COVID-19 stellt seit einigen Tagen und Wochen die Arbeitspraxis auf den Kopf. Die Arbeit im Homeoffice wird zur Normalität, ist Heimarbeit derzeit doch die wohl beste Möglichkeit für Arbeitgeber, persönliche Sozialkontakte unter den Mitarbeitern zu vermeiden und gleichwohl den Geschäftsbetrieb einigermaßen aufrechtzuerhalten. Verarbeitet der Arbeitnehmer im Rahmen seiner Arbeit personenbezogene Daten, stellt das Datenschutzrecht einige Anforderungen, die für eine rechtskonforme Heimarbeit zu erfüllen sind.
Im Folgenden geben wir Ihnen Leitlinien und Empfehlungen (unter II. und III.), wie Sie die Arbeit Ihrer Mitarbeiter im Homeoffice rechtskonform ausgestalten können und erläutern Ihnen die rechtlichen Hintergründe für das empfohlene Vorgehen (unter IV.).
Die datenschutzrechtliche Verantwortlichkeit des Arbeitgebers verlangt, dass dieser die Einhaltung der datenschutzrechtlichen Grundprinzipien gewährleistet. Der Arbeitnehmer sollte seine Mitarbeiter daher eingehend über den Umgang mit personenbezogenen Daten im Rahmen seiner Arbeit, ob im Büro oder im Homeoffice, belehren und zur Einhaltung aller Vorgaben verpflichten.
Der Arbeitgeber ist gesetzlich dazu verpflichtet, ein angemessenes Sicherheitsniveau in der Datenverarbeitung zu etablieren. Beim Homeoffice können technische Sicherheitsmaßnahmen etwa durch die Nutzung von VPN-clients, den Einsatz von Verschlüsselungssystemen und verstärkte Authentifizierungsmethoden getroffen werden. Durch organisatorische Maßnahmen sollten dem Arbeitnehmer bestimmte sicherheitsrelevante Verhaltensweisen auferlegt bzw. untersagt werden (z.B. Verschließen von Akten und IT-Geräten bei Nichtbenutzung).
Es ist überdies ratsam, den Arbeitnehmer durch eine Homeoffice-Richtlinie über den richtigen Umgang mit der IT und den Anforderungen an die Datensicherheit im Homeoffice zu unterrichten. Eine solche Richtlinie sollte als verbindliches Regelwerk für die Heimarbeit eingesetzt werden und dem Arbeitnehmer transparent alle bestehenden Pflichten darstellen. Etwaige Mitbestimmungsrechte der Arbeitnehmervertretung sind hierbei zu beachten.
Der Arbeitgeber sollte in Betracht ziehen, sich Kontrollrechte einräumen zu lassen. Dies könnte zum einen in Form der Selbstüberprüfung durch den Arbeitnehmer anhand von Checklisten erfolgen. Auch wenn in der derzeitigen Lage eher weniger relevant, könnte sich der Arbeitgeber auch Vor-Ort-Kontrollrechte sichern, die es ihm in engen Grenzen und nach entsprechender Zustimmung des Arbeitnehmers, erlauben, die Wohnung des Arbeitnehmers zur Kontrolle der Einhaltung des Datenschutzes zu betreten.
Der Einsatz privater IT des Arbeitnehmers sollte mit entsprechenden Sicherheitsvorkehrungen einhergehen. Insbesondere geschäftliche und private Daten sollten voneinander getrennt werden. Hierfür ist der Einsatz von Virtuellen Arbeitsplätzen (z.B. Citrix oder Microsoft Remote Desktop) zu empfehlen.
