server-nutzer
Goto Top

Homeoffice per Teamviewer oder Anydesk Rechtliche Betrachtung DSGVO BDSG

Guten Tag in die Runde.

In Zeiten von Corona & Co. kommt jetzt massiv das Anliegen der Geschäftsführungen und Abteilungsleitungen, schnell Homeoffice-Arbeitsplätze als Ausweichoption für Büroarbeitsplätze einzurichten.
Durch das Ausdünnen in den Büros soll vermieden bzw. vermindert werden, dass Kollegen, die bislang eng auf eng zusammensaßen, sich leicht anstecken könnten. Abteilungen werden ausgedünnt, damit bei möglichen Ansteckungsfällen nicht gleich die ganze Abteilung ausfällt.

Technisch gesehen wäre bei uns die Einrichtung von diversen Homeoffice-Arbeitsplätzen (Fernsteuerung des jeweils eigenen Büro-PC von Zuhause) möglich, nun kommt von dem ein oder anderen Kollegen "ja, aber die DSGVO! Das geht ja gar nicht mit dem Teamviewer!".

Nun meine Frage: Ist ein Einsatz vom Teamviewer oder Anydesk etc. zur Fernsteuerung des eigenen Büroarbeitsplatz-PC vom Homeoffice aus ein Problem hinsichtlich der DSGVO oder anderer rechlichen Dinge (BDSG)?

Wir reden NICHT über Sicherheitsfragen, allein Juristisches ist in dem Zusammenhang für mich von Belang.

Gibt es da Quellen oder Hinweise zu?

Besten Dank
Jörg

EDIT: Also nach dem nun zig Antworten hier reinkamen, Tenor "ne Teamviewer-Lösung ist Sch..e, sollte VPN sein", ja, weiß ich bereits.
Festzustellen bleibt: Zur Kernfrage hat keiner was beizutragen. Entweder weil es nix gibt, oder weil keine Ahnung, oder oder oder.

Schade, ist ne interessante Fragestellung weiterhin.
Na, vielleicht hat ja doch noch jemand nen Tipp zur Kernfrage face-wink

Content-ID: 558080

Url: https://administrator.de/forum/homeoffice-per-teamviewer-oder-anydesk-rechtliche-betrachtung-dsgvo-bdsg-558080.html

Ausgedruckt am: 21.12.2024 um 18:12 Uhr

certifiedit.net
certifiedit.net 16.03.2020 aktualisiert um 16:07:40 Uhr
Goto Top
Hallo Jörg,

zieh einen Terminalserver hoch, davor eine UTM (+VPN) und gut, ich hoffe, dass die Grundvoraussetzungen schon gegeben sind.

Ansonsten kannst du per TV etc nichts garantieren.

VG
chgorges
chgorges 16.03.2020 aktualisiert um 15:15:25 Uhr
Goto Top
Zitat von @Server-Nutzer:
Wir reden NICHT über Sicherheitsfragen, allein Juristisches ist in dem Zusammenhang für mich von Belang.
Hi,

dann bist du hier bei uns EXAKT falsch, weil es hier nur (sicherheits-)technische Hinweise und keine juristische Auskunft gibt.

Logisch, weil wir Admins und keine studierten Juristen/Anwälte sind.
aqui
aqui 16.03.2020 aktualisiert um 15:39:37 Uhr
Goto Top
Teamviewer ist ein absolutes NoGo in einem Firmennetz !
TeamViewer mal wieder gehackt !
RealVNC vs. Teamviewer

Wenn man das richtig macht als verantwortungsvoller Netzwerker und mit entsprechender Sicherheits Policy der Fa. führt an einem VPN nichts vorbei !
Ob man das dann mit, IPsec, OpenVPN, Wireguard oder mit Bordmitteln usw. macht ist dabei völlig nebensächlich. Das Forum hat genügent Tutorials wie sowas im Handumdrehen umzusetzen ist. Im Zweifel reicht eine simple FritzBox und deren onboard VPN !
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Lochkartenstanzer
Lochkartenstanzer 16.03.2020 aktualisiert um 16:03:03 Uhr
Goto Top
Moin,

Teamviewer ist der falsche Ansatz.

Der richtige Ansatz ist ein VPN + RDP auf Terminal-Server oder auf Arbeitsplatzrechner.

lks

PS: Ihr wißt schon, was Teamviewer-Lizenzen kosten? Die kommen euch auf Dauer teurer als ein ordentlich aufgestelltes System.

PPS: Wenn "Teamviewer" merkt, daß Ihr keine Privatuser seid und wird es dir Funktion alle 5 Minuten einstellen, wenn Ihr keine ordentliche Lizenz habt.
itisnapanto
itisnapanto 16.03.2020 um 16:06:46 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Moin,

Teamviewer ist der falsche Ansatz.

