Ich spreche hier von solchen Projekten, für die ein Co-worker eine Geheimhaltung (NDA) unterschrieben hat. Der Auftraggeber hat ihn somit in die Pflicht genommen, bestimmte Auflagen einzuhalten. Falls diese nicht präsent sind, sollte man im Zweifel nochmal nachschauen. In den meisten NDAs stehen mittlerweile ziemlich strenge Auflagen drin, z. B. E-Mail-Verschlüsselung, Passwort-Politik oder Einschränkungen bzgl. Datenaustauschtools (z. B. kein WeTransfer). Als professioneller Co-worker muss man sich des Themas bewusst sein und sich ggf. neue Verhaltensweisen angewöhnen.
Lösung für Co-worker: Lass dir die entsprechende Richtlinie deines Auftraggebers zeigen. Meist heißt sie „Richtlinie zur EDV-Nutzung“, „Informationssicherheitsrichtlinie“ oder „Betriebsrichtlinie“. Jede moderne, gut gemachte Richtlinie regelt beispielsweise auch mobiles Arbeiten: Wie telefoniere ich richtig am Flughafen oder im Zug? Wie arbeite ich im Flieger am Laptop? Was muss ich im Homeoffice beachten? Wie verwalte ich Passwörter? Wenn man diese Richtlinien einhält, kann man überall arbeiten, auch im Coworking-Space.
Wie können sich Unternehmen richtig verhalten?
Unternehmen müssen auf jeden Fall eine Richtlinie haben. Diese muss umfassend gedacht und gemacht sein. Idealerweise ist sie den sich ständig ändernden Realitäten der Arbeitswelt einen Schritt voraus. Eine moderne Informationssicherheitsrichtlinie regelt beispielsweise den immer wichtiger werdenden Themenbereich „mobiles Arbeiten“.
Das reicht aber noch nicht aus, denn eine Richtlinie, die alles umfasst, aber von niemandem gelebt wird, hilft auch nicht weiter. Mein Ansatz hierbei ist vor allem: Das angestrebte Sicherheitsniveau kann nur dann erreicht werden, wenn man den Mitarbeitern praktische Werkzeuge und Handlungsbeispiele gibt, mit denen sie Richtlinien auch im Alltag umsetzen können
Lösung für Unternehmen: Ganz wichtig ist, dass diese Richtlinien eben nicht nur feste, sondern auch freie Mitarbeiter einhalten müssen (es reicht nicht, letzteren nur einen NDA hinzulegen). Das Thema „Mobiles Arbeiten“ – und hier eben auch „Arbeiten im Coworking-Space“ – sollte praktikabel in die Richtlinie integriert werden.
So können denn auch diese beiden scheinbar unvereinbaren Kräfte, die unsere Arbeitswelt verändern, – Coworking und Datenschutz – friedlich miteinander koexistieren.