Der Umstand, dass Arbeitnehmer ihren arbeitsvertraglichen Pflichten nicht aus dem Büro, sondern von zu Hause aus nachkommen, ändert nichts daran, dass der Arbeitgeber weiterhin als Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO zu qualifizieren ist. Dies gilt selbstverständlich nicht nur für solche Daten, die der Arbeitnehmer gewissermaßen „aus dem Büro“ mit in das Homeoffice nimmt (etwa abzuarbeitende bestehende Aufträge und dazugehörige Unterlagen), sondern auch für Daten, die durch den Arbeitnehmer während der Arbeit im Homeoffice im Rahmen seines Arbeitsverhältnisses erhoben werden, wie bspw. die Bearbeitung eines neu erteilen Kundenauftrags. Der Arbeitgeber ist daher in der Pflicht, eine datenschutzkonforme Datenverarbeitung durch den Arbeitnehmer sicherzustellen.
Der Arbeitgeber ist auch dann, wenn der Arbeitnehmer aus dem Homeoffice arbeitet, als Verantwortlicher für die Datenverarbeitung zur Einhaltung der datenschutzrechtlichen Grundprinzipien i.S.d. Art. 5 DSGVO verpflichtet. Zu diesen Prinzipien gehört insbesondere auch die Gewährleistung der Rechtmäßigkeit der Datenverarbeitung. Eine Vor-Ort-Überwachung ist dem Arbeitgeber allerdings in dieser Konstellation nur selten möglich. Daher sollte er die im Homeoffice befindlichen Arbeitnehmer über den korrekten Umgang mit personenbezogenen Daten belehren. Im Rahmen dieser Belehrung ist der Arbeitnehmer insbesondere darauf hinzuweisen, dass die Datenverarbeitung ausschließlich aufgrund und im Umfang einer allgemeinen oder besonderen Dienstanweisung durch den Arbeitgeber erfolgen darf. Der Arbeitnehmer sollte auch darauf hingewiesen werden, dass ein Verstoß gegen diese Vorgaben gegebenenfalls strafbar sein kann. Überdies sollte der Arbeitnehmer – sofern nicht bereits geschehen – zur Vertraulichkeit verpflichtet werden. Der Arbeitgeber muss im Rahmen seiner Rechenschaftspflicht nachweisen können, dass er Maßnahmen zur Einhaltung seiner datenschutzrechtlichen Pflichten getroffen hat. Aus diesem Grund sollte sowohl die Information wie auch die Verpflichtung des Arbeitnehmers schriftlich erfolgen.
Die nach der DSGVO bestehende Pflicht, für eine angemessene Datensicherheit bei der Datenverarbeitung zu sorgen ergibt sich aus Art. 32 i.V.m. Art. 24 DSGVO. Sie gilt auch dann, wenn Arbeitnehmer im Homeoffice arbeiten. Der Arbeitgeber ist danach gesetzlich dazu verpflichtet, alle erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um ein angemessenes Datenschutzniveau zu erreichen. Die DSGVO nennt jedoch keine konkreten Maßnahmen für bestimmte Datenverarbeitungsprozesse. Die Angemessenheit des Schutzniveaus ist eng mit einer durchzuführenden Risikoabwägung verknüpft. Dies bedeutet, dass eine Schutzmaßnahme dann angemessen ist, wenn diese dazu geeignet ist, ein bestehendes Risiko einzudämmen. Die Risiken, die der Arbeitgeber bei der Abwägung insbesondere zu berücksichtigen hat, sind die Vernichtung, der Verlust oder die Veränderung, die unbefugte Offenlegung oder der unbefugte Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet werden. Die zu treffenden Schutzmaßnahmen haben dem Stand der Technik zu entsprechen. Bei der Bewertung der Angemessenheit einer Schutzmaßnahme dürfen allerdings auch die Implementierungskosten einfließen. Sie können von einfachen Maßnahmen, wie etwa das Wegschließen von Akten und Geräten bis hin zu Verhaltensanforderungen bei erkannten Cyber-Angriffen gehen (siehe unten 3 b)).
