Die Covid-19 Pandemie zwingt sowohl national als auch international vielerorts Millionen Menschen dazu, von ihrem angestammten Arbeitsplatz innerhalb der Betriebe in das Home-Office zu wechseln. Das wöchentliche Jour fixe verwandelt sich von einer mehr oder minder spannenden Präsenzveranstaltung in einen digitalen Video-Call auf den Plattformen dritter Anbieter wie beispielsweise Zoom, Skype oder Google Hangouts, die Aktenbearbeitung und Kundenbetreuung erfolgt, statt rein über die Server des Arbeitgebers, auch aus dem eigenen Wohnzimmer. Zwischen der berechtigten Sorge über das gesundheitliche Wohlergehen und den Erhalt des Arbeitsplatzes kann blinder Aktionismus vor allem den Bereich des Datenschutzes und damit einhergehende Haftungs- und Bußgeldgefahren ausblenden. Längst zeigen sich bei den verwendeten Drittprodukten sowohl datenschutzrechtliche als auch IT-sicherheitsbezogene Risiken, um deren Behebung die Betreiber bemüht sind.[1] Dieser Beitrag soll sowohl betroffenen Arbeitnehmern als auch Entscheidungsträgern eine erste Handreichung bieten, wie mit den sich verändernden Arbeitsbedingungen aus (datenschutz-) rechtlicher Sicht zu verfahren ist.
I. Besteht eine generelle Pflicht zur Bereithaltung der Möglichkeit des Home-Office?
Das deutsche Recht sieht, im Gegensatz zu anderen Rechtsordnungen – exemplarisch sei auf das Gesetz der Arbeitsflexibilisierung der Niederlande verwiesen[2] – grundsätzlich keinen Anspruch des Arbeitnehmers auf Heimarbeit bzw. Telearbeit vor.[3] Vielmehr obliegt dem Arbeitgeber nach § 106 S. 1 GewO das Weisungsrecht, den Arbeitsort des Arbeitnehmers nach billigem Ermessen näher zu bestimmen. Ein Recht des Arbeitnehmers auf die Entsendung ins Home-Office besteht mithin gerade nicht. Anders als die Entsendung, Anordnung einer Dienstreise oder Versetzung bedarf die Entsendung ins Home-Office (als Unterkategorie der Telearbeit[4]) neben der Entschließung des Arbeitgebers wohl auch der Zustimmung des Arbeitnehmers.[5] Einseitig ist eine Anordnung nur in Ausnahmefällen denkbar, etwa wenn seitens des Betriebsrates einer dementsprechenden Betriebsvereinbarung zugestimmt wurde.[6] Bleibt der Arbeitnehmer eigenmächtig – aus Angst vor Ansteckung – dem bestimmten Arbeitsplatz fern, so kann dies im Zweifelsfall Grund für eine fristlose Kündigung nach § 626 Abs. 1 BGB darstellen, auch wenn Hollo es zumindest moralisch fraglich findet, dass in Zeiten einer grassierenden Pandemie die Ausnahme des Arbeitsweges aus den Ausgangsbeschränkungen und die Erledigung der Arbeit am betrieblichen Arbeitsplatz als sozialadäquat und mithin dem billigen Ermessen des § 106 S. 1 GewO entsprechend angesehen wird.[7] Erst wenn der Arbeitgeber in besonders groben Maße seine arbeitsschutzrechtlichen Pflichten, resultierend aus § 618 BGB i.V.m. öffentlich rechtlichen Schutznormen, verletzt, könnte eine eigenmächtige Verlagerung der Arbeit in das Home-Office seitens des Arbeitnehmers angedacht werden.[8] Da das Vorliegen solcher Begebenheiten für den juristischen Laien jedoch schwerlich zu beurteilen sein dürften, wird von der nicht anwaltlich begleiteten Wahrnehmung dieser Ausnahme abgeraten.
