und Fachanwalt für Arbeitsrecht
bei CMS Hasche Sigle, Partnerschaft
von Rechtsanwälten und
Steuerberatern mbB in Köln. (Foto: CMS Deutschland)
Personalwirtschaft: Nicht wenige Mitarbeiter haben
im Lockdown das erste Mal im Homeoffice gearbeitet.
Waren sie alle über die technischen und organisatorischen
Regeln des Datenschutzes aufgeklärt? Wie sind
Ihre Erfahrungen?
Jan Schiller: Sehr unterschiedlich. In kleineren Unternehmen
gab es vielfach keine Regelungen und man hat
sich im Nachgang bemüht, einzelne Vorschriften zusätzlich
zu implementieren. Anders sieht das in größeren
Unternehmen und solchen mit Betriebsräten aus, da
einige der Maßnahmen mitbestimmungspflichtig sind.
Viele Arbeitnehmer müssen im Heimbüro private
Laptops nutzen. Ist das im Sinne des Gesetzgebers?
Im Prinzip nicht, weil der Arbeitgeber – unabhängig
vom Einsatzort des Mitarbeiters – für den Datenschutz
zuständig bleibt. Nun gibt es aber auch das Bring-your-own-
device-Prinzip, das zulässig ist, wenn bestimmte
Voraussetzungen erfüllt sind. Dazu zählt eine IT-gestützte
Lösung mit einem gesicherten VPN-Netzwerk,
damit sich der Arbeitnehmer von seinem privaten
Gerät in die Unternehmens-IT einwählen und auf diesem
System arbeiten kann. Ohne diese oder eine vergleichbare
Sicherheitsvorkehrung ist es nicht erlaubt,
auf dem privaten Laptop zu arbeiten. Im Übrigen kann
der Arbeitgeber die Nutzung privater Endgeräte für
Zwecke des Arbeitsverhältnisses nicht einseitig anordnen,
das funktioniert nur über die Freiwilligkeit der
Arbeitnehmer.
Haben denn alle Unternehmen, auch die im Mittelstand,
ein VNP-Netzwerk implementiert?
In der Regel schon, allerdings kommt es auf die Branche
an und auf die Tätigkeiten, die auch für die Telearbeit
geeignet sein müssen. Im Lockdown zeigte sich aber,
dass Betriebe mit einigen Hundert Beschäftigten und
von ein paar Dutzend Mitarbeitern in der Verwaltung
häufig auf diese Homeoffice-Situation nicht eingestellt
waren. Sie standen im März und April vor der Situation,
Laptops beschaffen zu müssen, die zu diesem Zeitpunkt
aufgrund der Nachfrage kaum erhältlich waren. Daher
blieb für diese Mitarbeiter das Arbeiten im Homeoffice
eher die Ausnahme.
Welche weiteren Vorgaben müssen beim technischen
Datenschutz der Endgeräte beachtet werden?
Wenn der Mitarbeiter keinen Dienstrechner zur Verfügung
hat, dann muss der Arbeitgeber den Arbeitnehmer
verpflichten, auf dem privaten Laptop, über
den er auf die gesicherte VPN-Umgebung zugreift, eine
aktuelle Virenschutz-Software und eine Firewall einzurichten.
Ist die Verschlüsselung von Festplatten und USB-Sticks
notwendig?
Wenn man in einer VPN-Umgebung arbeitet, sollte
im Idealfall auf dem Rechner des Arbeitnehmers zu
Hause physisch nichts gespeichert sein, beispielsweise
wird auch die Zwischenablage gelöscht. Wenn ein
Arbeitnehmer sich wie vorgeschrieben verhält, muss
die Festplatte, die „nur“ private Informationen erhält,
nicht verschlüsselt werden. Das alles setzt voraus, dass
eine technische Einweisung stattgefunden hat. Anders sieht das mit portablen Datenspeichern wie einem USB-Stick
aus, die personenbezogene Daten des Arbeitgebers
enthalten. Hier ist eine Verschlüsselung nach der Datenschutz-
Grundverordnung (DSGVO) als Teil der technischen
und organisatorischen Sicherheitsmaßnahmen
vorgeschrieben.
Wie könnte ein Worst Case aussehen?
Angenommen, der Mitarbeiter nimmt den USB-Stick
mit nach Hause und lässt ihn auf dem Heimweg in
einem öffentlichen Verkehrsmittel liegen, dann könnte
der Finder auf personenbezogene Daten stoßen. In diesem
Fall sieht die DSGVO grundsätzlich eine Meldepflicht
an die Aufsichtsbehörden vor, es sei denn, es
besteht voraussichtlich kein Risiko für die Betroffenen,
also diejenigen Personen, deren Daten auf dem USB-Stick
gespeichert sind. Das werden im Regelfall andere
Arbeitnehmer des Arbeitgebers oder Kunden sein. Mit
einer sicheren Verschlüsselung eines portablen Datenträgers
ist das Risiko für die Betroffenen so gut wie ausgeschaltet,
eine Meldepflicht entfällt im Regelfall, ebenso
wie ein Bußgeld. Mit anderen Worten: Arbeitgeber
sollten unbedingt die Weisung erlassen, dass portable
Datenträger zu verschlüsseln sind.
