Homeoffice

(Stand: März 2021)

Datenschutz im Homeoffice

Die Covid-19-Pandemie hat die Arbeit im Homeoffice beschleunigt. Dank zunehmender Digitalisierung von Daten ist das auch immer öfter sinnvoll möglich. Dabei sind jedoch Vorgaben der Datensicherheit (Art. 32 DS-GVO) und der IT-Sicherheit zu beachten. Unabhängig davon sollten Unternehmer den Schutz ihrer Geschäftsgeheimnisse nicht aus dem Blick verlieren. In diesem Beitrag habe ich einige Anforderungen zusammengetragen.

Beachten Sie insoweit auch meine Empfehlungen zu Messenger- und Videokonferenzdiensten.

1. Gibt es eine Pflicht zum Homeoffice?

Obwohl dies eine Frage des Arbeits- und nicht des Datenschutzrechts ist, ist festzuhalten, dass der Arbeitgeber nach aktueller Rechtslage (März 2021) zwar “im Fall von Büroarbeit” Homeoffice-Tätigkeit anbieten muss, wenn keine “zwingenden betriebsbedingten Gründe” entgegenstehen. Das ergibt sich aus der Corona-Arbeitsschutzverordnung. Der Arbeitgeber kann den Arbeitnehmer aber nicht gegen seinen Willen ins Homeoffice zwingen. Die Privatwohnung des Arbeitnehmers ist keine Arbeitsstätte und nicht alle Privatwohnungen eignen sich dazu. Besteht ein Betriebsrat, sind außerdem dessen Mitbestimmungsrechte zu beachten.

In diesem Zusammenhang sollte nicht vergessen werden, dass auch im Homeoffice zumindest Mehrarbeitszeiten aufgezeichnet werden müssen (§ 16 Arbeitszeitgesetz).

Auch sollten gerade selbstständig tätige Mitarbeiter anhand ihres Mietvertrags überprüfen, inwieweit sie in ihrer Privatwohnung berufliche Tätigkeiten ausüben dürfen.

2. Wer stellt die Hard- und Software?

Einigen sich die Parteien auf Homeoffice-Tätigkeiten, liegt es am Arbeitgeber, dem Arbeitnehmer die Betriebsmittel zur Verfügung zu stellen, also beispielsweise einen Laptop und die erforderliche Software.

Das empfiehlt sich auch aus Gründen der Datensicherheit dringend, da sonst die Gefahr besteht, dass geschäftliche Daten mit privaten vermischt werden und Schadsoftware, die sich häufig unerkannt auf privaten Rechnern befindet, auf geschäftliche Daten übergreift. Das kann zur Schadensersatzpflicht und hohen Bußgeldern des Arbeitgebers führen. Überhaupt empfiehlt es sich, Geräte rein dienstlich zu nutzen; bedenken Sie beispielsweise, dass Whatsapp regelmäßig das vollständige Adressbuch ausliest und übermittelt, selbst wenn Sie nur mit einigen dieser Rufnummern aktiv “whatsappen”. Nur bei dienstlichen Endgeräten kann der Arbeitgeber frei festlegen, welche Software installiert wird, dass nur sichere Passwörter verwendet werden oder dass ordnungsgemäße Datensicherungen erfolgen. Der Arbeitgeber muss auch mit dem sogenannten Verarbeitungsverzeichnis eine Katalogisierung der Verarbeitungsarten vornehmen (Art. 30 DS-GVO), deren Einhaltung er bei privaten Endgeräten kaum kontrollieren kann. Der Arbeitgeber kann nicht vom Arbeitnehmer verlangen, auf privaten Rechnern bestimmte, dienstlich benötigte Software zu installieren, zumal auch hier vielfach eine Trennung zwischen privaten und dienstlichen Daten nicht gewährleistet werden kann, einmal abgesehen von lizenzrechtlichen Problemen.