Der richtige Ansatz ist ein VPN + RDP auf Terminal-Server oder auf Arbeitsplatzrechner.

lks


Genau das.
Pjordorf
Pjordorf 16.03.2020 aktualisiert um 16:12:06 Uhr
Goto Top
Hallo,

Zitat von @Lochkartenstanzer:

Moin,
Teamviewer ist der falsche Ansatz.
Si

PS: Ihr wißt schon, was Teamviewer-Lizenzen kosten? Die kommen euch auf Dauer teurer als ein ordentlich aufgestelltes System.
http://w3.channelpartner.de/red.php?r=8716342238824149&lid=1423849& ... Jetzt auch die Business Kostenlos, wegen CORONA...(mit dem IE Öffnen)

Gruß,
Peter
Lochkartenstanzer
Lochkartenstanzer 16.03.2020 um 16:16:16 Uhr
Goto Top
Zitat von @Pjordorf:

Hallo,

Zitat von @Lochkartenstanzer:

Moin,
Teamviewer ist der falsche Ansatz.
Si

PS: Ihr wißt schon, was Teamviewer-Lizenzen kosten? Die kommen euch auf Dauer teurer als ein ordentlich aufgestelltes System.
http://w3.channelpartner.de/red.php?r=8716342238824149&lid=1423849& ... Jetzt auch die Business Kostenlos, wegen CORONA...(mit dem IE Öffnen)

Habe keinen IE:

https://www.pcwelt.de/news/Teamviewer-jetzt-fuer-alle-gratis-wegen-Coron ...

Das war mir entgangen. Ist aber trotzdem die falsche Lösung.

lks
Pjordorf
Pjordorf 16.03.2020 um 16:18:06 Uhr
Goto Top
Hallo,

Zitat von @Lochkartenstanzer:
Ist aber trotzdem die falsche Lösung.
Si Si.

Gruß,
Peter
Server-Nutzer
Server-Nutzer 16.03.2020 um 16:27:26 Uhr
Goto Top
Danke Euch für die fixen Antworten. Leider beantwortet keine die konkrete Frage nach DSGVO, wenn ich nix übersehen habe...


Zitat von @certifiedit.net:

Hallo Jörg,

zieh einen Terminalserver hoch, davor eine UTM (+VPN) und gut, ich hoffe, dass die Grundvoraussetzungen schon gegeben sind.

Ansonsten kannst du per TV etc nichts garantieren.

VG
Das prüfen wir gerade, aber das muss unser "derzeit leicht überlaster" EDV-Dienstleister tun. Zeitliche Perspektive unter ferner liefen.


Zitat von @chgorges:

Zitat von @Server-Nutzer:
Wir reden NICHT über Sicherheitsfragen, allein Juristisches ist in dem Zusammenhang für mich von Belang.
Hi,

dann bist du hier bei uns EXAKT falsch, weil es hier nur (sicherheits-)technische Hinweise und keine juristische Auskunft gibt.

Logisch, weil wir Admins und keine studierten Juristen/Anwälte sind.
Danke für den Hinweis. Und der genaue Leser erkennt, dass ich konkret nach sowas gar nicht frage. Wer an anderer Stelle schon mal was Themenbezogenes gelesen hat und den Link hier nennt, führt EXAKT KEINE juristische Beratung durch.


Zitat von @aqui:

Teamviewer ist ein absolutes NoGo in einem Firmennetz !
TeamViewer mal wieder gehackt !
RealVNC vs. Teamviewer

Wenn man das richtig macht als verantwortungsvoller Netzwerker und mit entsprechender Sicherheits Policy der Fa. führt an einem VPN nichts vorbei !
Ob man das dann mit, IPsec, OpenVPN, Wireguard oder mit Bordmitteln usw. macht ist dabei völlig nebensächlich. Das Forum hat genügent Tutorials wie sowas im Handumdrehen umzusetzen ist. Im Zweifel reicht eine simple FritzBox und deren onboard VPN !
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router

Das prüfen wir gerade, aber das muss unser "derzeit leicht überlaster" EDV-Dienstleister tun. Zeitliche Perspektive leider unter ferner liefen.


Zitat von @Lochkartenstanzer:

Moin,

Teamviewer ist der falsche Ansatz.

Der richtige Ansatz ist ein VPN + RDP auf Terminal-Server oder auf Arbeitsplatzrechner.

lks

PS: Ihr wißt schon, was Teamviewer-Lizenzen kosten? Die kommen euch auf Dauer teurer als ein ordentlich aufgestelltes System.

PPS: Wenn "Teamviewer" merkt, daß Ihr keine Privatuser seid und wird es dir Funktion alle 5 Minuten einstellen, wenn Ihr keine ordentliche Lizenz habt.

VPN ist das Mittel der Wahl, keine Frage, sind wir auch dran. Nur wird das bis zur Umsetzung dauern (s.o.). Es braucht ggf. eine schnelle Interimslösung.

Teamviewer selbst ist momentan großzügig. Außerdem tendiere ich eher zu Anydesk. Anderes Tool, aber Eingangsfragestellung von mir bleibt. Ist das DSGVO-konform?
DCFan01
DCFan01 16.03.2020 aktualisiert um 16:52:23 Uhr
Goto Top
Absolut unverantwortlich für eine Firmen-Netzwerk-Einwahl Teamviewer oder ähnliches zu benutzen und den Usern ( und njicht nur diesen) jegliche Hoheit damit zu überlassen
Sagten auch die anderen schon.

