Arbeitsrechtler Jan Schiller: „Homeoffice stellt immer ein erhöhtes Datenschutzrisiko dar“

Aufgrund der Corona-Pandemie schickten Unternehmen von heute auf morgen Tausende von Beschäftigten ins Homeoffice. Welche datenschutzrechtlichen Vorgaben Arbeitgeber und Arbeitnehmer dabei einhalten müssen, erläutert Arbeitsrechtler Jan Schiller von CMS.

Personalwirtschaft: Nicht wenige Mitarbeiter haben im Lockdown das erste Mal im Homeoffice gearbeitet. Waren sie alle über die technischen und organisatorischen Regeln des Datenschutzes aufgeklärt? Wie sind Ihre Erfahrungen?
Jan Schiller: Sehr unterschiedlich. In kleineren Unternehmen gab es vielfach keine Regelungen und man hat sich im Nachgang bemüht, einzelne Vorschriften zusätzlich zu implementieren. Anders sieht das in größeren Unternehmen und solchen mit Betriebsräten aus, da einige der Maßnahmen mitbestimmungspflichtig sind.

Viele Arbeitnehmer müssen im Heimbüro private Laptops nutzen. Ist das im Sinne des Gesetzgebers?
Im Prinzip nicht, weil der Arbeitgeber – unabhängig vom Einsatzort des Mitarbeiters – für den Datenschutz zuständig bleibt. Nun gibt es aber auch das Bring-your-own- device-Prinzip, das zulässig ist, wenn bestimmte Voraussetzungen erfüllt sind. Dazu zählt eine IT-gestützte Lösung mit einem gesicherten VPN-Netzwerk, damit sich der Arbeitnehmer von seinem privaten Gerät in die Unternehmens-IT einwählen und auf diesem System arbeiten kann. Ohne diese oder eine vergleichbare Sicherheitsvorkehrung ist es nicht erlaubt, auf dem privaten Laptop zu arbeiten. Im Übrigen kann der Arbeitgeber die Nutzung privater Endgeräte für Zwecke des Arbeitsverhältnisses nicht einseitig anordnen, das funktioniert nur über die Freiwilligkeit der Arbeitnehmer.

+++ Wir versorgen Sie mit HR-Neuigkeiten! Melden Sie sich jetzt für unseren Newsletter an✉️ +++

Haben denn alle Unternehmen, auch die im Mittelstand, ein VNP-Netzwerk implementiert?
In der Regel schon, allerdings kommt es auf die Branche an und auf die Tätigkeiten, die auch für die Telearbeit geeignet sein müssen. Im Lockdown zeigte sich aber, dass Betriebe mit einigen Hundert Beschäftigten und von ein paar Dutzend Mitarbeitern in der Verwaltung häufig auf diese Homeoffice-Situation nicht eingestellt waren. Sie standen im März und April vor der Situation, Laptops beschaffen zu müssen, die zu diesem Zeitpunkt aufgrund der Nachfrage kaum erhältlich waren. Daher blieb für diese Mitarbeiter das Arbeiten im Homeoffice eher die Ausnahme.

Welche weiteren Vorgaben müssen beim technischen Datenschutz der Endgeräte beachtet werden?
Wenn der Mitarbeiter keinen Dienstrechner zur Verfügung hat, dann muss der Arbeitgeber den Arbeitnehmer verpflichten, auf dem privaten Laptop, über den er auf die gesicherte VPN-Umgebung zugreift, eine aktuelle Virenschutz-Software und eine Firewall einzurichten.

Ist die Verschlüsselung von Festplatten und USB-Sticks notwendig?
Wenn man in einer VPN-Umgebung arbeitet, sollte im Idealfall auf dem Rechner des Arbeitnehmers zu Hause physisch nichts gespeichert sein, beispielsweise wird auch die Zwischenablage gelöscht. Wenn ein Arbeitnehmer sich wie vorgeschrieben verhält, muss die Festplatte, die „nur“ private Informationen erhält, nicht verschlüsselt werden. Das alles setzt voraus, dass eine technische Einweisung stattgefunden hat. Anders sieht das mit portablen Datenspeichern wie einem USB-Stick aus, die personenbezogene Daten des Arbeitgebers enthalten. Hier ist eine Verschlüsselung nach der Datenschutz- Grundverordnung (DSGVO) als Teil der technischen und organisatorischen Sicherheitsmaßnahmen vorgeschrieben.

