Datensicherheit 4.0: Was Fachkräfte für Arbeitssicherhei ... / 4.3 Personenspezifische Maßnahmen

• Neben technischen und organisatorischen Aspekten ist es auch Aufgabe der Sifa, die Auswirkungen der Technologien auf den Menschen zu beurteilen – positiv wie negativ. Hintergrund ist, dass Führungskräfte und Beschäftigte im Umgang mit 4.0-Technologien entlastet oder auch zusätzlich belastet werden, sich der Umgang miteinander wandelt und sich das Verhältnis jedes Einzelnen zum Betrieb und zum Arbeitsprozess verändern kann. Dies ist besonders hinsichtlich der Themen psychischen Belastungen, Teilhabe/Ausgrenzung bestimmter Gruppen (z. B. nicht technikaffine) oder der Mitbestimmung (z. B., wenn die Software Vorgaben macht) zu empfehlen. Dabei sollte die Sifa beurteilen, wie sich Arbeitsprozesse verbessern und sicherer und gesundheitsgerechter gestalten lassen. So können z. B. technische Assistenzsysteme (z. B. Datenbrillen, Exoskelette, Sensorik) zur Verbesserung des Arbeits- und Gesundheitsschutzes beitragen oder die virtuelle Realität ermöglicht das Durchspielen von Bedrohungsszenarien bzw. die Gestaltung von Arbeitsplätzen. Auch kann die Gefährdungsbeurteilung mithilfe von 4.0-Technologien erfolgen und somit im Prozess potenziell vereinfacht werden.
• Unsicheres, verantwortungsloses Nutzerverhalten sollte vermieden werden. Ein wichtiger Schlüssel dazu ist die Gebrauchstauglichkeit der Technologie (z. B. selbsterklärende Menüführung, Kontraststärke, eindeutige Befehle, Bestätigung einer Löschung etc.). Die Sifa kann eine gebrauchstaugliche Gestaltung der Technologie bereits bei der Planung anstoßen.^[1]
• Für einen sicheren Umgang mit Technologie ist nicht ein spezifisches IT-Detailwissen relevant, sondern das grundlegende Vermögen, genutzte Arbeitsmittel "richtig" einsetzen zu können. Hierzu ist ein Sicherheitsbewusstsein wichtig. Oftmals besteht im Betrieb geringes Bewusstsein für Risiken im Datenumgang, besonders bei ortsflexibler Arbeit (z. B. auf Baustellen, beim Kunden) und die damit möglichen Datensicherheitsrisiken. In Unternehmen sollte ein Sicherheitsbewusstsein etabliert werden, denn die Mitarbeiter als Hauptnutzer einer Technologie sind meist größte Schwachstelle in der Absicherung von Unternehmen. Deswegen sollten die Mitarbeiter regelmäßig zum Thema "Datensicherheit" zur Sensibilisierung und Anwendung sowie zur Information zum Vorgehen im Falle des Falles geschult werden. Solche Schulungen können durch die Sifa bzw. gemeinsam mit der für Datensicherheit verantwortlichen Person im Betrieb, aber auch durch externe Experten, wie Hersteller oder Handels- und Handwerksorganisationen, durchgeführt werden.
• Bei der Einführung einer neuen Technologie sollten alle Beschäftigten ausreichend Raum und Zeit erhalten. In diesem Zusammenhang ist eine schrittweise Einführung (nicht alles auf einmal) zu empfehlen. Die Sifa kann hierbei die Rolle übernehmen, Beschäftigten hilfreich zur Seite zu stehen und Rückmeldungen zur Technologie und dem sicheren Umgang damit einzuholen.
• Die Nutzung privater Geräte im Arbeitskontext (BYOD) wird nicht empfohlen (siehe dazu auch Abschn. 2.1). Wenn eine Nutzung unbedingt erforderlich ist, sollten die Nutzer in Bezug auf den sicheren Umgang mit Daten angewiesen, unterwiesen und für potenzielle Risiken sensibilisiert werden. Die Sifa sollte die Risiken und Gefährdungs- und Belastungsfaktoren identifizieren, analysieren, beurteilen und dokumentieren und die Mitarbeiter darin unterweisen.
• Alle Beschäftigten sollten in ihrer Gesundheitskompetenz und ihrem Sicherheitsbewusstsein fortlaufend geschult und sensibilisiert werden. Die Sifa kann hier Empfehlungen und Unterstützung bieten, wenn es um die Identifikation von Maßnahmen, die Bereitstellung von Materialien oder die Durchführung von kleineren Informationsveranstaltungen geht.

Viele der beschriebenen Maßnahmen fußen auf einem aufgeklärten, kompetenten Umgang mit Daten. Dazu muss man kein IT-Experte sein – es reicht oftmals bereits, die "richtigen" Fragen zu stellen. Diese Fragen können z. B. sein: Welche Daten werden erhoben?, Wo sind diese gespeichert?, Wie werden sie mit anderen Daten verknüpft?, Wer hat darauf Zugriff? oder auch: Wem gehören die erzeugten Daten? Welche Aufgaben die Sifa konkret übernimmt und wo die Schnittstellen zu anderen verantwortlichen Personen, z. B. Datenschutzbeauftragter oder externe Berater, im Unternehmen gelagert sind, sollte spezifisch für den Betrieb festgelegt werden.

Bei der Beschreibung möglicher Maßnahmen muss deutlich werden, dass diese nur erfolgreich sein können, wenn ein ganzheitlicher Lösungsansatz verfolgt wird. D. h., dass technische Maßnahmen durch organisatorische und/oder personelle Maßnahmen flankiert und unterstützt werden müssen. So nutzt es z. B. nichts, Kriterien für die Einrichtung einer Cloud festzulegen, wenn diese nicht dokumentiert und im Unternehmen bekannt sind und die zuständigen Personen diese auch kompetent umsetzen.

Viele der obigen Empfehlungen mögen sehr zeitintensiv wirken. So beinhaltet Sicherheit bereitzustellen einen Kompromiss, oft bezüglich Kosten, Funktionalität ode...