Auch kann man davon ausgehen, dass aus einem vermeintlichen Provisorium ganz schnell ein "Dauer-Zustand" wird....also lieber gleich richtig machen, sofern es irendwie geht.
Lochkartenstanzer
Lochkartenstanzer 16.03.2020 um 16:49:04 Uhr
Goto Top
Zitat von @Server-Nutzer:

VPN ist das Mittel der Wahl, keine Frage, sind wir auch dran. Nur wird das bis zur Umsetzung dauern (s.o.). Es braucht ggf. eine schnelle Interimslösung.

1 Tag, bis das VPN rennt (wen es überhaupt solange dauert). Man nehme notfalls einen normalen PC, haue pfsense drauf und schon bekommst Du IPSEC oder OpenSSL ans rennen. Bei IP-SEC funktionieren Windows-Clients "out of the box" oder mit shrew innerhalb von Minuten.

Ein Terminalserver ist genausoschnell aufgesetzt. Notfalls nimmt man da auch einen PC und die ein Eval-Version des Servers bis die "echten" Lizenzen und der Server da sind. Wenn Du den richtigen Dienstleister fragst, steht das in spätestens 3 Tagen (sofern er Ressourcen frei hat oder Ihr genug zahlt. face-smile)

Teamviewer selbst ist momentan großzügig. Außerdem tendiere ich eher zu Anydesk. Anderes Tool, aber Eingangsfragestellung von mir bleibt. Ist das DSGVO-konform?

Ich persönlich finde Anydesk auch angenehmer als Teamviewer. Aber sicherheitstechnisch ist das kritisch, weil die verbindungen über externe Rechner von Teamviewer., bei denen nciht klar ist, wer alles zugriff drauf hat.

Von daher würde ich da Abstand davon nehmen.

lks
Server-Nutzer
Server-Nutzer 16.03.2020 um 17:08:07 Uhr
Goto Top
Zitat von @DCFan01:

Absolut unverantwortlich für eine Firmen-Netzwerk-Einwahl Teamviewer oder ähnliches zu benutzen und den Usern ( und njicht nur diesen) jegliche Hoheit damit zu überlassen
Sagten auch die anderen schon.

Auch kann man davon ausgehen, dass aus einem vermeintlichen Provisorium ganz schnell ein "Dauer-Zustand" wird....also lieber gleich richtig machen, sofern es irendwie geht.

Es wäre in der Tat kein entstehender Dauerzustand, die VPN-Lösung ist schon in Auftrag gegeben. Nur sehen wir grad, wie die zeitlichen Verläufe für eher kleinere Kunden so sind, so von wegen Abarbeiten nach Priorität durch Dienstleister.


Zitat von @Lochkartenstanzer:

Zitat von @Server-Nutzer:

VPN ist das Mittel der Wahl, keine Frage, sind wir auch dran. Nur wird das bis zur Umsetzung dauern (s.o.). Es braucht ggf. eine schnelle Interimslösung.

1 Tag, bis das VPN rennt (wen es überhaupt solange dauert). Man nehme notfalls einen normalen PC, haue pfsense drauf und schon bekommst Du IPSEC oder OpenSSL ans rennen. Bei IP-SEC funktionieren Windows-Clients "out of the box" oder mit shrew innerhalb von Minuten.

Ein Terminalserver ist genausoschnell aufgesetzt. Notfalls nimmt man da auch einen PC und die ein Eval-Version des Servers bis die "echten" Lizenzen und der Server da sind. Wenn Du den richtigen Dienstleister fragst, steht das in spätestens 3 Tagen (sofern er Ressourcen frei hat oder Ihr genug zahlt. face-smile)

Wenn ich selber persönlich Hand anlegen dürfte, um das selber in Betrieb zu nehmen - ggf. mit professionellerer Unterstützung - gern!
Hoheit über EDV hat aber beauftragter Dienstleister, der - zu Recht - nicht einfach Dritte nen VPN-Zugangs-PC reinklinken läßt.
Andererseits kommen ggf. Abarbeitungen aller unserer Kollegen zum erliegen.

Teamviewer selbst ist momentan großzügig. Außerdem tendiere ich eher zu Anydesk. Anderes Tool, aber Eingangsfragestellung von mir bleibt. Ist das DSGVO-konform?

Ich persönlich finde Anydesk auch angenehmer als Teamviewer. Aber sicherheitstechnisch ist das kritisch, weil die verbindungen über externe Rechner von Teamviewer., bei denen nciht klar ist, wer alles zugriff drauf hat.

