UPDATE: Home-Office, Corona und Datenschutz – Welche Anforderungen sind zu beachten?

europe 3256079 640Die Corona-Pandemie breitet sich in Deutschland weiter aus. Die Bundesländer haben mittlerweile Ausgangsbeschränkungen erlassen und die Ministerpräsidenten der Länder haben nun auch ein Kontaktverbot erlassen. Dies führt zwangsläufig dazu, dass viele Arbeitgeber, falls möglich, ihre Arbeitnehmer ins Home-Office schicken wollen. Home-Office wird dabei typischerweise als berufliche Tätigkeit bezeichnet, die von zu Hause aus unter Einsatz von Telekommunikation vorgenommen wird.
Es stellt sich die Frage, ob Home-Office vom Arbeitgeber angeordnet werden kann und falls ja, welche datenschutzrechtlichen Vorkehrungen getroffen werden müssen. Welche allgemeinen datenschutzrechtlichen Vorgaben in Zeiten von Corona gelten, finden sie hier von uns einen passenden Blogbeitrag.

 

Pflicht im Home-Office zu arbeiten?

Arbeitgeber können ihre Arbeitnehmer grundsätzlich nur dann anweisen im Home-Office ihre Arbeit zu erledigen, wenn in einer in einer individualvertraglichen Regelung, einem Tarifvertrag oder einer Betriebsvereinbarung ausdrücklich geregelt, dass die Arbeitstätigkeit auch außerhalb des Büros erledigt werden kann. Fehlt eine solche Regelung, ist der Arbeitgeber allein aufgrund seines arbeitsvertraglichen Weisungsrechts nach § 106 S. 1 Gewerbeordnung nicht berechtigt, einseitig die Arbeit von zu Hause anzuordnen (vgl. Landesarbeitsgericht Berlin-Brandenburg, Urteil vom 14. November 2018 – 17 Sa 562/18). Es hängt demnach grundsätzlich von der Zustimmung des Arbeitnehmers ab.


Home-Office - Datenschutzrechtliche Vorgaben

Wenn die Möglichkeit besteht, im Home-Office zu arbeiten, müssen die datenschutzrechtlichen Regelungen eingehalten werden. Der Arbeitgeber als Verantwortlicher i.S.d. Art. 4 Nr. 7 Datenschutz-Grundverordnung (DSGVO) hat Vorkehrungen zu treffen, dass alle personenbezogenen Daten rechtmäßig verarbeitet werden. Er haftet unter Umständen auch für Verstöße des Datenschutzrechts im Außenverhältnis gegenüber der Datenschutzaufsichtsbehörden oder betroffenen Personen. Im Innenverhältnis zwischen Arbeitgeber und Arbeitnehmer kommt es für einen Regress auf den Grad des Verschuldens des Arbeitnehmers an.
Im Unternehmen hat der Arbeitgeber die Kontrolle über die Daten. Im Home-Office hingegen sind ihm die Daten und die IT-Sicherheit einer unmittelbaren Kontroll- und Zugriffsmöglichkeit entzogen, dies jedenfalls dann, wenn das HomeOffice nicht ausschließlich über gesondert abgesicherte Firmenendgeräte per VPN an das Unternehmen angebunden ist.
Um den datenschutzrechtlichen und arbeitsrechtlichen Anforderungen an eine rechtskonforme Nutzung des Home-Offices zu ermöglichen, sollte - flankierend zu den ohnehin technisch sinnvollen und ggf. auch aus Gründen der IT-Sicherheit notwendigen technischen Maßnahmen - auch noch eine „Richtlinie zur Nutzung des Home-Office“ arbeitsrechtlich wirksam mit den Arbeitnehmern abgeschlossen werden, so dass diese für die im Home-Office arbeitenden Arbeitnehmer Wirkung entfaltet. Eine Home-Office-Richtlinie kann z.B. als Zusatz zum Arbeitsvertrag ausgestaltet werden oder - soweit ein Betriebsrat vorhanden ist - als Betriebsvereinbarung abgeschlossen werden.

