Datenschutz : Homeoffice – bleibt die Tür zu?
Ist mobiles Arbeiten wirklich ein Weg ohne rechtliche Pflichten des Arbeitgebers und Ansprüche des Arbeitnehmers? Dieser Beitrag gibt dazu eine Einschätzung aus der Datenschutzperspektive.
Ein typisches Gespräch zum Thema Homeoffice, wie es der Autor in der letzten Zeit häufiger erlebte.
Geschäftsführung: Wir wollen Homeoffice dauerhaft einführen.
Datenschutzbeauftragter: Es fehlt eine Einräumung von Zutrittsrechten. Das wäre nachzuholen.
Geschäftsführung: Brauchen wir nicht, denn wir erlauben kein Homeoffice, sondern mobiles Arbeiten.
Illusion der Verantwortungslosigkeit
Telearbeit wird in § 2 Abs. 7 Arbeitsstättenverordnung (ArbStättV) legal definiert: „Telearbeitsplätze sind vom Arbeitgeber fest eingerichtete Bildschirmarbeitsplätze im Privatbereich der Beschäftigten, für die der Arbeitgeber eine mit den Beschäftigten vereinbarte wöchentliche Arbeitszeit und die Dauer der Einrichtung festgelegt hat. […]“ Unter mobiler Arbeit wird hingegen ein Verrichten der Arbeitsleistung ohne feste Bindung an die Betriebsstätte und die häusliche Wohnung verstanden. Eine Legaldefinition gibt es nicht. Rechte und Pflichten, die sich aus der Datenschutz-Grundverordnung (DS-GVO) ergeben, knüpfen nicht an den Ort an, an dem ein Arbeitnehmer tätig wird. In der Folge hat der Arbeitgeber seine Pflichten auch dann um- und durchzusetzen, wenn der Arbeitnehmer im Zug, Café oder von zu Hause ausarbeitet. Für mobiles Arbeiten gelte somit die gleichen datenschutzrechtlichen Pflichten wie für die Telearbeit und die Arbeit in der Betriebsstätte.
In der praktischen Umsetzung bestehen indes Unterschiede, ob ein Arbeitnehmer in der Betriebsstätte, in der häuslichen Wohnung oder an einem anderen Ort arbeitet.
Sicherstellen der Compliance
Ein Arbeitgeber hat sicherzustellen, dass er als Organisation und auch seine Beschäftigten alle Vorschriften der DS-GVO einhalten. Innerhalb der Betriebsstätte steht dem Arbeitgeber das Hausrecht und bei Betriebsmitteln auch das Direktionsrecht zur Verfügung. Bei einer Verlegung der Arbeit in ein Café, einen Zug oder die häusliche Wohnung verliert der Arbeitgeber das Instrument „Hausrecht“. Er hat beispielsweise nicht mehr das Recht, den Arbeitsplatz aufzusuchen und den Zugang zum Arbeitsplatz zu reglementieren. Nutzt der Arbeitnehmer auch Geräte von sich oder einem Dritten, wie z. B. seinen privaten Router, so steht dem Arbeitgeber darüber kein Direktionsrecht zu. Der Arbeitgeber hat folglich keine Befugnis, auf private Geräte zuzugreifen oder die Sicherheitseigenschaften zu bestimmen oder zu erfragen.
Gewährt ein Arbeitgeber die Erlaubnis zur Telearbeit, zur mobilen Arbeit oder zum Homeoffice, hat er durch geeignete Maßnahmen sicherzustellen, dass er trotz des Fehlens von Hausrecht und Direktionsrecht seinen Datenschutzpflichten nachkommen kann. Andernfalls setzt sich der Arbeitgeber dem bußgeldbewehrten Vorwurf aus, seine Sicherstellungspflicht zu verletzen. Wenn in der Folge Personen einen Schaden erleiden, kann diesen ein Schadensersatzanspruch zuwachsen.