Von daher würde ich da Abstand davon nehmen.

lks

Findet denn die komplette Bildschirm/Tastatur-Datenübertragung tatsächlich über deren Teamviewer-Server statt oder initiiert der TV-Server nicht nur die gegenseitige Verbindung und dann ist es ne direkte Verbindung untereinander (Lernfrage)?
Pjordorf
Pjordorf 16.03.2020 aktualisiert um 17:40:20 Uhr
Goto Top
Hallo,

Zitat von @Server-Nutzer:
Findet denn die komplette Bildschirm/Tastatur-Datenübertragung tatsächlich über deren Teamviewer-Server statt oder initiiert der TV-Server nicht nur die gegenseitige Verbindung und dann ist es ne direkte Verbindung untereinander (Lernfrage)?
Deine Lernfrage kannst du bei TV selbst lernen und es dir gar schriftlich anschauen. Aber warum sollte ein Geldhaus (TV wurde verkauft) Feernwartungssoftware sonst Kosenlos (Privat) (und wegen CORONA jetzt eben alles) verschenken? Unser TÜV hat ebenfalls mal geprüft...(Bevor der Eingentümer wechselte).
https://www.teamviewer.com/de/trust-center/sicherheit/

Gruß,
Peter
certifiedit.net
certifiedit.net 16.03.2020 um 17:33:46 Uhr
Goto Top
Wenn ich selber persönlich Hand anlegen dürfte, um das selber in Betrieb zu nehmen - ggf. mit professionellerer Unterstützung - gern!
Hoheit über EDV hat aber beauftragter Dienstleister, der - zu Recht - nicht einfach Dritte nen VPN-Zugangs-PC reinklinken läßt.

Dann solltest du das aber mal in Frage stellen, wenn das so nicht funktioniert - oder zumindest angesprochen wurde.
Server-Nutzer
Server-Nutzer 16.03.2020 um 17:44:26 Uhr
Goto Top
Ohne jetzt zu sehr ins Detail zu gehen, (nicht nur) mein Eindruck über den EDV-Dienstleister ist, der ist anscheinend übervoll mit Aufgaben und wird da oftmals seinen Ankündigungen nicht so wirklich einigermaßen zeitnah bzw. termingerecht gerecht.

Andererseits will man da beim Dienstleister von Seiten der Kundschaft kein "Reinreden". Mein Chef wird sich über die weitere Beauftragung auf Sicht Gedanken machen, das klang neulich schon mal durch...
GrueneSosseMitSpeck
GrueneSosseMitSpeck 16.03.2020 um 18:35:20 Uhr
Goto Top
Teamviewer ist ein rechtlicher Alptraum, deshalb hat es mein Arbeitgeber (ein Konzern mit 400.000 Mitarbeitern weltweit) den Teamviwer wegen
a) einem Veto des Betriebsrates wegen versteckter Überwachungsmöglichkeiten (genaugenommen waren das Logs die nicht anonymisierbar waren)
b) einem Veto der IT Abteilung wegen dem Auffinden von Backdoors bei einem White Hacker Analyse
verboten. Wenn überhaupt dann bitte nur die Portable Variante und nur wenn man eingeladen wird.

Und noch schlimmer, b) wurde vor 5 Jahren an Teamviewer gemeldet und sogar damit garniert daß eine Lösung des Problems einen Erwerb einer fünfstelligen Anzahl an Lizenzen mit sich bringen würden, hat die Firma TV aber mal ganz lässig ignoriert. Würdet ihr so einer Firma vertrauen? Ist immerhin made in Germany so wie SAP auch, aber auch verdammt hochnäsig.

Die kleine bis mittlere Lösung wäre eigentlich ein Citrix Netscaler, plus ein Citrix oder Termianlserver, aber Citrix-Lizenzen sind aktuell mal sowas von ausverkauft, warum nur? Die liefern einfach nicht.
Visucius
Visucius 17.03.2020 um 08:53:35 Uhr
Goto Top
Zitat von @GrueneSosseMitSpeck:
Ist immerhin made in Germany so wie SAP auch, aber auch verdammt hochnäsig.

War mal - jetzt USA-Eigentümer und Börsengang!
Dirmhirn
Dirmhirn 17.03.2020 um 10:15:03 Uhr
Goto Top
Hi,

welche DSGVO Bedenken habt ihr denn? Überwachung der eigenen Mitarbeiter (VPN loggt das ja auch) oder habt ihr sensible Kundendaten?

Wie groß seid ihr?

mit VPN - könnten alle User einfach PC & Monitor heim tragen? Haben alle Laptops?

sg Dirm
Sheogorath
Sheogorath 17.03.2020 um 10:28:41 Uhr
Goto Top
Moin,

Im Grunde gilt auch hier wieder, es kommt drauf an. Die DSGVO verbietet den Einsatz von Remote-Wartungs Software wie Teamviewer oder Anydesk nicht grundsätzlich.

Zunächst mal gilt es eine Analyse über Möglichkeiten zu bilden und diese Gegeneinander abzuwägen. Die DSGVO sagt, dass du bei Entscheidungen im Unternehmen stets Datenschutz miteinfließen lassen musst und deine Gedanken hierzu auch zu dokumentieren hast. Siehe hierzu Artikel 25 DSGVO. Insbesondere bist du dann dazu angehalten die Datenschutzfreundlichste Lösung zu nutzen, die dein Problem löst.

Was gilt es zu beachten? Grundsätzlich gilt sicherzustellen und zu dokumentieren auf welche personenbezogenen Daten eine Firma Zugriff haben könnte. Wenn ihr also Teamviewer für den office betrieb einsetzt kann das halt heißen "alle". Nur müsst ihr das halt auseinander bröseln.