II. Hard- und Software Anforderungen an die häuslichen Einrichtungen
Die DS-GVO stellt, sofern es sich um die professionelle Verarbeitung personenbezogener Daten handelt, grundsätzlich strenge Anforderungen an die zu verwendenden Hardware- und Software-Komponenten. Art. 32 DS-GVO sieht vor, dass der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, geeignete technische und organisatorische Maßnahmen treffen muss, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese sogenannten technischen und organisatorischen Maßnahmen (TOMs) werden in der Regel auf heimischen IT-Systemen nicht zwangsläufig zu finden sein, da sie auch aus datenschutzrechtlicher Perspektive grundsätzlich für die Verarbeitung zu rein persönlichen und familiären Zwecken auch nicht nötig sind.[9]
Arbeitet der Arbeitnehmer von seinem Heimarbeitsplatz heraus, so verbleibt der Arbeitgeber dennoch auch für diesen Bereich datenschutzrechtlich Verantwortlicher; der Arbeitnehmer hingegen ist in einer solchen Situation mit einem Auftragsverarbeiter i.S.d. Art. 28 DS-GVO zu vergleichen.[10] Konkrete Hinweise der nationalen Datenschutzbehörden, welche Anforderungen dieser Wandel für die privaten Endgeräte der Arbeitnehmer aus datenschutzrechtlicher Sicht fordert, lassen derzeit auf sich warten. Lediglich der Bayerische Landesbeauftragte für den Datenschutz hat bezüglich der Nutzung von privaten Geräten bei der Verwendung für Videokonferenzen und Messengerdiensten bekannt gegeben, dass der Einsatz dann erlaubt sein soll, wenn keine Speicherung von sensiblen Daten auf dem Privatgerät erfolgt, die Kommunikation datensparsam erfolgt, das Gerät durch eine PIN oder ein Passwort geschützt werden kann und die personenbezogenen Daten mit Wegfall der Nutzung zu löschen sind.[11] Berechtigt kritisieren Schröter/Zöllner daher das Vorgehen der deutschen Datenschutzbehörden als ungenügend und bemängeln insbesondere, dass die gegebenen Handreichungen überwiegend eine bloße Umformulierung der Anforderungen der DS-GVO darstellen und wenig hinreichende praktische Umsetzungsbeispiele bieten.[12] Ein Blick auf die europäischen Nachbarländer lässt ein etwas besseres Bild der dortigen Datenschutzbehörden erkennen. Der polnische Datenschutzbeauftragte empfiehlt in Bezug auf die für das Home-Office genutzten Geräte:[13]
- Nur seitens des Arbeitgebers bereitgestellte Software auf den Geräten zu verwenden
- Aktualisierung der verwendeten Software, insbesondere der Antivirenapplikationen
- Bereithaltung eines gesonderten Arbeitsbereiches, welcher dem Zugriff Dritter entzogen ist
- Sperrung des Gerätes, sofern dieses unbeaufsichtigt bleibt
- Verwendung starker Passwörter und mehrstufiger Authentifizierung
- Bei Verlust oder Diebstahl sollte die Möglichkeit gegeben sein, aus der Ferne eine Datenvernichtung zu initiieren
Die österreichische Datenschutzbehörde empfiehlt überdies, eine geschützte Internetverbindung für die Kommunikation zu verwenden, keine beruflichen Daten auf privaten Geräten bzw. Cloud-Anwendungen zu speichern und auf den häuslichen Ausdruck von Dokumenten weitgehend zu verzichten bzw. angefallene Dokumente bei Notwendigkeit angemessen zu vernichten und nicht im Hausmüll zu entsorgen.[14] Für die Arbeit an heimischen Computereinrichtungen empfiehlt die niederländische Datenschutzbehörde, dass die Möglichkeit eingerichtet wird, dass sich der Arbeitnehmer über seinen privaten Computer auf dem Server des Arbeitgebers anmelden können sollte, um in der gleichen Software- und Serverumgebung wie am betrieblichen Arbeitsplatz zu arbeiten; sofern der Einsatz von Diensten Dritter nötig wird, z.B. für Videounterhaltungen, sind solche Anbieter zu verwenden, die ein hohes Datenschutzniveau aufweisen – empfohlen werden seitens der niederländischen Behörde Signal und FaceTime – und so wenig sensible Inhalte zu besprechen wie möglich.[15] Sofern auf private E-Mail-Provider zurückgegriffen werden muss – dies sollte in der Regel grundsätzlich nicht der Fall sein – rät die irische Datenschutzbehörde dazu, Inhalte und Attachements verschlüsselt zu übermitteln und insbesondere keine personenbezogenen Daten in der Betreffzeile zu offenbaren.[16]