Für den Arbeitgeber dient die Home-Office-Richtlinie dazu, zu verstehen, welche Anforderungen an eine rechtskonforme Verarbeitung von personenbezogenen Daten im Home-Office gestellt werden. Der Arbeitgeber kann sich mit einer Home-Office-Richtlinie ggf. also organisatorisch enthaften und es ist wahrscheinlicher, dass die Sicherheit der Datenverarbeitung gem. Art. 24, 32 DSGVO (sog. technisch und organisatorische Maßnahmen) größtmöglich eingehalten werden. Dazu gehören insbesondere die Vertraulichkeit, Integrität und Verfügbarkeit von personenbezogenen Daten. Auf der anderen Seite werden die Arbeitnehmer über mögliche Gefahren, die sich durch die Arbeit im Home-Office ergibt, sensibilisiert.

Durch die Bereitstellung von entsprechend abgesicherten und eingerichteten Endgeräten durch den Arbeitgeber können zumindest die technischen Vorgaben des Datenschutzes und ggf. auch der IT-Sicherhheit gewährleistet werden, da hierdurch insbesondere die Berechtigungskonzepte und Löschregeln umgesetzt werden können.

BYOD - Bring Your Own Device - Der Einsatz von privaten Endgeräten der Arbeitnehmer

Anders sieht dies aus, wenn der Arbeitnehmer eigene Endgeräte nutzen soll (BYOD = Bring your own device). Der Arbeitgeber hat in diesem Fall kaum technische Möglichkeiten, die Arbeitsumgebung der Arbeitnehmer auf die Datenverarbeitung anzupassen.

Leider sind viele Arbeitgeber schlecht auf die Corona-Krise vorbereitet gewesen und haben in den ersten Wochen der Ausgangsbeschränkungen verzweifelt versucht, genug Laptops, Notebeooks, etc. für Ihre Mitarbeiter zu kaufen und über ihre IT-Abteilungen einrichten zu lassen. Viele Unternehmen haben daher zur Aufrechterhaltung ihrer Geschäftsprozesse zähneknirschend akzeptiert, dass Arbeitnehmer ihre privaten Endgeräte im Home-Office nutzen, dies natürlich nur, soweit der jeweilige Arbeitnehmer dem zugestimmt hat.

Rechtsanwalt Marcus Dury LL.M. - Fachanwalt für IT-Recht rät in Bezug auf BYOD dringed dazu, folgende Aspekte zu beachten:

Home-Office-Richtlinie - Corona-KriseDie Nutzung privater Endgeräte von Arbeitnehmern für das Home-Office (BYOD) ist immer die schlechteste Variante. Als Arbeitgeber verlieren sie eine extrem wichtige technische Einflussmöglichkeiten auf Ihre Firmen-IT, nämlich die Kontrolle über das Client-Gerät.
Unternehmen sollten bei BYOD daher immer darauf achten, dass die Clients nur per VPN an das Firmennetz angebunden werden und den Arbeitnehmern nur gestatten, auf einem Terminalserver (TS) oder einer Citrix-Umgebung die Fachanwendungen bzw. ihre Kommunikationskanäle (Mail-Client wie Outlook) zu nutzen. Dann werden keine Daten direkt auf dem Client verarbeitet.

Zudem sollte man auch die Zwischenablage innerhalb der TS oder Citrix-Verbindung deaktieren, damit keine Daten auf den Client kopiert werden können.

Problematisch ist bei BYOD aber in jedem Fall, dass der Bundesbeauftragte für den Datenschutz anscheinend - zumindest laut einer Broschüre zur Telearbeit aus dem Januar 2019 - die Ansicht vertritt, dass unabhängig von diesen technischen Sicherungsmaßnahmen (VPN, TS oder CITRIX) eine rechtskonforme Nutzung von privaten Endgeräten der Arbeitnehmer im Home-Office per BYOD datenschutzrechtlichen Grundsätzen widerspricht (vgl. https://www.bfdi.bund.de/SharedDocs/Publikationen/Faltblaetter/Telearbeit.pdf?__blob=publicationFile - dort Seite 18).