Erhöhte Sicherheitsrisiken
Sobald personenbezogene Daten außerhalb der Betriebsstätte verarbeitet werden, entstehen zusätzliche Risiken für deren Verfügbarkeit, Integrität und Vertraulichkeit. Beispiele: Diebstahl des Notebooks im Café, Mithören von Telefongesprächen im Zug und unbemerkte Datenveränderung durch Kinder in der häuslichen Wohnung. Welche zusätzlichen Risiken entstehen, hängt von der konkreten Ausgestaltung des Arbeitsplatzes, den verarbeiteten Daten, der verwendeten Hard- und Software und der Umgebung des Arbeitsortes ab. Deshalb sind pauschale Aussagen nicht möglich.
Diese zusätzlichen Risiken sind zu ermitteln, zu dokumentieren und durch geeignete technische und organisatorische Maßnahmen so weit zu senken, dass in der Summe das Risiko nicht höher ist als bei einer Verarbeitung in der Betriebsstätte. Zu betrachten sind die Risiken für die betroffenen Personen, beispielsweise Kunden, Bewerber, Beschäftigte und Lieferanten.
Kann auf die Risikoanalyse verzichtet werden, wenn man eine Handreichung wie z. B. „Telearbeit und Mobiles Arbeiten“ des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) beachtet? Die Antwort ist nein. Die Risikoanalyse ist zwingend durchzuführen (Art. 32 Abs. 1 DS-GVO) und zu dokumentieren (Art. 5 Abs. 2 DS-GVO), allein um zu prüfen, ob im konkreten Fall keine weiteren Risiken bestehen.
Zutrittsrechte unabdingbar
Ein Unternehmen ist gemäß Art. 24 Abs. 1 DS-GVO verpflichtet, durch geeignete technische und organisatorische Maßnahmen sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Vorschrift bezieht sich beispielsweise auch auf die Maßnahmen zur Absicherung der Verarbeitung in einer Privatwohnung (Clear Desk, Gestaltung Arbeitsplatz usw.).
Aus Art. 32 Abs. 1 lit. d) DS-GVO ergibt sich die Pflicht, die Wirksamkeit der Sicherheitsmaßnahmen regelmäßig zu überprüfen. Das schließt eine Überprüfung der Sicherheitsmaßnahmen beim mobilen Arbeiten ein. Hieraus lässt sich folglich eine Kontrollverpflichtung des Arbeitgebers auch in Wohnungen ableiten. Der BfDI führt in seiner „Handreichung Telearbeit und Mobiles Arbeiten“ auf S. 20 aus: „Da letztendlich die Arbeitgeber/Dienstherren die Verantwortung für die personenbezogenen Daten tragen, genügt es nicht, nur technisch-organisatorische Vorgaben zu treffen. Vielmehr hat der Arbeitgeber/Dienstherr nicht nur das Recht, sondern auch die Pflicht, vor und nach der Genehmigung von Telearbeit oder Mobilem Arbeiten routinemäßig und in regelmäßigen Abständen zu kontrollieren, ob die Vorgaben eingehalten werden.“ Ähnlich äußert sich die saarländische Aufsichtsbehörde in ihrem Tätigkeitsbericht für 2020 auf S. 45.
Zusätzlich ist ein Unternehmen verpflichtet, dem Datenschutzbeauftragten Zugang zu Verarbeitungsvorgängen und dem Ort der Verarbeitung zur Verfügung zu stellen (Art. 38 Abs. 2 DS-GVO). Die Datenschutzaufsichtsbehörde hat das Recht, Zugang zu Räumlichkeiten des Unternehmens zu erhalten (Art. 58 Abs. 1 lit. f) DS-GVO). Durch die Verlagerung des Arbeitsorts in ein Café, den Zug oder die häusliche Wohnung kann der Arbeitgeber die genannten rechtlichen Verpflichtungen nicht mehr ohne weiteres einhalten. Mit Blick auf Art. 13 Grundgesetz (GG) (Unverletzlichkeit der Wohnung) ist deshalb eine Vereinbarung mit dem Mitarbeiter über die Zutrittsrechte zu treffen. Dabei ist die Zustimmung seiner Mitbewohner erforderlich.