III. Vertragliche Vereinbarung
Da der Arbeitgeber auch in Zeiten des Home-Office Verantwortlicher i.S.d. Datenschutzrechts nach Art. 7 Nr. 4 DS-GVO bleibt ist es sinnvoll, die mit Arbeitgeber vereinbarten Vorgaben bezüglich des einzuhaltenden Datenschutzniveaus und der zu ergreifenden Schutzmaßnahmen vertraglich festzuhalten. Hiernach hat der Arbeitgeber den von der Verarbeitung Betroffenen auch weiterhin Auskunft gem. Art. 12 ff. DS-GVO zu geben. Der Arbeitgeber hat hierfür geeignete Maßnahmen zu treffen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln, Art. 12 Abs. 1 S. 1 DS-GVO. Aus diesem Grund sollte der Arbeitnehmer vertraglich verpflichtet werden, Daten nur auf den Servern des Arbeitgebers zu speichern und nicht zu Hause, gleich ob in digitaler oder analoger Form, aufzubewahren; lokale Speicherungen und Aufbewahrungen sollten nur in sehr eng umgrenzten und genau definierten Fällen zugelassen werden, welche ihrerseits in einem Verzeichnis der Verarbeitungstätigkeit nach Art. 30 DS-GVO aufgeführt werden müssen.[17]
Um die Einhaltung der nach Art. 32 DS-GVO zu fordernden technischen und organisatorischen Maßnahmen (siehe Ausführungen unter Punkt II.) überprüfen zu können, sollte sich der Arbeitgeber überdies ein vertragliches Betretungsrecht der privaten Räumlichkeiten des Arbeitnehmers einräumen lassen. Um hierbei einen verhältnismäßigen Ausgleich zwischen den widerstreitenden Interessenlagen zu finden, sollte dieses Recht nicht unbedingt eingeräumt, sondern an feste zeitliche Überprüfungszeitpunkte gebunden werden; außerplanmäßige Überprüfungen sollten nur in besonderen Verdachtsfällen und unter vorheriger Ankündigung (z.B. 24h im Voraus) zulässig sein.[18]
Bergt empfiehlt überdies, dass zur Vermeidung von Unsicherheiten ein vertragliches Zutrittsrecht der Datenschutzbehörden gem. Art. 58 Abs. 1 lit. f) DS-GVO für die Privatwohnungen der Arbeitnehmer vereinbart wird.[19] Dieses Recht ermöglicht den Aufsichtsbehörden in ihren gesetzlichen Grenzen Zugang zu den Räumlichkeiten, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten. Dies ist sinnvoll, da die DS-GVO zwar grundsätzlich nicht das Betreten von reinen Privatwohnungen vorsieht, wohl aber von gemischt genutzten Räumlichkeiten[20]; eine explizite vertragliche Regelung macht die Unsicherheiten obsolet, ob es sich bei den für das Home-Office genutzten Privaträumlichkeiten um derartige gemischt genutzte Räume handelt, die dem Arbeitgeber als Verantwortlichen zugerechnet werden können. Ebenso ist eine Vereinbarung unter dem Gedanken des Arbeitnehmers als potentiellen Auftragsverarbeiter im Home-Office ratsam, da ein fehlendes Zutrittsrecht der Aufsichtsbehörden eine Auftragsverarbeitung verhindern würde.[21]
IV. Fazit
Die Arbeit im Home-Office stellt aus datenschutzrechtlicher Perspektive sowohl den Arbeitnehmer als auch -geber vor Herausforderungen. Insbesondere darf sich der Arbeitgeber nicht darauf zurückziehen, dass der Datenschutz und die Vorhaltung geeigneter Maßnahmen nunmehr im Verantwortungsbereich des Arbeitnehmers lägen. Er hat vielmehr die Einhaltung zu überwachen und diese vertraglich zu regeln. Die Wirksamkeit eines ausreichenden Datenschutzrechts als elementare Verwirklichung des Rechts auf informationelle Selbstbestimmung muss sich insbesondere in Krisenzeiten beweisen. Umso verwunderlicher mutet es daher an, dass die Leopoldina, wenn auch in Bezug auf die Nutzung von Daten für sog. „Corona-Apps“, fordert, dass angesichts „der Erfahrung der derzeitigen Pandemie […] auf europäischer Ebene die Datenschutzregelungen für Ausnahmesituationen überprüft und ggfs. mittelfristig angepasst werden“[22] sollen. Die Ausnahmesituation einer gesundheitlichen Notlage darf nicht dazu führen, dass die informationellen Freiheitsrechte der Bürger sowohl seitens staatlicher Stellen als auch privater Unternehmen unverhältnismäßig beeinträchtigt werden.
