Die Covid-19-Pandemie hat die Arbeit im Homeoffice beschleunigt.

Dank zunehmender Digitalisierung von Daten ist das auch immer öfter sinnvoll möglich. Dabei sind jedoch Vorgaben der Datensicherheit (Art. 32 DS-GVO) und der IT-Sicherheit zu beachten.

Unabhängig davon sollten Unternehmer den Schutz ihrer Geschäftsgeheimnisse nicht aus dem Blick verlieren.

In diesem Beitrag habe ich einige Anforderungen zusammengetragen.

Beachten Sie insoweit auch meine Empfehlungen zu Messenger- und Videokonferenzdiensten.

Nach wechselnden Regelungen im Zusammenhang mit Covid kann der Arbeitgeber den Arbeitnehmer derzeit nicht gegen seinen Willen ins Homeoffice zwingen, wenn nicht vertraglich etwas anderes vereinbart ist. Die Privatwohnung des Arbeitnehmers ist keine Arbeitsstätte und nicht alle Privatwohnungen eignen sich dazu. Besteht ein Betriebsrat, sind außerdem dessen Mitbestimmungsrechte zu beachten.

In diesem Zusammenhang sollte nicht vergessen werden, dass auch im Homeoffice zumindest Mehrarbeitszeiten aufgezeichnet werden müssen (§ 16 Arbeitszeitgesetz).

Auch sollten gerade selbstständig tätige Mitarbeiter anhand ihres Mietvertrags überprüfen, inwieweit sie in ihrer Privatwohnung berufliche Tätigkeiten ausüben dürfen. Was gern übersehen wird: Da freie Mitarbeiter Unternehmer sind, können je nach Bebauungsplan und Art der Tätigkeit auch baunutzungsrechtliche Hindernisse bestehen. Auskunft erteilt beispielsweise die örtliche Bauaufsichtsbehörde.e

Einigen sich die Parteien auf Homeoffice-Tätigkeiten, liegt es am Arbeitgeber, dem Arbeitnehmer die Betriebsmittel zur Verfügung zu stellen, also beispielsweise einen Laptop und die erforderliche Software.

Das empfiehlt sich auch aus Gründen der Datensicherheit dringend, da sonst die Gefahr besteht, dass geschäftliche Daten mit privaten vermischt werden und Schadsoftware, die sich sehr häufig unerkannt auf privaten Rechnern befindet, auf geschäftliche Daten übergreift. Das kann zur Schadensersatzpflicht und hohen Bußgeldern des Arbeitgebers führen. Überhaupt empfiehlt es sich, Geräte rein geschäftlich zu nutzen. Bedenken Sie beispielsweise, dass Whatsapp regelmäßig das vollständige Adressbuch ausliest und übermittelt, selbst wenn Sie nur mit einigen dieser Rufnummern aktiv “whatsappen”. Nur bei geschäftlichen Endgeräten kann der Arbeitgeber frei festlegen, welche Software installiert wird, dass nur sichere Passwörter verwendet werden oder dass ordnungsgemäße Datensicherungen erfolgen. Der Arbeitgeber muss auch mit dem sogenannten Verarbeitungsverzeichnis eine Katalogisierung der Verarbeitungsarten vornehmen (Art. 30 DS-GVO), deren Einhaltung er bei privaten Endgeräten kaum kontrollieren kann. Der Arbeitgeber kann nicht vom Arbeitnehmer verlangen, auf privaten Rechnern bestimmte, dienstlich benötigte Software zu installieren. Eine geschäftlich-private Mischnutzung ist auch lizenzrechtlich oft unzulässig.

Es ist auch nicht realistisch, von Arbeitnehmern eine Absicherung ihres Rechners nach professionellen Maßstäben zu erwarten, dies ist auch nicht ihre Aufgabe. Selbst wenn ein Arbeitnehmer einen neuen Rechner aus einem Elektronikmarkt einsetzt, sind aktuelle Betriebssysteme wie Windows 10 im Auslieferungszustand nicht DS-GVO-konform, da Standardeinstellungen falsch gesetzt sind und unkontrolliert Daten in Drittstaaten übermittelt werden, wie amtlich bestätigt wurde und sich seitdem nicht substanziell geändert hat.

Nach Art. 5 DS-GVO trägt der Arbeitgeber die Beweislast dafür, dass er angemessene Maßnahmen zur Datensicherheit getroffen hat.