Außerdem solltest du nochmal separat eine Erwägung treffen wenn es jeweils un besonders schützenswerte Daten, wie Personal-/Stammdaten geht. Hier kan n man argumentiert, dass Teamviewer keine ausreichenden Schutzmaßnahmen bietet, da es zum Beispiel nicht sicherstellt dass ein Zugriff durch Dritte, also Teamviewer als Firma, Zugriff auf diese Daten erhalten könnten ohne es zu müssen. Siehe Artikel 9.

Natürlichen wie immer der Hinweis ich betreibe weder Rechtsberatung noch bin ich Anwalt. Euer Ubternehmensanwalt freut sich aber sicher, wenn du ihm einen DAV zur Prüfung überreichst, sowie eine aktualisierte Datenschutzerklärung. Keine Sorge, der baut da schon was, wenn ihr das unbedingt wollt.

In diesem Sinne…

Gruß
Chris
Server-Nutzer
Server-Nutzer 18.03.2020 um 19:37:01 Uhr
Goto Top
Zitat von @GrueneSosseMitSpeck:

Teamviewer ist ein rechtlicher Alptraum, deshalb hat es mein Arbeitgeber (ein Konzern mit 400.000 Mitarbeitern weltweit) den Teamviwer wegen
a) einem Veto des Betriebsrates wegen versteckter Überwachungsmöglichkeiten (genaugenommen waren das Logs die nicht anonymisierbar waren)
Das kann ich nachvollziehen.

Bei uns (mit ca 20-25 MAs) wäre es ja so, dass lediglich ein Teil der Leute schnell und zügig ein Homeoffice schaffen könnten um Infektionsketten zu veringern. Von der Arbeitnehmervertretung und wohl auch vom Chef wäre ein Go zu erwarten.

b) einem Veto der IT Abteilung wegen dem Auffinden von Backdoors bei einem White Hacker Analyse
verboten. Wenn überhaupt dann bitte nur die Portable Variante und nur wenn man eingeladen wird.

Die Portable-Variante funktioniert auch ganz gut, allerdings muss der Benutzer angemeldet sein und bleiben.


Zitat von @Dirmhirn:

Hi,

welche DSGVO Bedenken habt ihr denn? Überwachung der eigenen Mitarbeiter (VPN loggt das ja auch) oder habt ihr sensible Kundendaten?

Einzelne (eher eine einzige) Personen haben da Bedenken "Die DSGVO verböte den Einsatz eines Teamviewer!" - Nunja, unser (externer) Datenschutzbeauftragter hätte da wenig Bedenken, gab ein paar zu erledigende Hinweise/ToDos und das war's aus seiner rechtlichen Sicht.

Ja, es gibt auch schützenswerte Daten. Aber diejenigen (die meisten), die für Homeoffice in Frage kämen, würden nicht weiter schützenswerte Daten bearbeiten.


Wie groß seid ihr?
20-25 MA's


mit VPN - könnten alle User einfach PC & Monitor heim tragen? Haben alle Laptops?

Nein, alle feste PC. Aber es scheint sich jetzt was zu tun in Sachen VPN und kurzfristige Beschaffung von Laptops als Homeoffice-PC.


Zitat von @Sheogorath:

Moin,

Im Grunde gilt auch hier wieder, es kommt drauf an. Die DSGVO verbietet den Einsatz von Remote-Wartungs Software wie Teamviewer oder Anydesk nicht grundsätzlich.

So sieht es unser ext. Datenschutzbeauftragter auch.


Zunächst mal gilt es eine Analyse über Möglichkeiten zu bilden und diese Gegeneinander abzuwägen. Die DSGVO sagt, dass du bei Entscheidungen im Unternehmen stets Datenschutz miteinfließen lassen musst und deine Gedanken hierzu auch zu dokumentieren hast. Siehe hierzu Artikel 25 DSGVO. Insbesondere bist du dann dazu angehalten die Datenschutzfreundlichste Lösung zu nutzen, die dein Problem löst.

OK.


Was gilt es zu beachten? Grundsätzlich gilt sicherzustellen und zu dokumentieren auf welche personenbezogenen Daten eine Firma Zugriff haben könnte. Wenn ihr also Teamviewer für den office betrieb einsetzt kann das halt heißen "alle". Nur müsst ihr das halt auseinander bröseln.

Ja nun, wäre nach Abteilungen aufdröselbar/trennbar.


Außerdem solltest du nochmal separat eine Erwägung treffen wenn es jeweils un besonders schützenswerte Daten, wie Personal-/Stammdaten geht. Hier kan n man argumentiert, dass Teamviewer keine ausreichenden Schutzmaßnahmen bietet, da es zum Beispiel nicht sicherstellt dass ein Zugriff durch Dritte, also Teamviewer als Firma, Zugriff auf diese Daten erhalten könnten ohne es zu müssen. Siehe Artikel 9.

Personalabteilung würde kein Homeoffice machen.


Natürlichen wie immer der Hinweis ich betreibe weder Rechtsberatung noch bin ich Anwalt. Euer Ubternehmensanwalt freut sich aber sicher, wenn du ihm einen DAV zur Prüfung überreichst, sowie eine aktualisierte Datenschutzerklärung. Keine Sorge, der baut da schon was, wenn ihr das unbedingt wollt.

