Homeoffice – Was ist beim Arbeiten am heimischen Arbeitsplatz zu beachten?

Die Corona-Pandemie und der damit verbundene (erste) Lockdown im März 2020 haben dazu geführt, dass die meisten Menschen »von jetzt auf gleich« nicht mehr ins Büro durften oder konnten. Wo es möglich war, wurde der Arbeitsplatz ins Homeoffice verlegt. Dies stellte eine logistische sowie eine technische Herausforderung dar, die u. a. dazu führte, dass zwischenzeitlich Webcams, Headsets und sogar Notebooks knapp wurden. Alle Arbeitgeber hatten gleichermaßen mit Unwägbarkeiten zu kämpfen, während sie versuchten die Mammutaufgabe »Alle ins Homeoffice« zu bewältigen. Dabei kamen die juristischen Aspekte der Ausübung der beruflichen Tätigkeit aus den heimischen vier Wänden oftmals zu kurz, obwohl es in diesem Bereich viel zu regeln gibt.

Die Vorgabe des Arbeitgebers, einen Arbeitnehmer von zu Hause arbeiten zu lassen, ist generell zulässig. Dabei besteht grundsätzlich kein Unterschied, ob die »Versetzung« ins Homeoffice auf einen begrenzten oder auf einen unbestimmten Zeitraum abzielt. Allerdings muss die Homeoffice-Tätigkeit zwischen Chef und Mitarbeiter vereinbart werden, eine einseitige Anordnung im Rahmen des Arbeitgeber-Weisungsrechts ist grundsätzlich nicht möglich (so z. B. das Urteil des Landesarbeitsgerichts Berlin-Brandenburg vom 10.10.2018, Aktenzeichen: 17 Sa 562/18). Dies wäre nur ausnahmsweise in akuten Notlagen möglich. Werden beispielsweise mehrere positive Corona-Fälle im Unternehmen nachgewiesen, kann ein solcher Notfall anzunehmen sein. Ob aber die Corona-Krise speziell in Bezug auf einzelne Brachen bzw. Unternehmen oder gar ganz generell als »akute Notlage« in diesem Sinne eingestuft werden kann, ist leider pauschal nicht zu beantworten. Die Entscheidung über das Arbeiten von zu Hause aus sollte deshalb idealerweise im Einvernehmen mit den Beschäftigten getroffen werden, ggf. auch unter Beteiligung des Betriebs- oder Personalrats.

Rund um das Homeoffice müssen also zahlreiche organisatorische, technische und nicht zuletzt auch juristische Fragestellungen geklärt werden. Denn beim Arbeiten zu Hause muss nicht nur der Schutz personenbezogener Daten im Auge behalten werden, sondern natürlich auch von sonstigen sensiblen Daten, wie etwa Geschäftsgeheimnissen.

Organisatorisches

Beim Umzug ins Homeoffice ist einiges zu organisieren, damit es überhaupt funktioniert. Gibt es ausreichende Firmen-Laptops oder müssen die Mitarbeiter ihre privaten Geräte nutzen? Stehen in ausreichendem Maße Peripheriegeräte bereit (Webcams, Headsets, Drucker, Mäuse, Tastaturen…)? Wie sind die heimischen Internetleitungen beschaffen, steht jedem Mitarbeiter ausreichend Bandbreite zur Verfügung? Hat jeder Mitarbeiter zu Hause einen Platz zur Verfügung, an dem er ungestört und vielleicht auch ergonomisch arbeiten kann?

Aus dem Blickwinkel des Arbeits- und des Datenschutzrechts sind insbesondere noch folgende Dinge zu regeln:

• Vereinbarung über die Tätigkeit im Homeoffice zwischen Arbeitgeber und Arbeitnehmer
• Homeoffice-Richtlinie zur Regelung der Rahmenbedingungen
• Clean-Desk-Policy (Arbeitsrechner sind passwortgeschützt zu sperren, wenn der Mitarbeiter längere Zeit nicht daran arbeitet; geschäftliche Unterlagen sind nach Arbeitsende in einen abschließbaren Schrank oder eine abschließbare Schublade aufzubewahren)
• Verbot der Nutzung privater Hard- und Software zu geschäftlichen Zwecken im Homeoffice sowie der Umleitung beruflicher E-Mails und Telefonate auf private E-Mail-Accounts bzw. private Telefonanschlüsse
• Frühzeitige Beteiligung des Datenschutzbeauftragten (falls vorhanden)