Soll der Arbeitnehmer geschäftlich telefonisch oder per E-Mail erreichbar sein, muss der Arbeitgeber ihm auch dienstliche E-Mail-Accounts und gegebenenfalls einen geschäftlichen Telefonanschluss zur Verfügung stellen. Der Arbeitgeber hat keinen Anspruch darauf, private Telefonnummern oder E-Mail-Adressen seiner Arbeitnehmer zu kennen (Landesarbeitsgericht Thüringen, Urt. v. 16.05.2018 – 6 Sa 442/17), erst recht sie im Unternehmen oder gegegnüber Kunden zu verbreiten. Ebenso wenig müssen Arbeitnehmer die Kosten für geschäftliche Telekommunikationsleistungen tragen. Tipp: Wenn Sie über 50 oder mehr geschäftliche Telekommunikationsanschlüsse verfügen oder bei etwas weniger Anschlüssen hohe Auslands-Roamingkosten haben, kann sich insoweit eine professionelle Kostenoptimierung lohnen.

Aber auch im eigenen Interesse seiner Datensicherheit sollte der Arbeitgeber keine Unternehmensdaten an unkontrollierbare, oft unbemerkt infizierte oder aus dem Support gelaufene private Telefonanlagen sowie an rechtlich problematische E-Mail- oder Cloud-Provider (Vereinbarung zur Auftragsverarbeitung nach Art. 28 DS-GVO vorhanden?) streuen, die meist für geschäftliche Nutzung ungeeignet sind. Wenn Sie unbedingt eine externe Cloud zum Dateitausch benötigen, ist die MagentaCloud der Deutschen Telekom meiner Prüfung zufolge (April 2022) zumindest prinzipiell rechtmäßig nutzbar.

Um einen Zugriff auf das Unternehmensnetzwerk zu ermöglichen, sollte ein Virtual Private Network (VPN) eingerichtet werden, das für ausreichende Authentifizierung (Benutzername, Passwort usw.) sorgt und die übertragenen Daten verschlüsselt. Es gibt hierfür Virtualisierungs-Lösungen, bei denen der Arbeitnehmer in Wirklichkeit auf einem virtuellen Rechner des Arbeitgebers arbeitet und, vereinfacht gesagt, lediglich das Bild auf seinen Rechner übertragen wird. So finden die maßgeblichen Datenverarbeitungen trotz Homeoffice auf Rechnern im Unternehmen statt und der Arbeitgeber behält die Kontrolle und muss nicht jede Software für jeden Client einzeln warten.

Der Arbeitgeber sollte die beteiligten Systeme richtig konfigurieren und härten. Er muss notwendige Patches installieren, eine Antiviren-Software und eine Firewall verwenden und warten.

Externe Laptops und Datenträger sind, wenn personenbezogene oder sonst sensible Daten enthalten sind, zu verschlüsseln. Keine Verschlüsselung ist die bloße Abfrage von Benutzername und Passwort bei der Windows- oder Netzwerkanmeldung. Werden Datenträger nicht verschlüsselt, kann dies im Verlustfall sogar eine Pflicht zur Selbstanzeige des Arbeitgebers nach Art. 33 DS-GVO und möglicherweise zur Benachrichtigung mitbetroffener Geschäftspartner und Kunde nach Art. 34 DS-GVO auslösen.

Erforderlich sind außerdem

  • eine Bildschirmsperre,
  • ein Berechtigungskonzept,
  • WLAN-Verschlüsselung,
  • sichere Passwörter,
  • Regelung für Ausdrucke,
  • gegebenenfalls eine Zwei-Faktor-Authentifizierung,
  • gegebenenfalls ein datenschutzkonformer Remote-Support,
  • gegebenenfalls ein Proxy-Server,
  • gegebenenfalls Public-Cloud-Filter und
  • gegebenenfalls Backups.

Es handelt sich dabei um sogenannte technische und organisatorische Maßnahmen zur Datensicherheit (‘TOM’). Jeder Unternehmer sollte hierüber eine Übersicht führen, die auch bei Homeoffice-Konstellationen zutreffen sein muss.
Wer außerdem personenbezogene Daten im Auftrag verarbeitet (Art. 28 DS-GVO), weil er beispielsweise bestimmte Onlinedienste anbietet, hat sich vertraglich zur Einhaltung bestimmter technischer und organisatorischer Maßnahmen zur Datensicherheit verpflichtet.

