Ratgeber: Datenschutzsicher im Homeoffice und Mobileoffice (Mit Tipps und Checkliste)
Aufgrund der Corona-Pandemie hat das Homeoffice nicht nur an Bedeutung gewonnen, sondern ist in vielen Unternehmen sogar zur Regel geworden. Allerdings müssen die Datensicherheit und der Datenschutz im Homeoffice angemessen gesichert sein.
Ohne angemessene Schutzmaßnahmen kann der Schutz von Geschäftsgeheimnissen entfallen und es drohen Bußgelder wegen Datenschutzverstößen. Zudem kann die Gefährdung der IT-Infrastruktur die Existenz des gesamten Unternehmens gefährden.
Aus diesen Gründen müssen Unternehmen dafür sorgen, dass die Nachteile des Heimarbeitsplatzes durch Instruktion, Verpflichtung und Schulung der Belegschaft ausgeglichen werden. Was Sie im Einzelnen beachten müssen, erfahren Sie in dem folgenden Ratgeber im FAQ-Format und der Checkliste an dessen Ende.
Inhalt des Beitrags:
Dürfen Arbeitgeber das Homeoffice anordnen?
Sofern die Arbeit im häuslichen Umfeld nicht bereits im Arbeitsvertrag vereinbart war, kann sie nur in einer Notlage angeordnet werden. Eine derartige Notlage könnte z. B. ein Corona-Verdachtsfall in der Belegschaft sein.
Allerdings muss den Beschäftigten die Heimarbeit auch möglich und zumutbar sein. Wer z. B. mit der Familie in einer kleinen Wohnung wohnt, wird kaum eine Arbeit ausführen können die viel Konzentration erfordert.
D. h. der Arbeitgeber müsste umgekehrt Abstriche in der Arbeitsleistung in Kauf nehmen. Auch könnten Beschäftigte (sofern dies möglich ist) auf weniger belastende Alternativen, wie z. B. die Anmietung von Coworking-Büros bestehen.
Besser einvernehmlich regeln: Zusammenfassend muss die Anordnung von Homeoffice im Einzelfall geprüft werden, wird nur mit gleichzeitigen Zugeständnissen seitens des Arbeitgebers einhergehen und nur in Notlagen möglich sein. Daher sollten Arbeitgeber eher auf eine einvernehmliche Vereinbarung der Arbeit im häuslichen Arbeitszimmer hinwirken.
Haben Arbeitnehmer ein Recht auf Homeoffice?
Auch bei Beschäftigten wird ein Recht auf das Homeoffice eher selten im Arbeitsvertrag vereinbart und daher grundsätzlich ausgeschlossen sein.
Doch wie schon Arbeitgeber, können sich auch die Beschäftigten auf eine Notlage, wie die Möglichkeit der Ansteckung im Büro berufen. Die Arbeitgeber können wiederum hygienische Maßnahmen, Belüftung, räumliche Trennung, etc. als hinreichenden Schutz entgegenhalten.
Ebenso können Arbeitgeber darauf verweisen, dass eine Heimarbeit der Natur der Sache nach nicht extern ausgeübt werden kann, wie es bei manuellen Tätigkeiten der Fall ist.
Auch bei den Beschäftigten gilt daher, dass in Notlagen ein Recht auf Homeoffice besteht, aber eine einvernehmliche Vereinbarung zu empfehlen ist.
Darf der Arbeitgeber einen abschließbaren Raum verlangen?
Aus der Sicht des Arbeitgebers ist ein abschließbarer Raum vorzuziehen. Das gilt zumindest dann, wenn z. B. Dokumente im Homeoffice gelagert oder vertrauliche Gespräche geführt werden.