Danke für die ausführlichen Tipps.
Dirmhirn
Dirmhirn 19.03.2020 um 10:30:08 Uhr
Goto Top
es muss ich dein Chef überlegen. Aber bei uns wurde in DE gezögert. AT ist schon seit einer Woche im Homeoffice. wir sind "einfach" Heim. Haben uns dann organisiert. Hatten halt schon das VPN.

In DE (sind sie aber auch mehr) wurde gezögert. Jetzt gibt es einen Verdachtsfall, der die letzte Woche quer durch alle Abteilungen marschiert ist.

Das halbe Büro eine Woche früher heim schicken und bissl TV nutzen lassen oder alle beinander hocken lassen und riskieren, dass die ganze Bude in Quarantäne kommt.

DSGVO schön und gut, aber hört sich jetzt nicht so an als wärt ihr ein Hochsicherheitsoffice. in 2 Wochen kannst dich dann wieder um DSGVO kümmern. den einen MA lässt halt im Büro, bis ihm sein Laptop und VPN geliefert wird.
Bei uns haben alle aktiv mitgeholfen. Nutzen ihr Monitore zu Hause. haben Platz geschafft für Workstations....

nur meine Meinung.

sg Dirm
Lochkartenstanzer
Lochkartenstanzer 19.03.2020 aktualisiert um 10:34:07 Uhr
Goto Top
Zitat von @Dirmhirn:

DSGVO schön und gut, aber hört sich jetzt nicht so an als wärt ihr ein Hochsicherheitsoffice. in 2 Wochen kannst dich dann wieder um DSGVO kümmern.


Und in zwei Wochen haben die five eyes jeden Computer der Welt unter Ihrer Kontrolle, denn es wäre blöd, so eine Gelegenheit verstreichen zu lassen. face-smile

lks
certifiedit.net
certifiedit.net 19.03.2020 um 10:33:34 Uhr
Goto Top
Tja, dann kommt erst die Corona-Problematik und dann die Datenschutzbehörde. Und übermorgen dann zu machen?
Dirmhirn
Dirmhirn 19.03.2020 um 11:10:22 Uhr
Goto Top
Den Beitrag kann ich in AT leider nicht ansehen - Corona Schutz face-wink

wie gesagt meine Meinung.
Corona Thema = real, FBI & CIA = ja von mir aus. mit 2 Wochen TV werden sie die Firma nicht übernehmen. Sicher, wenn das eine Dauerlösung wird ist's was anderes.

es geht hier um 25 Personen und "normale" Büroarbeit, nicht mal HR wäre dabei.

das hört sich an wie Tirol. naa wir können die Lifte leider ned zu machen, weil sonst kommt noch das AMS and beschwert sich wegen Kündigungen. Dort kann man jetzt auch per online Formular und rückwirkend und überhaup , sich arbeitslos melden.

dass die Datenschutzbehörden jetzt nach TV homeoffice usern forschen? wirklich?
Firewall raus und direkt RDP oder was weiß ich, dass wäre wohl grob fahrlässig. Aber als Übergangslösung TV um die MA zu schützen.
chgorges
chgorges 19.03.2020 um 11:31:03 Uhr
Goto Top
Zitat von @Dirmhirn:
das hört sich an wie Tirol. naa wir können die Lifte leider ned zu machen, weil sonst kommt noch das AMS and beschwert sich wegen Kündigungen. > Dort kann man jetzt auch per online Formular und rückwirkend und überhaup , sich arbeitslos melden.

Hört sich definitiv nach Deutschland an face-smile Stichwort Befindlichkeiten, das dominiert alles andere und blockiert alles weitere. Fehlen definitiv Eier hier...
Server-Nutzer
Server-Nutzer 21.03.2020 um 15:31:17 Uhr
Goto Top
Mein Standort ist Deutschland.

Und ich persönlich würde - wie unser Datenschutzbeauftrager übrigens auch - zunächst auf die Aufrechterhaltung der Handlungsfähigkeit unter leichten Abstrichen bei Datenschutzvorschriften setzen.

Wenn man dann zeitgleich die VPN/Homeoffice-Lösung angeht und die temporären Teamviewer/Anydesk-Lösungen wieder abschaltet, dann ist allen geholfen.

Meine Meinung, muss man nicht teilen.
certifiedit.net
certifiedit.net 21.03.2020 um 15:42:26 Uhr
Goto Top
Hi Jörg,

Habt ihr euren bisherigen Betreuer denn soweit, dass es voran geht?
Server-Nutzer
Server-Nutzer 21.03.2020 um 22:07:38 Uhr
Goto Top
Zitat von @certifiedit.net:

Hi Jörg,

Habt ihr euren bisherigen Betreuer denn soweit, dass es voran geht?
Ja, ein Teil der MAs bekommen jetzt Laptops mit VPN, aber ein anderer Teil geht (noch) leer aus.
Aber noch haben wir die Geräte nicht in Händen und dann glaube ich das auch erst...