Generell lässt sich sagen, dass der Einsatz von Computer-Hardware (Laptops, Tablets, Smartphones, Headsets, Webcams…), die der Arbeitgeber seinen Arbeitnehmern stellt, aus juristischer Sicht vorteilhaft ist. Dies ist zwar mit höheren Kosten sowie höherem Organisationsaufwand für den Arbeitgeber verbunden. Allerdings können auf diese Weise einige rechtliche Fallen vermieden werden.

Wenn alle genannten Punkte vorliegen bzw. geregelt sind, stellt das sicherlich den Idealfall dar. In der Praxis wird es aber häufig so sein, dass der eine oder andere Aspekte keine Berücksichtigung gefunden hat oder finden konnte. Wenn beispielsweise kein Datenschutzbeauftragter im Unternehmen existiert, kann dieser naturgemäß auch nicht frühzeitig eingebunden werden. Dann muss sich die Unternehmensleitung ihrer Verantwortung stellen und die datenschutzrechtlichen Fragen selbst klären (oder durch externe Berater klären lassen).

Juristische Grundregeln

Die SARS-CoV-2-Arbeitsschutzverordnung (Corona-ArbSchV) verfolgt das Ziel, das Risiko einer Infektion mit dem Coronavirus bei der Arbeit zu minimieren und Sicherheit und Gesundheit der Beschäftigten zu schützen (§ 1 Abs. 1 Corona-ArbSchV). Diese Verordnung tritt voraussichtlich am 27. Januar 2021 in Kraft und soll zunächst befristet bis zum 15. März 2021 gelten. Darin werden im Wesentlichen drei große Ziele verfolgt:

1. Kontakte reduzieren
2. Homeoffice überall, wo es möglich ist
3. strenge Hygieneregeln, insbesondere das Tragen von Mund-Nasen-Schutz (medizinische oder FFP2-Masken)

Arbeitgeber müssen ihren Beschäftigten anzubieten, ihre Tätigkeiten in ihrer Wohnung auszuführen, soweit dies möglich ist und wenn keine zwingenden betriebsbedingten Gründe entgegenstehen (§ 2 Abs. 4 Corona-ArbSchV).

In puncto Datenschutz sind dabei in erster Linie folgende Fragen zu klären:

• Werden personenbezogene Daten verarbeitet? Wenn nicht, dann ist Heimarbeit zumindest aus datenschutzrechtlicher Sicht unproblematisch.
• Werden personenbezogene Daten besonderer Art im Sinne von Art. 9 Abs. 1 Datenschutzgrundverordnung (DSGVO) verarbeitet? Dazu zählen etwa die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, genetische und biometrische Daten, Gesundheitsdaten sowie Daten zum Sexualleben oder der sexuellen Orientierung. Wenn solche Daten verarbeitet werden, dann ist die Arbeit im Homeoffice nur unter strengen Voraussetzungen möglich, insbesondere auf die technische Sicherheit muss großen Wert gelegt werden. Das gleiche gilt dem Grunde nach auch für die Verarbeitung von Sozial- oder Personaldaten.
• Gibt es eine Richtlinie, in der die wichtigsten Aspekte im Zusammenhang mit dem Arbeiten unterwegs oder von zu Hause geregelt werden? Falls nicht, so sollte diese dringend erstellt werden.