Lukas Schmidt, Universität Passau
Dieser Beitrag erschien erstmals im BayWiDI-Magazin 2/2020. Die vollständige Ausgabe finden Sie hier.
[1] Vgl. Zoom schließt Sicherheitslücken, ZEIT Online vom 02.04.2020 (abgerufen am 17.04.2020).
[2] Schwiering/Zurel, Das Homeoffice in der Arbeitswelt 2.0 – Rechtliche Rahmenbedingungen für Telearbeit, ZD 2016, 17 (18).
[3] Imping in Kilian/Heussen, Computerrechts-Handbuch, 34. EL Mai 2018, Abschnitt 70.11, Rn. 17.
[4] Grundsätzlich sind unter einem Telearbeitsplatz aus rechtlicher Perspektive ein vom Arbeitgeber fest eingerichteter Bildschirmarbeitsplatz im Privatbereich des Beschäftigten, für die der Arbeitgeber eine mit dem Beschäftigten vereinbarte wöchentliche Arbeitszeit und die Dauer der Einrichtung festgelegt hat, zu verstehen, § 2 Abs. 7 ArbStättV. Das derzeit vielfach praktizierte Home-Office wird jedoch in vielen Fällen unter Zuhilfenahme privater Telekommunikations- und IT-Einrichtungen stattfinden.
[5] Maschmann in BeckOGK, Stand 01.09.2018, § 106 GewO, Rn. 1.
[6] Fuhlrott, Arbeitsrechtliche Fragestellungen im Zusammenhang der Coronavirus-Epidemie, GWR 2020, 107 (108).
[7] Hollo, Kein Recht auf Homeoffice, LTO.de vom 15.04.2020 (abgerufen am 17.04.2020).
[8] Günther/Böglmüller, COVID-19-Pandemie und Home-Office, ArbRAktuell 2020, 186 (187).
[9] Etteldorf, COVID-19 Special – EU Member State Data Protection Authorities Deal with COVID-19:
An Overview, EDPL 2020, 1 (8).
[10] Schwiering/Zurel, Das Homeoffice in der Arbeitswelt 2.0 – Rechtliche Rahmenbedingungen für Telearbeit, ZD 2016, 17 (20).
[11] Vgl. BayLfD, Sonderinformationen zum mobilen Arbeiten mit Privatgeräten zur Bewältigung der Corona-Pandemie (abgerufen am 17.04.2020).
[12] Schröter/Zöllner, Denn sie wollen wissen, was sie tun (dürfen) (abgerufen am 17.04.2020).
[13] Polnischer Datenschutzbeauftragter, Schutz personenbezogener Daten während der Arbeit aus der Ferne (abgerufen am 17.04.2020).
[14] Österreichische Datenschutzbehörde, Datensicherheit und Home-Office (abgerufen am 17.04.2020).
[15] Niederländische Datenschutzbehörde, Während der Coronakrise sicher von zu Hause aus arbeiten, https://autoriteitpersoonsgegevens.nl/nl/nieuws/veilig-thuiswerken-tijdens-de-coronacrisis (abgerufen am 17.04.2020).
[16] Irische Datenschutzbehörde, Protecting Personal Data When Working Remotely (abgerufen am 17.04.2020).
[17] Bergt in Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, 2. Aufl. 2018, S.357 f.
[18] Vgl. Hoppe in Kramer, IT-Arbeitsrecht, 2. Aufl. 2019, Rn. 676.
[19] Bergt in Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, 2. Aufl. 2018, S.360.
[20] Polenz in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Aufl. 2019, Art. 58 Rn. 23.
[21] Vgl. zur vergleichbaren Rechtslage unter dem BDSG a.F. Fischer/Schierbaum, Telearbeit und Datenschutz – Eine vernachlässigte Debatte, CR 1998, 321 (325).
[22] Leopoldina, Ad-hoc-Stellungnahmen zur Coronavirus-Pandemie (PDF), S. 7 (abgerufen am 17.04.2020).