LG
Jörg
Pitti259
Lösung Pitti259 23.03.2020 um 13:12:31 Uhr
Goto Top
Wenn Du die DSGVO bzw. BDSG (neu) als Grundsatzfrage in den Raum stellst, solltest Du erst mal eruieren welche Daten da eigentlich drüber gehen. Sind hier Personaldaten dabei (oder andere besondere Kategorien personenbezogener Daten), würde ich von jeglichem Zugriff von privaten Geräten, auch die Fernsteuerung der Büro-PCs fällt da drunter, unbedingt absehen. Sind es "nur" normale personenbezogene Daten, könntet ihr das so machen, allerdings ist eine Speicherung, also ein herunterziehen dieser Daten auf den privaten PC strikt zu verbieten. Ja, ja, ja, auch das Betrachten von personenbezogenen Daten über eine Fernsteuerung ist eine Verarbeitung, welche auf den privaten PCs nur zu erlauben wäre wenn das entsprechende Sicherheitsniveau dort tatsächlich sicher gestellt werden kann. Wenn wir das ganz eng sehen, müssten wir 90% aller Home-Offices abschalten.

Ich persönlich, nach meiner unmaßgeblichen Meinung, halte die Verschlüsselung von Teamviewer für einfache personenbezogene Daten für ausreichend. Aber, unser Jörg muss vor der Inbetriebnahme eines Verfahrens eh eine Risikoanalyse anfertigen, das Restrisiko muss der Verantwortliche, also die Geschäftsführung, unterschreiben.

Ciao
Pitti
scruiD
scruiD 20.04.2020 um 13:37:03 Uhr
Goto Top
Moin,

ich bin auch kein Jurist, aber im Rahmen meines Tätigkeitsfeldes "IT" stets mit Datenschutz und Co betraut.

Meiner Meinung nach schließt sich die legale Anwendung unter der klassischen Verwendung von Teamviewer in den allermeisten Fällen aus.

DENN:

Es muss stets sichergestellt sein, dass niemand Drittes unerlaubten Zugriff oder Einsicht auf persönliche und personenbezogene Daten erhält.

Da bei der Verwendung von Teamviewer die direkte Verbindung auf die Konsole erfolgt, lässt sich meistens vor Ort durch Dritte der Zustand einräumen, dass man diese Konsolensitzung visuell abgreifen kann.
Selbst wenn an den betreffenden Rechner keinen Monitor anschließen würde, so müsste weiterhin ja sichergestellt sein, dass auch kein Hausmeister oder Reinigungspersonal einen physischen Zugriff zum Rechner bekommt und einen eigenen Monitor anschliesst.

Kurzfassung - alles was den Remotezugriff nicht in einer geschlossenen/gesperrten Umgebung ermöglicht, wie eben klassisches RDP mit vorgelagertem VPN - geht aus meiner Sicht heraus nur dann legal zu betreiben, wenn ich die alleinige Schlüsselgewalt zum physischen Zugriff meines PCs besitze.
Das betrifft also vermutlich nur kleine, inhabergeführte Unternehmen und dann eben auch nur die Chefs, denn für deren Angestellte gilt ja das Kriterium des exklusiven Zugriffs schon wieder nicht mehr.

Aber anders herum - wir haben 2020 und ich kenne genau 2 Unternehmen, welche noch kein VPN nutzen obwohl sie es bräuchten, da liegt es aber an der Bandbreite des WAN anstatt an der fehlenden Hardware... ich verstehe deshalb den grundlegenden Ansatz nicht so richtig.

Und da wir uns als "IT-ler" alle(!) immer(!) ganz strikt(!) an den Datenschutz(!) halten, wissen wir das alle eigentlich und sind nur aus reiner IT-Faszination dahin übergegangen, die Fragestellung fachlich zu betrachten.

Außer vielleicht diejenigen mit dem "PC-Führerschein", die verkaufen so ne Sch*sse an ihren Kunden mit utopischen Dienstleistungssätzen. ^^
Server-Nutzer
Server-Nutzer 20.04.2020 um 19:01:50 Uhr
Goto Top
Zitat von @scruiD:
Es muss stets sichergestellt sein, dass niemand Drittes unerlaubten Zugriff oder Einsicht auf persönliche und personenbezogene Daten erhält.

Da bei der Verwendung von Teamviewer die direkte Verbindung auf die Konsole erfolgt, lässt sich meistens vor Ort durch Dritte der Zustand einräumen, dass man diese Konsolensitzung visuell abgreifen kann.
Selbst wenn an den betreffenden Rechner keinen Monitor anschließen würde, so müsste weiterhin ja sichergestellt sein, dass auch kein Hausmeister oder Reinigungspersonal einen physischen Zugriff zum Rechner bekommt und einen eigenen Monitor anschliesst.

Nun, ein Szenario, in der *irgendeine* Person mit Schlüsselgewalt (Putzkraft, Hausmeister etc.) sich Zugang verschafft _und_ nen (mitgebrachten) Monitor anschließt, halte ich persönlich für ein wirklich utopisches Szenario. Es gilt dann abzuwägen, schließe ich den Laden oder lasse (mangels noch nicht lieferbarer VPN-Technik) den Laden per Homeoffice weiterlaufen. Wenn man lediglich den Monitor einschalten müsste, ja, dann gebe ich Dir Recht. Läuft der PC ohne Monitor, dann ist das weitestgehend sicher für (Corona)Alltag (natürlich unsicherer als VPN/RDP, keine Frage).