Je sensibler oder je umfangreicher die zu verarbeitenden personenbezogenen Daten sind, desto eher ist die Homeoffice-Tätigkeit nur unter strengen Auflagen durchführbar. Jedes Unternehmen muss also einen individuell passenden Weg finden, um seine Beschäftigten ins Homeoffice zu schicken. Dabei sind ganz besonders die zentralen Punkte des Datenschutzrechts nicht zu vernachlässigen. Es handelt sich hier beispielsweise um…

• die Dokumentation der Homeoffice-Tätigkeit im Verarbeitungsverzeichnis,
• die Prüfung und ggf. Anpassung der technischen und organisatorischen Maßnahmen,
• die ausreichende Sicherung von personenbezogenen Daten insbesondere durch Verschlüsselungsmaßnahmen (z. B. Windows 10 Bitlocker, VPN-Verbindung zum Firmennetzwerk, E-Mail-Verschlüsselung…),
• transparente Informationen gegenüber betroffenen Personen, wie beispielsweise Kunden oder auch den Mitarbeitern selbst,
• die Pflicht zur umgehenden Meldung von IT-Störungen oder Datenverlusten,
• die Klärung der Frage, wann, wo, wie und von wem Akten zu vernichten sind.

Diese Dinge können und sollten in einer Homeoffice-Vereinbarung bzw. ergänzend in einer Homeoffice-Richtlinie geregelt werden. Das schafft Klarheit für alle Beteiligten und gibt dem Arbeitgeber zudem die Möglichkeit nachzuweisen, dass er seine Compliance-Pflichten erfüllt.

Neben der Corona-ArbSchV besteht bereits seit dem 16.04.2020 auch ein »Betriebliches Maßnahmenkonzept für zeitlich befristete zusätzliche Maßnahmen zum Infektionsschutz vor SARS-CoV-2« (kurz: SARS-CoV-2-Arbeitsschutzstand), welches Arbeitgeber ebenfalls zu beachten haben. Darin werden technische, organisatorische und technische Maßnahmen vorgegeben, die von allen Unternehmen eingehalten werden sollten, da dies von den zuständigen Behörden überprüft und gegebenenfalls auch sanktioniert werden kann.

Technische Anforderungen

Die technischen und organisatorischen Maßnahmen (die sog. TOMs) spielen bei der Heimarbeit eine ganz besondere Rolle. Denn wer verfügt zu Hause schon über eine vergleichbare Ausstattung, wie sie im Büro existiert? Im Büro kommen z.B. (idealerweise) Profi-Firewalls zum Einsatz, zu Hause gibt es hingegen eher eine handelsübliche FritzBox. Diese ist sicherlich nicht schlecht, zielt aber eben auf den Heimanwender- und nicht auf den Hochsicherheitsmarkt ab.

Daher sollte bei der Verlagerung ins Homeoffice so früh wie möglich geklärt werden, ob folgende Dinge vorhanden sind oder zügig nachgerüstet werden können:

• Einsatz von Virenscanner- und Firewall-Software oder -Hardware
• Einsatz eines aktuellen Betriebssystems
• Gewährleistung der regelmäßigen Aktualisierung genutzter Anwendersoftware
• Gewährleistung der regelmäßigen Durchführung von Updates bzw. Upgrades der eingesetzten Software
• Möglichkeit zur passwortgeschützten Sperrung des Arbeitsrechners
• Einsatz einer automatisierten Backup-Lösung z.B. auf einen externen Datenträger
• Bei Einsatz einer Cloud-Lösung Auswahl eines Anbieters mit Sitz / Servern innerhalb der Europäischen Union
• Separates, abschließbares Arbeitszimmer
• Verbindliche Regeln zur Erstellung von sicheren Passworten (Passwortrichtlinie)
• Klare Trennung von beruflichen und privaten Daten, z.B. durch entsprechende Benutzerrechteregelungen
• Zugangsschutz zu sensiblen Daten etwa durch Benutzer-ID, PIN, Chipkarte o.ä.
• Sichere, verschlüsselte Verbindung zum Firmen-Netzwerk mittels VPN-Tunnel
• Datenverschlüsselung (Inhalte und Übermittlungsweg), insbesondere bei der Arbeit mit mobilen Endgeräten (Laptops, Tablets, Smartphones…)
• Zugangs- und Kontrollmöglichkeit des Arbeitgebers, eines eventuell vorhandenen Datenschutzbeauftragten sowie (falls erforderlich) auch der zuständigen Datenschutzaufsichtsbehörde zum Homeoffice
• Dokumentation der Übergabe betrieblicher Hardware an die Beschäftigten

Es versteht sich von selbst, dass nicht in jedem Einzelfall alle der genannten Punkte umzusetzen sind. Aber je mehr hier von dieser Liste abgehakt werden kann, desto besser. In jedem Fall sollte sichergestellt sein, dass Familienmitglieder oder Freunde weder Zugang zur beruflichen IT-Ausstattung noch zu den geschäftlichen Daten haben. Alle Mitarbeiter, die im Homeoffice tätig sind bzw. sein sollen, sind daher entsprechend zu sensibilisieren und zu schulen.