a) Technische Schutzmaßnahmen
Da der Arbeitnehmer während des Homeoffice nicht in den Räumlichkeiten des Arbeitgebers arbeitet, ist die Möglichkeit hinsichtlich der zutreffenden technischen Schutzmaßnahmen naturgemäß begrenzt. Die Maßnahmen werden sich daher überwiegend auf einen gesicherten Datenaustausch zwischen den Servern des Unternehmens und dem PC des Arbeitnehmers oder der Nutzung etwaiger Kundendatenbanken beschränken. So kann dem Risiko des Zugriffs durch unberechtigte Dritte auch vom Homeoffice aus abgerufene Daten etwa durch Verschlüsselungssysteme oder die Etablierung eines Virtual Private Networks („VPN“) begegnet werden. Etwaige Beteiligungsrechte des Betriebsrates nach § 87 Abs. 1 Nr. 6 BetrVG sind dabei zu beachten. Zur sicheren Identifizierung im Rahmen des Zugangs zu diesem VPN oder zu (Kunden-) Datenbanken des Arbeitgebers kann eine Zwei-Faktor-Authentifizierung („2FA“) eingerichtet werden. Selbstverständlich sollten auch die bekannten und einfachen On-Premise Sicherheitsmaßnahmen, wie etwa der Passwortschutz des Laptops oder des Diensthandys, getroffen werden.
b) Organisatorische Schutzmaßnahmen
Wegen der begrenzten technischen Schutzmaßnahmen kommt den organisatorischen Maßnahmen eine größere Bedeutung zu. So sollte der Arbeitnehmer etwa darauf hingewiesen werden, dass er bereits beim Transport von IT-Geräten oder sensiblen Dokumenten in seine Wohnung darauf achtet, dass keine Dokumente einsehbar sind oder abhandenkommen, insbesondere, wenn er für den Transport den öffentlichen Personennahverkehr nutzt. Neben der bereits erläuterten Belehrung und Verpflichtung des Arbeitnehmers sollten für die Arbeit aus dem Homeoffice konkrete Regeln festgelegt werden. Dies geschieht idealerweise über eine „Homeoffice-Richtlinie“. In dieser sind dem Arbeitnehmer Pflichten zur IT-Nutzung, über die Datensicherung oder zur Meldung einer Datenpanne an den Arbeitgeber aufzuerlegen. Auch kann etwa ein Verbot bzgl. des Ausdruckens von Dokumenten verhängt werden. Ebenfalls sollte der Arbeitnehmer dazu verpflichtet werden, bei Verlassen des heimischen Arbeitsplatzes in jedem Fall die Bildschirmsperre zu aktivieren. Sofern bereits eine Richtlinie über die Nutzung der IT vorhanden ist, kann die Homeoffice-Richtlinie diese ergänzen. Da sich eine Homeoffice-Richtlinie in besonderem Maße auf das Verhalten der Arbeitnehmer auswirkt, hat ein vorhandener Betriebsrat bei deren Einführung oder Umgestaltung mitzubestimmen, § 87 Abs. 1 Nr. 1 BetrVG. Angesichts der Vielzahl potenziell mitbestimmungspflichtiger Regelungen, ist der Abschluss einer Betriebsvereinbarung über die Tätigkeit im Homeoffice empfehlenswert.