Aber anders herum - wir haben 2020 und ich kenne genau 2 Unternehmen, welche noch kein VPN nutzen obwohl sie es bräuchten, da liegt es aber an der Bandbreite des WAN anstatt an der fehlenden Hardware... ich verstehe deshalb den grundlegenden Ansatz nicht so richtig.

Naja, jetzt nach etlichen Wochen dürften die IT-Dienstleister und Hardware-Lieferanten das VPN-Material herangeschafft und eingerichtet haben. Ne ganze Zeit lang sah es aber so aus, dass mehrere Wochen eben nicht die VPN-Zugänge von heute auf Morgen eingerichtet werden können. Die Welt bleibt nicht stehen und dann bleibt die pragmatische Entscheidung im Raum: Betrieb stilllegen, weil Teamviewer oder Anydesk ein gewisses Risiko bedeuten oder eben die Technik (übergangsweise) nutzen und man verdient noch Geld.
certifiedit.net
certifiedit.net 20.04.2020 um 19:41:25 Uhr
Goto Top
Nun, ein Szenario, in der *irgendeine* Person mit Schlüsselgewalt (Putzkraft, Hausmeister etc.) sich Zugang verschafft _und_ nen (mitgebrachten) Monitor anschließt, halte ich persönlich für ein wirklich utopisches Szenario. Es gilt dann abzuwägen, schließe ich den Laden oder lasse (mangels noch nicht lieferbarer VPN-Technik) den Laden per Homeoffice weiterlaufen. Wenn man lediglich den Monitor einschalten müsste, ja, dann gebe ich Dir Recht. Läuft der PC ohne Monitor, dann ist das weitestgehend sicher für (Corona)Alltag (natürlich unsicherer als VPN/RDP, keine Frage).

Wieso sollte VPN Technik nicht lieferbar sein? Ich hab gerade den letzten Kunden per 2 Tage VPN-ready gemacht, mit ordentlicher VPN Technik.
certifiedit.net
certifiedit.net 20.04.2020 um 19:43:31 Uhr
Goto Top
Naja, jetzt nach etlichen Wochen dürften die IT-Dienstleister und Hardware-Lieferanten das VPN-Material herangeschafft und eingerichtet haben. Ne ganze Zeit lang sah es aber so aus, dass mehrere Wochen eben nicht die VPN-Zugänge von heute auf Morgen eingerichtet werden können. Die Welt bleibt nicht stehen und dann bleibt die pragmatische Entscheidung im Raum: Betrieb stilllegen, weil Teamviewer oder Anydesk ein gewisses Risiko bedeuten oder eben die Technik (übergangsweise) nutzen und man verdient noch Geld.

Naja, wenn du bei den überbuchten anklopfst, die dann noch mit Troubleshooting hinterherhinken, klar...

Wie gesagt, geht schneller, wenn man weiss, wo man anklopfen muss. Aber du lässt dir doch sicher auch nicht abgefahrene Reifen montieren, nur, weil der Händler nicht die passenden da hat, oder?
Server-Nutzer
Server-Nutzer 22.04.2020 um 21:45:22 Uhr
Goto Top
Zitat von @certifiedit.net:

Wieso sollte VPN Technik nicht lieferbar sein? Ich hab gerade den letzten Kunden per 2 Tage VPN-ready gemacht, mit ordentlicher VPN Technik.
Zu dem Zeitpunkt (als klar wurde, dass Homeoffice anzuordnen ist), waren mehrere Dienstleister nicht in der Lage, innerhalb weniger Tage VPN-Material zu beschaffen und zu installieren. Dann muss die Führungsetage eine Entscheidung treffen. Entweder nicht arbeiten können vom Homeoffice oder eben alternativ mit nicht so sicherer Technik arbeiten können.

Zitat von @certifiedit.net:

Naja, wenn du bei den überbuchten anklopfst, die dann noch mit Troubleshooting hinterherhinken, klar...

Wie gesagt, geht schneller, wenn man weiss, wo man anklopfen muss. Aber du lässt dir doch sicher auch nicht abgefahrene Reifen montieren, nur, weil der Händler nicht die passenden da hat, oder?
Nicht alles , was hinkt ist ein Vergleich.

Wenn tausende Unternehmen zeitgleich VPN-Technik ordern, dann kommt das zu solchen Situationen. Nicht alle werden zeitgleich bedient werden können.
certifiedit.net
certifiedit.net 22.04.2020 um 21:54:51 Uhr
Goto Top
Zu dem Zeitpunkt (als klar wurde, dass Homeoffice anzuordnen ist), waren mehrere Dienstleister nicht in der Lage, innerhalb weniger Tage VPN-Material zu beschaffen und zu installieren. Dann muss die Führungsetage eine Entscheidung treffen. Entweder nicht arbeiten können vom Homeoffice oder eben alternativ mit nicht so sicherer Technik arbeiten können.

hättest angeklopft. face-wink