Diese müssen auch im Homeoffice gewahrt sein, falls die Datenverarbeitung (auch) dort stattfindet oder Zugriffe möglich sind. Zu solchen vertraglichen Pflichten können auch Homeoffice-Kontrollen gehören, gegebenenfalls sogar von Kunden (Art. 28 Abs. 3 Buchst. h DS-GVO).

Der Arbeitgeber sollte nachweisbar anordnen, dass aus Gründen der Vertraulichkeit Informationen keinen anderen Angehörigen des Haushalts zugänglich gemacht werden. Dazu sollte der Arbeitnehmer möglichst ein eigenes Zimmer verwenden. Ist das nicht möglich, sollte der Rechner zumindest so platziert werden, dass der Bildschirm nicht von anderen eingesehen werden kann, gegebenenfalls durch Sichtschutzfolien. Fenster und Türen sind gegebenenfalls zu schließen, vor allem bei dienstlichen Video- oder Telefongesprächen. Beim Verlassen des Arbeitsplatzes ist eine Bildschirmsperre zu aktivieren, falls vom Arbeitnehmer einzustellen.

Unterlagen sind nach der Arbeit in einem abschließbaren Schrank aufzubewahren, der gegebenenfalls vom Arbeitgeber bereitzustellen ist. Nicht mehr benötigte Unterlagen sind nicht über den privaten Hausmüll zu entsorgen, sondern es sind entweder ausreichende Aktenvernichter zur Verfügung zu stellen und zu verwenden, oder es sind diejenigen im Betrieb zu verwenden. Welche Aktenvernichter geeignet sind (Partikelgröße), richtet sich nach der Sensibilität der Daten. Generell sollten dienstliche Unterlagen nicht oder nur im Rahmen des Notwendigen nach Hause mitgenommen werden.

Verhaltensregeln (siehe vorige Ziffer) sollte der Arbeitgeber, auch aus Beweisgründen, in einer Richtlinie in Gestalt einer Arbeitsanweisung festhalten. Darin sollte klargestellt werden, dass dienstliche Regelungen zur IT-Sicherheit und zum Datenschutz auch im Homeoffice gelten.

Auch besteht bei bestimmten Fällen der Verletzungen der Datensicherheit eine Meldepflicht des Arbeitgebers gegenüber der Datenschutz-Aufsichtsbehörde, die binnen 72 Stunden zu erfüllen ist. Diese muss auch im Homeoffice erfüllt werden.

Viele Unternehmen verarbeiten (sei es als Haupttätigkeit oder nicht) für andere Unternehmen Daten im Auftrag (Art. 28 DS-GVO) und haben in diesem Zusammenhang bestimmte Maßnahmen zur Datensicherheit vertraglich zugesagt, zum Beispiel Alarmanlagen, elektronische Zutrittskarten oder WLAN-Verschlüsselung. Es muss sichergestellt und auf Anfrage nachgewiesen werden, dass vertraglichen Maßnahmen auch bei Homeoffice-Tätigkeit umgesetzt werden. Dabei kann eine Homeoffice-Richtlinie helfen. Können solche Zusagen nicht eingehalten werden, dürfen sie entweder erst gar nicht abgegeben werden oder die bestehenden Verträge sind anzupassen; anderenfalls darf die fragliche Datenverarbeitung nicht im Homeoffice stattfinden. Beispiel: Wer seinen Kunden vertraglich zugesagt hat, dass ihre Daten in Tresoren gelagert werden, der Eingang von einem Sicherheitsdienst bewacht wird oder Festplatten vollverschlüsselt sind, dies im Homeoffice aber nicht erfüllt, begeht Vertragsbruch.

Der Arbeitgeber ist nach der Rechtsprechung des Bundesarbeitsgerichts prinzipiell berechtigt, zu prüfen, ob der Arbeitnehmer seiner Leistungspflicht nachkommt. Das darf aber auch nicht im Homeoffice nicht durch invasive elektronische Überwachungsmaßnahmen erfolgen, solange keine zu dokumentierenden, konkreten Anhaltspunkte für eine Straftat vorliegen; die dann möglichen Maßnahmen sind gesondert rechtlich zu bewerten. Unzulässig sind in der Regel der standardmäßige Einsatz eines Keyloggers, periodische Screenshots oder der heimliche Zugriff auf die Webcam des Arbeitnehmers. Zulässig ist beispielsweise die Anweisung, dem Vorgesetzten ausgehende dienstliche Korrespondenz in Kopie zu senden. Beim allgemeinen Einsatz von zur Überwachung auch nur geeigneter Software sind Mitbestimmungsrechte des Betriebsrats zu beachten