Rechtskonformes Homeoffice: Datenschutz und Arbeitsschutz gelten auch im Corona-Homeoffice

Die Corona-Pandemie hat viele Unternehmen gezwungen, den Arbeitnehmern in Sachen Homeoffice entgegen zu kommen. Binnen kürzester Zeit saßen teils ganze Belegschaften im Homeoffice – doch die kurze Zeitspanne vom Entschluss bis zur Umsetzung hat dazu geführt, dass wichtige Fragen im HR-Bereich unbeantwortet blieben. Diese betreffen insbesondere den Datenschutz und den Arbeitsschutz, die auch in dieser nun schon bald ein Jahr andauernden Ausnahmesituation volle Gültigkeit behalten.

Da der Arbeitgeber aber nur eingeschränkt beeinflussen kann, wie das Homeoffice der Mitarbeiter aussieht, mangelt es hier an der notwendigen Kontrolle.

Datenschutzrisiken im Homeoffice: Ohne Kontrolle geht es nicht!

Risiken in Hinblick auf den Datenschutz können Arbeitgeber im Betrieb weitgehend ausmerzen. Im Homeoffice lauern jedoch neue Gefahren:

• Ausspähen von Informationen durch mangelhafte Absicherung der mitarbeitereigenen Endgeräte
• unberechtigte Nutzung von firmeneigenen Geräten (z. B. durch die Familie)
• Missbrauch von Berechtigungen
• Verlust von Daten
• fehlerhafte Eingabe von Daten (z. B. gefälschte Einträge in der Arbeitszeiterfassung)
• Verlust der Integrität von schützenswerten Informationen (z. B. beim Zugriff auf eine digitale Personalakte)
• unbefugter Zugriff auf Geschäftsgeheimnisse oder auch auf personenbezogene Daten sowie Kundeninformationen

Zu unterscheiden ist hier, ob der Mitarbeiter mit einem Gerät des Unternehmens, etwa einem Laptop, arbeitet oder ob eigene Geräte verwendet werden (BYOD = Bring your own device). Beim firmeneigenen Notebook kann der Arbeitgeber zwar sicherstellen, dass die im Betrieb gängigen Zugangsbeschränkungen und Berechtigungskonzepte funktionieren. Dennoch muss er auch hier sicherstellen, dass Dritte nicht unbefugt zugreifen können (z. B. durch eine automatische Sperrung bei Inaktivität nach wenigen Minuten). Gänzlich der Kontrolle entziehen sich dem Arbeitgeber hingegen private Endgeräte.

Wichtig: Die Haftung für Verstöße gegen den Datenschutz liegt stets beim Arbeitgeber. Höchstens bei Vorsatz in Hinblick auf den entstandenen Schaden haftet der Arbeitnehmer im Innenverhältnis.

Einhaltung des Datenschutzes: Überwachung im Homeoffice zulässig?

Die Kontrolle ist im Homeoffice grundsätzlich ein schwieriges Problem. Eine Überwachung ist nur dann zulässig, wenn ein berechtigter Grund wie ein konkreter Verdacht für eine Verletzung der arbeitsvertraglichen Pflichten vorliegt – und selbst dann nur unter strengen Auflagen. Eine Dauerüberwachung ist in jedem Fall untersagt.

Um die Einhaltung des Datenschutzes gewährleisten zu können, sollte der Arbeitgeber dies vor Ort im Homeoffice kontrollieren. Dem steht allerdings Art. 13 GG entgegen, der die Unverletzlichkeit der Wohnung garantiert.

Deshalb sind Arbeitgeber gut beraten, den Zugang zur Wohnung der Mitarbeiter zwecks Kontrolle der Umsetzung der Vorgaben der DSGVO per Arbeitsvertrag oder Zusatzvereinbarung mit den Arbeitnehmern zu regeln. Im selben Rahmen kann der Arbeitgeber den Mitarbeiter zugleich darauf sensibilisieren und verpflichten, die technischen und organisatorischen Sicherheitsmaßnahmen einzuhalten.