Empfehlenswert ist es überdies, dass sich der Arbeitgeber Kontrollrechte einräumen lässt, die ein Betretungsrecht der Wohnung beinhalten – auch wenn eine solche Vor-Ort-Kontrolle aufgrund Kontakt- und Ausgangsperren derzeit wohl nicht stattfinden dürfte. Das Kontrollrecht dient einerseits zur Prüfung der Schutzmaßnahmen. Andererseits ist dieses Recht bereits aus Arbeitsschutzpflichten des Arbeitgebers geboten. Da in einem Kontroll- und Betretungsrecht allerdings ein massiver Grundrechtseingriff liegt, ist eine Regelung dahingehend mit viel Bedacht zu treffen. Es sollte daher vereinbart werden, dass eine Kontrolle nur anlassbedingt und nach vorheriger Terminabsprache im Rahmen der üblichen Arbeitszeit erfolgen darf. Für den Fall, dass Arbeitnehmer einer solchen Vereinbarung widersprechen, bietet sich eine Kontrolle von Datenschutz- und Arbeitsschutzbestimmungen mittels „Checklisten“ an, wonach Arbeitnehmer aufgefordert werden, den dahingehend konformen Umgang im Homeoffice selbst zu überprüfen und zu bestätigen. Weitergehende Kontrolle können etwa dann erforderlich sein, wenn es Vorfälle, Beschwerden oder Anfragen zu Betroffenenrechten gibt, denn der Arbeitgeber ist weiterhin für die Verarbeitung personenbezogener Daten insgesamt verantwortlich und daher verpflichtet derartigen Vorgängen nachzugehen. Als letztes Mittel steht noch die Untersagung der Homeoffice-Tätigkeit offen, damit wird aber gerade in heutigen Zeiten eine nicht unerhebliche Beeinträchtigung des Arbeitsverhältnisses eintreten. Arbeitsrechtliche Maßnahmen in solchen Fällen setzen eine Dokumentation der Anforderungen, die Information des betroffenen Arbeitnehmers wie auch der Vorgänge im Einzelnen voraus.
Viele Unternehmen können die aktuelle Nachfrage nach Dienstgeräten – ob Laptop oder Smartphone – nicht mehr bedienen. Daher stellt sich die Frage, inwieweit und unter welchen Voraussetzungen der Einsatz privater Geräte im Homeoffice möglich ist.
Da es die Pflicht des Arbeitgebers ist, seine Arbeitnehmer mit Betriebsmitteln auszustatten, ist die Nutzung privater Geräte nur mit Zustimmung des Arbeitnehmers möglich.
Die Verwendung von nicht zur IT-Infrastruktur des Arbeitgebers gehörenden Geräten stellt eine erhebliche Gefahr für die Datensicherheit dar. Hierauf sollte mit der Nutzung von Virtualisierungsmöglichkeiten reagiert werden. Eine Virtual Desktop Software (z.B. Citrix oder Microsoft Remote Desktop) erlaubt die Arbeit über ein (privates) Gerät auf einem sicheren Server, ohne dass eine Datenverarbeitung oder Speicherung auf dem Gerät erfolgt. Dabei ruft der Arbeitnehmer einen virtualisierten Computer bzw. ein virtuelles Betriebssystem über eine sichere Internetverbindung auf. In diesem Betriebssystem kann der Arbeitgeber diverse Software-Applikationen anlegen und Zugang zu Datenbanken gewähren. Das virtualisierte Betriebssystem erlaubt oder verbietet, je nach Einstellung durch den Arbeitgeber, verschiedene Verarbeitungsschritte, wie z.B. das Drucken von Dokumenten am Heimarbeitsplatz des Arbeitnehmers. Gerade bei Nichtbenutzung des privaten Geräts für Homeoffice-Zwecke, insbesondere seine private Nutzung sollte eine Trennung von der IT-Infrastruktur des Arbeitgebers geboten sein. Zugangsmöglichkeiten, einschließlich Passwörter und „Dongles“ sind bei Nichtgebrauch sicher aufzubewahren.
Unaufgeforderte E-Mails und andere Informationen, die Dentons erhält, werden nicht vertraulich behandelt, können an Dritte weitergegeben werden, erhalten möglicherweise keine Antwort und schaffen keine Anwalt-Mandanten-Beziehung. Wenn Sie noch kein Mandant von Dentons sind, schicken Sie uns bitte keine vertraulichen Informationen.
Die Seite, die Sie besuchen wollten, ist in der von Ihnen ausgewählten Sprache nicht verfügbar. Sie wurden auf einen entsprechenden Bereich unserer Webseite weitergeleitet.
Sie werden jetzt von der Dentons Website zur englischen $redirectingsite Website weitergeleitet. Wenn Sie fortfahren möchten, klicken Sie bitte auf Annehmen.
Sie werden jetzt von der Dentons Website zur Beijing Dacheng Law Offices, LLP Website weitergeleitet. Wenn Sie fortfahren möchten, klicken Sie bitte auf Annehmen.