Es ist auch nicht realistisch, von Arbeitnehmern eine Absicherung ihres Rechners nach professionellen Maßstäben zu erwarten, dies ist auch nicht ihre Aufgabe. Selbst wenn ein Arbeitnehmer einen neuen Rechner aus einem Elektronikmarkt einsetzt, sind aktuelle Betriebssysteme wie Windows 10 im Auslieferungszustand häufig nicht DS-GVO-konform, da Standardeinstellungen falsch gesetzt sind und unkontrolliert Daten in Drittstaaten übermittelt werden, wie amtlich bestätigt wurde und sich seitdem auch nicht substanziell geändert hat.

Nach Art. 5 DS-GVO trägt der Arbeitgeber die Beweislast dafür, dass er angemessene Maßnahmen zur Datensicherheit getroffen hat.

3. Erreichbarkeit des Arbeitnehmers

Soll der Arbeitnehmer dienstlich telefonisch oder per E-Mail erreichbar sein, muss der Arbeitgeber ihm auch dienstliche E-Mail-Accounts und gegebenenfalls einen dienstlichen Telefonanschluss zur Verfügung stellen. Der Arbeitgeber hat keinen Anspruch darauf, private Telefonnummern oder E-Mail-Adressen seiner Arbeitnehmer zu kennen (Landesarbeitsgericht Thüringen, Urt. v. 16.05.2018 – 6 Sa 442/17), erst recht sie im Unternehmen oder gegegnüber Kunden zu verbreiten. Ebenso wenig müssen Arbeitnehmer die Kosten für geschäftliche Telekommunikationsleistungen tragen. Persönlicher Tipp: Wenn Sie über wenigstens 50 geschäftliche Telekommunikationsanschlüsse verfügen oder bei etwas weniger Anschlüssen hohe Auslands-Roamingkosten haben, lohnt sich insoweit meist eine professionelle Kostenoptimierung.

Aber auch im eigenen Interesse seiner Datensicherheit sollte der Arbeitgeber keine Unternehmensdaten an unkontrollierbare, oft unbemerkt infizierte und aus dem Support gelaufene private Telefonanlagen sowie an rechtlich problematische E-Mail- oder Cloud-Provider (Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DS-GVO?) streuen, die oft für geschäftliche Nutzung ungeeignet sind.

4. Zugriff auf das Unternehmensnetzwerk

Um einen Zugriff auf das Unternehmensnetzwerk zu ermöglichen, sollte ein Virtual Private Network (VPN) eingerichtet werden, das für ausreichende Authentifizierung (Benutzername, Passwort usw.) sorgt und die übertragenen Daten verschlüsselt. Es gibt hierfür Standardlösungen, bei denen der Arbeitnehmer in Wirklichkeit auf einem virtuellen Rechner des Arbeitgebers arbeitet und, vereinfacht gesagt, lediglich das Bild auf seinen Rechner übertragen wird. So finden die maßgeblichen Datenverarbeitungen trotz Homeoffice auf Rechnern im Unternehmen statt und der Arbeitgeber behält die Kontrolle und muss nicht jede Software für jeden Client einzeln warten.

5. Härtung der IT-Systeme

Der Arbeitgeber sollte die beteiligten Systeme richtig konfigurieren und härten. Er muss notwendige Patches installieren, eine Antiviren-Software und eine Firewall verwenden und warten.

Externe Laptops und Datenträger sind, wenn personenbezogene oder sonst sensible Daten enthalten sind, zu verschlüsseln. Keine Verschlüsselung ist die bloße Abfrage von Benutzername und Passwort bei der Windows- oder Netzwerkanmeldung. Werden Datenträger nicht verschlüsselt, kann dies im Verlustfall sogar eine Pflicht zur Selbstanzeige des Arbeitgebers nach Art. 33 DS-GVO und möglicherweise zur Benachrichtigung mitbetroffener Geschäftspartner und Kunde nach Art. 34 DS-GVO auslösen.