Welche organisatorischen Datenschutzregeln gelten
bei der Arbeit in den eigenen vier Wänden?
Unternehmensspezifische und personenbezogene
Unterlagen im Homeoffice müssen so gelagert werden,
dass Dritte keinen Zugang haben, also auch keine Angehörigen
des Haushalts. Es sollte mindestens ein
abschließbarer Container vorhanden sein. Die Unterlagen
einfach in einer Ecke der Wohnung zu stapeln,
ist ein Verstoß gegen die DSGVO.
Muss der Arbeitgeber die technischen Vorsichtmaßnahmen
und die Sicherheitsvorkehrungen im Homeoffice
kontrollieren?
Ein regelkonformes Vorgehen sieht genau das vor. Aber
man hat beim Homeoffice ein Problem: Das Direktionsrecht
des Arbeitgebers endet an der Wohnungstür.
Gleichzeitig ist der Arbeitgeber jedoch datenschutzrechtlich
verantwortlich für das, was am heimischen
Arbeitsplatz passiert. Daher darf er das Arbeiten im
Homeoffice nur gestatten, wenn ihm der Arbeitnehmer
ein angemessenes Betretungsrecht einräumt. Natürlich
nicht ständig oder zur Unzeit, aber eben prinzipiell.
Das gilt auch für den Arbeitsschutz, der eine Gefährdungsbeurteilung
im Homeoffice erfordert, was in der
Praxis aber nicht oft geschieht. Kommt es aufgrund
unzureichender Maßnahmen zu einem Datenleck oder
einem Arbeitsunfall, muss der Arbeitgeber im Regelfall
dafür haften, wenn er nicht nachweisen kann, dass er
diese Kontrollen durchgeführt hat.
Gibt es die Homeoffice-Begehungen in der Praxis
wirklich? Es klingelt und der Arbeitgeber steht vor
der Tür?
Durchaus, in größeren Unternehmen geschieht das,
allerdings nur nach vorheriger Anmeldung und stichprobenartig.
Häufige unangemeldete Kontrollen zur
Unzeit wären natürlich unverhältnismäßig und damit
unzulässig.
Aber ist diese Kontrolle nicht unrealistisch?
Vertrauen gilt für viele Bereiche des Arbeitsrechts, aber
Kontrolle ist besser. Nicht in jedem Detail, aber Arbeitgeber
müssen klare Anweisungen und Richtlinien für
die Ausgestaltung des Homeoffice geben. Das betrifft
sowohl den Arbeitsschutz – beispielsweise mit einer
ordnungsgemäßen Ausstattung des heimischen Arbeitsplatzes
– und die ordnungsgemäße Dokumentation
von Arbeitszeiten als auch den Datenschutz. Dies muss
dann zumindest stichprobenartig überprüft werden.
Aber in der Pandemiesituation hatten Arbeitgeber
kaum Zeit, auch noch Datenschutzfragen zu klären.
Wer bis jetzt noch keine entsprechende Vereinbarung
mit den Mitarbeitern geschlossen hat, sollte dies schleunigst
nachholen, die Regeln zum Datenschutz in einer
Richtlinie nachziehen und, wo vorhanden, mit dem
Betriebsrat absprechen. Homeoffice stellt immer ein
erhöhtes Datenschutzrisiko dar. Insofern müssen
Arbeitgeber diese Risiken durch entsprechende Weisungen,
Richtlinien sowie technische und organisatorische
Maßnahmen minimieren.
Wie sollten sie vorgehen?
Die erste Priorität liegt dabei zwingend auf den erforderlichen
Datenschutzmaßnahmen, hier ist das Haftungsrisiko
aufgrund der erheblichen Bußgeldsummen
besonders hoch. Ich rate außerdem dazu, Mitarbeiter
– wo noch nicht geschehen – eine Vertraulichkeitsverpflichtung
unterzeichnen zu lassen. Und in diesem
Zusammenhang ist es ebenso sinnvoll, die im Unternehmen
vorhandene Datenschutzdokumentation
noch mal zu überprüfen, um sicherzustellen, dass die
neue Situation korrekt abgebildet ist. Zum Beispiel im
Verzeichnis der Verarbeitungstätigkeiten und bei den
technisch-organisatorischen Maßnahmen. Diese Punkte
lassen sich Behörden bei einer Überprüfung oft
vorlegen.
Christiane Siemann ist freie Journalistin und Moderatorin aus Bad Tölz, spezialisiert auf die HR- und Arbeitsmarkt-Themen, die einige Round Table-Gespräche der Personalwirtschaft begleitet.