Wie könnte ein Worst Case aussehen?
Angenommen, der Mitarbeiter nimmt den USB-Stick mit nach Hause und lässt ihn auf dem Heimweg in einem öffentlichen Verkehrsmittel liegen, dann könnte der Finder auf personenbezogene Daten stoßen. In diesem Fall sieht die DSGVO grundsätzlich eine Meldepflicht an die Aufsichtsbehörden vor, es sei denn, es besteht voraussichtlich kein Risiko für die Betroffenen, also diejenigen Personen, deren Daten auf dem USB-Stick gespeichert sind. Das werden im Regelfall andere Arbeitnehmer des Arbeitgebers oder Kunden sein. Mit einer sicheren Verschlüsselung eines portablen Datenträgers ist das Risiko für die Betroffenen so gut wie ausgeschaltet, eine Meldepflicht entfällt im Regelfall, ebenso wie ein Bußgeld. Mit anderen Worten: Arbeitgeber sollten unbedingt die Weisung erlassen, dass portable Datenträger zu verschlüsseln sind.

Welche organisatorischen Datenschutzregeln gelten bei der Arbeit in den eigenen vier Wänden?
Unternehmensspezifische und personenbezogene Unterlagen im Homeoffice müssen so gelagert werden, dass Dritte keinen Zugang haben, also auch keine Angehörigen des Haushalts. Es sollte mindestens ein abschließbarer Container vorhanden sein. Die Unterlagen einfach in einer Ecke der Wohnung zu stapeln, ist ein Verstoß gegen die DSGVO.

Muss der Arbeitgeber die technischen Vorsichtmaßnahmen und die Sicherheitsvorkehrungen im Homeoffice kontrollieren?
Ein regelkonformes Vorgehen sieht genau das vor. Aber man hat beim Homeoffice ein Problem: Das Direktionsrecht des Arbeitgebers endet an der Wohnungstür. Gleichzeitig ist der Arbeitgeber jedoch datenschutzrechtlich verantwortlich für das, was am heimischen Arbeitsplatz passiert. Daher darf er das Arbeiten im Homeoffice nur gestatten, wenn ihm der Arbeitnehmer ein angemessenes Betretungsrecht einräumt. Natürlich nicht ständig oder zur Unzeit, aber eben prinzipiell. Das gilt auch für den Arbeitsschutz, der eine Gefährdungsbeurteilung im Homeoffice erfordert, was in der Praxis aber nicht oft geschieht. Kommt es aufgrund unzureichender Maßnahmen zu einem Datenleck oder einem Arbeitsunfall, muss der Arbeitgeber im Regelfall dafür haften, wenn er nicht nachweisen kann, dass er diese Kontrollen durchgeführt hat.

Gibt es die Homeoffice-Begehungen in der Praxis wirklich? Es klingelt und der Arbeitgeber steht vor der Tür?
Durchaus, in größeren Unternehmen geschieht das, allerdings nur nach vorheriger Anmeldung und stichprobenartig. Häufige unangemeldete Kontrollen zur Unzeit wären natürlich unverhältnismäßig und damit unzulässig.

Aber ist diese Kontrolle nicht unrealistisch?
Vertrauen gilt für viele Bereiche des Arbeitsrechts, aber Kontrolle ist besser. Nicht in jedem Detail, aber Arbeitgeber müssen klare Anweisungen und Richtlinien für die Ausgestaltung des Homeoffice geben. Das betrifft sowohl den Arbeitsschutz – beispielsweise mit einer ordnungsgemäßen Ausstattung des heimischen Arbeitsplatzes – und die ordnungsgemäße Dokumentation von Arbeitszeiten als auch den Datenschutz. Dies muss dann zumindest stichprobenartig überprüft werden. Aber in der Pandemiesituation hatten Arbeitgeber kaum Zeit, auch noch Datenschutzfragen zu klären. Wer bis jetzt noch keine entsprechende Vereinbarung mit den Mitarbeitern geschlossen hat, sollte dies schleunigst nachholen, die Regeln zum Datenschutz in einer Richtlinie nachziehen und, wo vorhanden, mit dem Betriebsrat absprechen. Homeoffice stellt immer ein erhöhtes Datenschutzrisiko dar. Insofern müssen Arbeitgeber diese Risiken durch entsprechende Weisungen, Richtlinien sowie technische und organisatorische Maßnahmen minimieren.

Wie sollten sie vorgehen?
Die erste Priorität liegt dabei zwingend auf den erforderlichen Datenschutzmaßnahmen, hier ist das Haftungsrisiko aufgrund der erheblichen Bußgeldsummen besonders hoch. Ich rate außerdem dazu, Mitarbeiter – wo noch nicht geschehen – eine Vertraulichkeitsverpflichtung unterzeichnen zu lassen. Und in diesem Zusammenhang ist es ebenso sinnvoll, die im Unternehmen vorhandene Datenschutzdokumentation noch mal zu überprüfen, um sicherzustellen, dass die neue Situation korrekt abgebildet ist. Zum Beispiel im Verzeichnis der Verarbeitungstätigkeiten und bei den technisch-organisatorischen Maßnahmen. Diese Punkte lassen sich Behörden bei einer Überprüfung oft vorlegen.

Von:

Christiane Siemann

Der Text stammt aus unserer Ausgabe 07_2020. Ein Abonnement können Sie hier abschließen