Wortwörtlich wird in dieser Broschüre ausgeführt:

  • Eine private Nutzung der vom Arbeitgeber zur Verfügung gestellten IT-Ausstattung
    ist nicht zulässig.
  • Private Hard- und Software dürfen für Telearbeit und das Mobile Arbeiten
    nicht eingesetzt werden.

Vor diesem Hintergrund raten wir dringend dazu, auf BYOD soweit es geht zu verzichten - oder wenn das nicht geht - BYOD nur in dringenden Fällen wie oben dargestellt mit einem abgesicherten VPN zu nutzen; sich davon zu überzeugen, dass die BYOD-Clients der Arbeitnehmer - wenn sich eine BYOD-Nutzung nicht verhindern lässt - ordentlich gepatcht sind und einen aktiven Virenschutz verwenden. Zudem sollten die BYOD-Clients verschlüsselt sein und VPN Passwörter sollten idealerweise nicht abgespeichert werden können.

Im Idealfall rüsten Sie Ihre Home-Office-Arbeitnehmer aber schnellstmöglich mit ordentlicher Firmen-Hardware aus.

Wenn das erledigt ist, sollten Sie nicht vergessen, eine Home-Office-Richtlinie in Ihrem Unternehmen zu implementieren.

Home-Office-Richtlinie - Was sollte geregelt werden:

In einer HomeOffice-Richtlinie ist insbesondere das Verhältnis von betrieblicher und privater Nutzung der Endgeräte zu regeln (insb. bei BYOD).

Darüber hinaus sollten auch folgende Punkte geregelt werden:

  • Die Zulässigkeit des Home-Office wird normiert.
  • Mitarbeiter sind berechtigt, private Endgeräte zu nutzen (gleichzeitig ist der Arbeitnehmer aber verpflichtet, diese Endgeräte auf dem aktuellsten technischen Stand zu halten).
  • Das Arbeitszimmer des Arbeitnehmers sollte abschließbar sein.
  • Aufbewahrung von Unterlagen in einem abschließbaren Schrank.
  • Grundsätzlich keine Speicherung von betrieblich bedingten Daten auf privaten Endgeräten (Arbeitgeber sollte daher Speichermedien/Cloud zum Abspeichern zur Verfügung stellen. Falls diese Möglichkeit nicht besteht, sollten die privaten Endgeräte verschlüsselt sein)
  • Kein Zugang anderer Personen auf die Unterlagen.
  • Zugriff auf Systeme des Arbeitgebers nur über einen sicheren Remote-Zugang, etwa ein Virtual Private Network (VPN).
  • Vernichtung eventueller Ausdrucke mit vertraulichen Informationen, wenn sie nicht mehr benötigt werden (zB mittels Aktenvernichter).
  • Aktivierung der automatischen Bildschirmsperre beim Verlassen des Arbeitsplatzes.
  • Kein Ausdruck betrieblicher Dokumente.
  • Verbot der Weiterleitung beruflicher Mails auf private Accounts.
  • Kennwortschutz des Betriebssystems.
  • Meldung von Störungen oder Auffälligkeiten bei der EDV-Nutzung.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit empfiehlt in seinem „Datenschutz-Wegweiser Telearbeit und Mobiles Arbeiten“, dass Telearbeit und Mobiles Arbeiten grundsätzlich als eine voll elektronische Datenverarbeitung ohne Medienbruch ausgestaltet werden sollte. Nur auf diesem Wege sei das Risiko des Verlustes von Unterlagen während des Transportes zu vermeiden. Zudem gibt in diesem Datenschutz-Wegweiser weitere Hilfestellungen zu diesem Thema.
Das Datenschutzzentrum Schleswig-Holstein hat sich ebenfalls diesem Thema gewidmet und einfache Regeln und Hinweise für den Umgang mit personenbezogenen Daten veröffentlicht.
Auch das Bundesamt für Sicherheit in der Informationstechnik gibt aus Sicht der IT-Sicherheit Hilfestellungen zum Thema der Telearbeit, dem häuslichen Arbeitsplatz und Tipps für sicheres mobiles Arbeiten.