Die Landesbeauftragte für den Datenschutz Niedersachsen führt in ihrer „Hilfestellung zum Datenschutz im Homeoffice“ auf S. 2 aus: „Wegen der nach Art. 13 Grundgesetz garantierten Unverletzlichkeit der Wohnung hat der Arbeitgeber/die Arbeitgeberin kein generelles Zugangsrecht zu Wohnungen von Beschäftigten. Deshalb bedarf es für den Zugang zur Wohnung einer wirksamen Einwilligung des/die Beschäftigten.“ Die Einräumung von Zutrittsrechten lässt sich durch individuelle Vereinbarungen mit dem Beschäftigten erreichen. Dabei hat dieser die Rechteeinräumung durch die Mitbewohner ebenfalls zu versichern. Richtlinien oder Betriebsvereinbarungen können eine solche individuelle Vereinbarung nicht ersetzen.
Aus Datenschutzsicht sind Zutrittsrechte mindestens für Vertreter des Arbeitgebers, des Datenschutzbeauftragten und der Datenschutzaufsichtsbehörde einzuräumen. Ist der Arbeitgeber als Auftragsverarbeiter nach Art. 28 DS-GVO tätig, sind zusätzlich Zutrittsrechte für Vertreter von Auftraggebern zur Durchführung von Vor-Ort-Kontrollen einzuräumen.
Weder die Corona-Arbeitsschutzverordnung noch das Infektionsschutzgesetz (IfSG) setzen die genannten Vorschriften außer Kraft (Stand der Sichtung: 15.12.2021).
Immer dann, wenn die Pflicht besteht, Homeoffice anzubieten, aktuell in § 28b Abs. 4 IfSG, und Mitarbeiter die Zutrittsrechte nicht einräumen wollen, darf aus Datenschutzsicht kein Homeoffice gewährt werden. Dadurch kann es zu einer „Überbelegung“ in der Betriebsstätte kommen, wenn mehr Beschäftigte dort arbeiten müssen, als das Hygienekonzept vorsieht. Das IfSG hat keinen Vorrang vor der DS-GVO, da sie als europarechtliche Vorschrift grundsätzlich nicht durch nationale Gesetze eingeschränkt werden kann. Auch im zweiten Jahr der Pandemie drückt sich der Gesetzgeber vor einer konsistenten und widerspruchsfreien Gesetzgebung. Mit einer pandemischen Ausnahmesituation ist dieses Verhalten immer weniger zu erklären.
Fazit
Datenschutzpflichten treffen einen Arbeitgeber, gleich an welchen Orten die Beschäftigten ihre Arbeit verrichten. Außerhalb der Betriebsstätte wird es für den Arbeitgeber mangels Hausrecht und wegen des eingeschränkten Direktionsrechts schwieriger, diese Pflichten umzusetzen. Es bedarf einer sorgfältigen Ausgestaltung, unter welchen Bedingungen Telearbeit, mobiles Arbeiten oder Homeoffice gewährt wird und welche Pflichten die Beschäftigten zusätzlich zu erfüllen haben.
Zutrittsrechte sind einzelvertraglich einzuräumen. Weiterhin sind die zusätzlichen Risiken für die durch die Datenverarbeitung betroffenen Personen zu analysieren und durch geeignete Maßnahmen so weit zu reduzieren, dass das Niveau einer Verarbeitung innerhalb der Betriebsstätte erreicht wird. Die Risikoanalyse sowie die Maßnahmen sind zu dokumentieren.
Dr. Niels Lepperhoff, Xamit Bewertungsgesellschaft mbH