6. Wie ist der Homeoffice-Arbeitsplatz zu gestalten?

Der Arbeitgeber sollte nachweisbar anordnen, dass aus Gründen der Vertraulichkeit Informationen keinen anderen Angehörigen des Haushalts zugänglich gemacht werden. Dazu sollte der Arbeitnehmer möglichst ein eigenes Zimmer verwenden. Ist das nicht möglich, sollte der Rechner zumindest so platziert werden, dass der Bildschirm nicht von anderen eingesehen werden kann, gegebenenfalls durch Sichtschutzfolien. Fenster und Türen sind gegebenenfalls zu schließen, vor allem bei dienstlichen Video- oder Telefongesprächen. Beim Verlassen des Arbeitsplatzes ist eine Bildschirmsperre zu aktivieren.

Unterlagen sind nach der Arbeit in einem abschließbaren Schrank aufzubewahren, der gegebenenfalls vom Arbeitgeber bereitzustellen ist. Nicht mehr benötigte Unterlagen sind nicht über den privaten Hausmüll zu entsorgen, sondern es sind entweder ausreichende Aktenvernichter zur Verfügung zu stellen und zu verwenden, oder es sind diejenigen im Betrieb zu verwenden. Welche Aktenvernichter geeignet sind (Partikelgröße), richtet sich nach der Sensibilität der Daten. Generell sollten dienstliche Unterlagen nicht oder nur im Rahmen des Notwendigen nach Hause mitgenommen werden.

7. Homeoffice-Richtlinie

Verhaltensregeln (siehe vorige Ziffer) sollte der Arbeitgeber, auch aus Beweisgründen, in einer Richtlinie in Gestalt einer Arbeitsanweisung festhalten. Darin sollte klargestellt werden, dass dienstliche Regelungen zur IT-Sicherheit und zum Datenschutz auch im Homeoffice gelten.

Auch besteht bei bestimmten Fällen der Verletzungen der Datensicherheit eine Meldepflicht des Arbeitgebers gegenüber der Datenschutz-Aufsichtsbehörde, die binnen 72 Stunden zu erfüllen ist. Diese muss auch im Homeoffice erfüllt werden.

Viele Unternehmen verarbeiten (sei es als Haupttätigkeit oder nicht) für andere Unternehmen Daten im Auftrag (Art. 28 DS-GVO) und haben in diesem Zusammenhang bestimmte Maßnahmen zur Datensicherheit vertraglich zugesagt, zum Beispiel Alarmanlagen, elektronische Zutrittskarten oder WLAN-Verschlüsselung. Es muss sichergestellt und auf Anfrage nachgewiesen werden, dass vertraglichen Maßnahmen auch bei Homeoffice-Tätigkeit umgesetzt werden. Können solche Zusagen nicht eingehalten werden, dürfen sie entweder erst gar nicht abgegeben werden oder die bestehenden Verträge sind anzupassen; anderenfalls darf die fragliche Datenverarbeitung nicht im Homeoffice stattfinden.

8. Dürfen Arbeitnehmer im Homeoffice überwacht werden?

Der Arbeitgeber ist nach der Rechtsprechung des Bundesarbeitsgerichts prinzipiell berechtigt, zu prüfen, ob der Arbeitnehmer seiner Leistungspflicht nachkommt. Das darf aber auch nicht im Homeoffice nicht durch invasive elektronische Überwachungsmaßnahmen erfolgen, solange keine zu dokumentierenden, konkreten Anhaltspunkte für eine Straftat vorliegen; die dann möglichen Maßnahmen sind gesondert rechtlich zu bewerten. Unzulässig sind in der Regel der standardmäßige Einsatz eines Keyloggers, periodische Screenshots oder der heimliche Zugriff auf die Webcam des Arbeitnehmers. Zulässig ist beispielsweise die Anweisung, dem Vorgesetzten ausgehende dienstliche Korrespondenz in Kopie zu senden. Beim allgemeinen Einsatz von zur Überwachung auch nur geeigneter Software sind Mitbestimmungsrechte des Betriebsrats zu beachten.