UPDATE 20.05.2020: Linkliste: Einige aktuelle Hinweise der Behörden zu Home-Ofice & Datenschutz / IT-Sicherheit

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt aus Sicht der IT-Sicherheit Hilfestellungen, abrufbar unter: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/INF/INF_8_H%C3 %A4uslicher_Arbeitsplatz.htmlhttps://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/empfehlung_home_office.html).

Hilfestellungen einiger Datenschutzbehörden (Stand 5.5.2020):

Bundesbeauftragter für den Datenschutz: https://www.bfdi.bund.de/SharedDocs/Publikationen/Faltblaetter/Telearbeit.html

Datenschutz-Aufsichtsbehörde Berlin: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2020-BlnBDI-Heimarbeit.pdf

Datenschutz-Aufsichtsbehörde Hamburg: https://datenschutz-hamburg.de/assets/pdf/Corona-FAQ.pdf

Datenschutz-Aufsichtsbehörde Sachsen: https://www.saechsdsb.de/147-pandemie/607-datenschutz-bei-der-heimarbeit-bzw-im-home-office

Datenschutz-Aufsichtsbehörde Schleswig-Holstein: https://www.datenschutzzentrum.de/uploads/it/uld-ploetzlich-homeoffice.pdf

Katholisches Datenschutzzentrum: https://www.katholisches-datenschutzzentrum.de/mobiles-arbeiten-und-datenschutz-in-zeiten-der-corona-pandemie/

Fazit

Das Home-Office lässt sich mit entsprechenden Vorkehrungen datenschutzrechtlich konform einrichten. Wenn immer möglich, sollten hierzu Endgeräte (Laptops / Notebooks / Smartphones) genutzt werden, die vom Unternehmen gestellt werden und per VPN an das Unternehmensnetz unter Beachtung aller Erfordernisse der IT-Sicherheit angebunden sind.

Erforderlich ist eine Abstimmung mit den Arbeitnehmern und eine Richtline zum Home-Office, die die wesentlichen Punkte verbindlich normiert. Diese können von Unternehmen zu Unternehmen unterschiedlich ausgestaltet sein.

Wenn Sie dabei Support benötigen, können Sie sich gerne an uns wenden unter Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! oder indem Sie unser Kontaktformular nutzen.

Ein kostenfreies Whitepaper zu Thema "Home-Office, Corona und Datenschutz" können Sie unter www.homeoffice-richtlinie.de herunterladen.

Autor: Kevin Leibold
Autoren-Info:
Herr Kevin Leibold ist seit dem Jahr 2020 als wissenschaftlicher Mitarbeiter bei DURY LEGAL Rechtsanwälte zur Unterstützung der Rechtsanwältebeschäftigt. Er arbeitet dabei im Team von Rechtsanwalt Marcus Dury LL.M. und Rechtsanwalt Michael Pfeiffer.

*Wichtiger Hinweis:

Unsere Leistungen richten sich ausschließlich an Unternehmer i.S.d. § 14 BGB, nicht an Verbraucher i.S.d. § 13 BGB! Alle Preisangaben außerhalb des Bereichs der Abwehr von urheberrechtlichen Abmahnung wegen Filesharings erfolgen daher als Netto-Preise. Ausgenommen hiervon sind die Bearbeitung von Filesharing-Fällen für Verbraucher i.S.d. § 13 BGB.

Im Bereich der Entwicklung von LEGAL TECH Lösungen werden wir von der EU gefördert: EFRE KOM rgbneu

© 2020 DURY LEGAL Rechtsanwälte