Mögliche Maßnahmen zum Datenschutz im Homeoffice

Um den Datenschutz im Homeoffice gewährleisten zu können, sind insbesondere die folgenden Regeln und Maßnahmen sinnvoll:

• kein Notieren von Passwörtern
• Verbot des Zugriffs auf betriebliche Geräte durch Dritte (z. B. Familie)
• keine Verwendung von unternehmensexternen Speichern (z. B. USB-Stick, Cloud-Speicher, automatische Sicherung in Google-Account)
• Verbot der Weiterleitung betrieblicher E-Mails auf den privaten E-Mail-Account
• keine Vernichtung von betrieblichen Unterlagen über die private Papiertonne
• Sperrung des Computers bei Abwesenheit vom Rechner
• Schließen der Fenster bei Abwesenheit vom Arbeitsplatz
• Abschließen des Büroraums nach dem Verlassen
• Sicherung des Identifizierungsmechanismus (z. B. Vorgaben für die Vergabe von sicheren Passwörtern, Beschränkung der Anzahl der Fehleingaben, regelmäßige Änderungen der Passwörter)
• automatischer Logout nach Inaktivität
• Verschlüsselung privater WLAN-Netzwerke
• Aufbau des Zugangs zum Firmen-Netzwerk nur durch eine sichere VPN-Verbindung
• sicherer Transport von Datenträgern und Unterlagen
• Verbot des Einsatzes privater Geräte und Software

Arbeitsschutz? Auch im Homeoffice ein wichtiges Thema

Der Arbeitsschutz drängt sich erst nach und nach wieder in das Bewusstsein vieler Arbeitgeber. Die Arbeitsstättenverordnung gilt auch im Homeoffice, wie § 2 Abs. 7 ArbStättV verrät. Hier ist der Telearbeitsplatz geregelt. Das typische Corona-Homeoffice ist zwar häufig kein fest eingerichteter Telearbeitsplatz. Experten sind sich jedoch einig, dass die Regelungen auch auf das übergangsweise Homeoffice anzuwenden sind, zumal es in vielen Betrieben bereits zur Dauereinrichtung geworden ist.

Insbesondere ist die Gefährdungsbeurteilung nach § 3 ArbStättV auch im Homeoffice durchzuführen. Hierfür muss der Arbeitgeber die Gefahren beurteilen, die sich im Rahmen des Arbeitsplatzes, aus der Person des Mitarbeiters oder aus den eingesetzten Endgeräten ergeben. Neben den physischen Belastungen (z. B. durch Fehlhaltungen beim Sitzen) sind auch die psychischen Belastungen relevant. Sie sollten gerade während der Corona-Krise im Mitarbeitergespräch thematisiert werden.

Auch beim Arbeitsschutz ist die Kontrolle schwierig

Wie auch schon beim Datenschutz ist die Kontrolle für Arbeitgeber aus rechtlichen Gründen schwierig. Hier gibt es aber immerhin Ansatzpunkte, auf die sich Kontrollen im Zuhause des Arbeitnehmers stützen können. Insbesondere hat der Gesetzgeber in § 15 ArbSchG festgehalten, dass den Arbeitnehmer eine Mitwirkungspflicht bei der Umsetzung der Maßnahmen des Arbeitsschutzes trifft. Auf diesem Hintergrund könnte der Arbeitgeber den Zutritt zur Wohnung zwecks Kontrolle des Homeoffice-Arbeitsplatzes begründen.

Erzwingen kann er den Zutritt jedoch nicht: Um seiner Verpflichtung zu genügen, sollte er anbieten, den Homeoffice-Arbeitsplatz zu begehen und die Gefährdungsbeurteilung durchzuführen. Dies sollte umfangreich dokumentiert werden. Zudem ist der Arbeitnehmer nach § 16 ArbSchG verpflichtet, festgestellte Gefahren dem Arbeitgeber unverzüglich zu melden.

Übrigens hat dabei auch der Betriebsrat ein Wörtchen mitzureden: Trifft der Arbeitgeber Regelungen, die den Gesundheitsschutz und die Unfallverhütung betreffen, so hat er ein Mitbestimmungsrecht. Dies betrifft auch die Gefährdungsbeurteilung.

Arbeits- und Datenschutz im Homeoffice nicht vernachlässigen

Auch wenn die Hindernisse die Arbeit erschweren und niemand verhindern kann, dass Mitarbeiter vom Sofa aus arbeiten – Arbeitgeber sollen den Arbeitsschutz und den Datenschutz dennoch im Auge behalten. Zu gefährlich sind die Folgen möglichen Fehlverhaltens. Sowohl die Arbeitsstättenverordnung als auch die Datenschutzgrundverordnung sehen für Verstöße Bußgelber von mehreren tausend Euro vor, bei schweren Datenschutzverstößen kann die Strafe sogar in die Millionen gehen. Hinzu kommen insbesondere im Arbeitsschutzrecht auch mögliche Schadenersatzansprüche des betroffenen Arbeitnehmers oder sogar strafrechtliche Konsequenzen.

Das könnte Sie auch interessieren:

• Chancen in der Krise für HR-Abteilungen

• Unternehmen setzen auf  New Work

• Prozessdigitalisierung im Unternehmen als Effizienz-Booster