Videokonferenzen & Co.

Viele Datenschutzaufsichtsbehörden, u. a. der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) (siehe Blog-Beitrag vom 17.04.2020), geben die Empfehlung, zunächst einmal nach Alternativen zu suchen, bevor Videokonferenzen o.ä. per Zoom, Teams, Skype & Co. durchgeführt werden. Bisweilen sei der Griff zum Telefon, das Schreiben einer E-Mail oder die Nutzung eines sicheren Messenger-Diensten nicht nur einfacher und schneller, sondern eben auch datenschutzfreundlicher. Wenn es dann doch eine Videokonferenz sein muss, dann sollten vorrangig sog. On-Premise-Lösungen zum Einsatz kommen, wie etwa ein selbst-gehostetes Nextcloud Talk, BigBlueButton oder Jisti Meet. Dies hat dann zwar Vorzüge im Bereich Datenschutz, erfordert aber eigene Ressourcen und vor allem Know-How.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) stellt Best-Practice-Kriterien für die Arbeit im Homeoffice bereit.

Darin finden sich auch folgende Prüfkriterien für den Einsatz von Videokonferenzsystemen:

• Abschluss eines Vertrages zur Auftragsverarbeitung nach Art. 28 DSGVO?
• Geeignete Garantien für ein angemessenes Datenschutzniveau bei Anbietern Nicht-EU-Staaten (z. B. der Einsatz der EU-Standardvertragsklauseln)?
• Transportverschlüsselung (z. B. TLS)?
• Ende-zu-Ende-Verschlüsselung von Inhalten?
• Zugangsschutz über Passwörter oder individuelle Einladungslinks?
• Deaktivierungsmöglichkeit der Erhebung von Telemetriedaten durch den Anbieter?
• Deaktivierbare Aufzeichnungsfunktion?
• Deaktivierungsmöglichkeit von biometrischen Features (z.B. Aufmerksamkeitserkennung)?
• Weiterleitung von unzulässigen Tracking-Informationen an den Anbieter?
• Beteiligung des Personal- bzw. Betriebsrats?
• Beteiligung des Datenschutzbeauftragten?
• Funktion zur Einstellung von Unschärfe im Hintergrund (sog. »Blurring«)?
• »Virtueller Warteraum«, in dem Teilnehmer bis zum offiziellen Beginn ohne Audio- bzw. Videoübertragung warten können?
• Moderator- / Admin-Funktion zur Steuerung der Konferenz (Screen-Sharing-Option, Stummschaltung, Entfernen von Teilnehmern, …)?

Über Michael Rohrlich:

Michael Rohrlich ist Mitglied im WE-Expertenrat. Als Rechtsanwalt liegen seine Tätigkeitsschwerpunkte in den Bereichen Online-, IT- und Datenschutzrecht sowie E-Commerce. Neben seiner anwaltlichen Tätigkeit ist er regelmäßig als Fachautor für div. Print- und Online-Publikationen tätig. Für Webmasters Europe e.V. hat er das Video-basierte Curriculum zu »Datenschutz und DSGVO« entwickelt, welches fünf größere Themenkomplexe behandelt und mit einer WE-Zertifizierung zum »Zertifizierten Datenschutzbeauftragten / Certified Data Protection Officer« abschließt. Außerdem ist Rohrlich Kursentwickler des WE-Curriculums zum Fachgebiet Online-Recht, welches Teil der WE-Zertifizierungen zum Digital Marketing Manager und Social Media Manager ist. Darüber hinaus konzipiert und präsentiert Michael Rohrlich Video-Trainings mit juristischen Inhalten für Linkedin Learning / Microsoft (ehem. video2brain).

Kontakt:

• ra.rohrlich
• MichaelRohrlich
• Michael_Rohrlich
• michael-rohrlich-3577b3109
• ra-rohrlich.de