Allerdings werden externe Arbeiten heutzutage häufig digital ausgeübt oder sogar auf dem Server des Arbeitgebers. Daher ist ein eigener und abschließbarer Raum keine zwingende Voraussetzung. Das gilt zumindest dann, wenn die Beschäftigten andere Schutzmaßnahmen, wie z. B. Passwortschutz des Rechners beim Verlassen des Arbeitsplatzes ergreifen, Unterlagen in verschließbaren Behältern aufbewahren oder ohnehin alleine wohnen.
Im Ergebnis besteht keine Notwendigkeit für einen abschließbaren Raum, wenn ohnehin digital gearbeitet und Schutzmaßnahmen im Homeoffice beachtet werden.
Welche Schutzmaßnahmen müssen im Homeoffice ergriffen werden?
Um die Datensicherheit und Datenschutz (was auch den Schutz von Geschäftsgeheimnissen umfasst) im Homeoffice zu gewährleisten, müssen die folgenden Sicherheitsmaßnahmen beachtet werden:
- Organisatorische Maßnahmen: Beschäftigte sollten nicht nur allgemein, sondern auch im Hinblick auf sicherheitskritische Situationen (vertrauliche Telefonate, Transport von Datenträgern, Verlassen des Arbeitsplatzes, Auslandsreisen, etc.) und konkrete Maßnahmen (Passwortschutz, ordnungsgemäße Entsorgung von Dokumenten, etc.) instruiert und zu Rückfragen sowie Information bei Unregelmäßigkeiten verpflichtet werden.
- Technische Maßnahmen: Der Datenzugriff aus dem Homeoffice sollte auf das nötigste beschränkt werden, Fernverbindungen sollten verschlüsselt erfolgen und der Einsatz von mobilen Datenträgern oder “zuhörenden” digitalen Assistenten im Homeoffice sollte vermieden werden.
- Unterrichtung und Verpflichtung: Die Beschäftigten müssen schon zum Beginn ihrer Tätigkeit im Homeoffice über die ihnen obliegenden Pflichten unterrichtet und zu deren Einhaltung verpflichtet werden.
- Regelmäßige Schulungen und Aktualisierungen: Die Beschäftigten sollten über neue Sicherheitsmaßnahmen oder Risiken stets auf dem Laufenden gehalten an. Hierzu können auch Dienstleistungen von Schulungsplattformen in Anspruch genommen werden.
- Prüfung und Rückfragen bei Beendigung des Homeoffice: Wenn Beschäftigte die Tätigkeit im Homeoffice einstellen, sollten sie die Herausgabe, bzw. Löschung von Unternehmensdaten- und Unterlagen bestätigen. Ferner sollten deren Accounts sofort deaktiviert werden.
Gelten Ausnahmelagen, wie Pandemien als Entschuldigung?
Besondere Notlagen erlauben es Maßnahmen zu ergreifen und manche Pflichten zurückzustellen. So kann z. B. eine Pandemie einen Arbeitgeber von heute auf morgen dazu zwingen, die Beschäftigten im Homeoffice einzusetzen. In solchen Fällen können z. B. Vereinbarungen über Schutzpflichten oder Freigaben von Geräten (so schnell es geht) nachgeholt werden.
Auch ist in wirklichen Notfällen grundsätzlich mit einer gewissen Nachsicht seitens der Behörden zu rechnen. Jedoch sollten Unternehmen insbesondere aufgrund der Erfahrungen in der letzten Zeit auf derartige Notfälle vorbereitet sein und nicht erst im letzten Moment planen, wie die Sicherheit im Homeoffice gewährleistet werden kann.
Zusammenfassend erfordert eine moderne Unternehmens-Compliance, dass Unternehmen auf einen möglichen Einsatz von Beschäftigten im Homeoffice vorbereitet sein müssen.
Nachweis der Schutzmaßnahmen: Sowohl im Datenschutz als auch beim Schutz von Geschäftsgeheimnissen sind Unternehmen zum Nachweis angemessener Schutzmaßnahmen verpflichtet. Daher sollten Sie alle Maßnahmen mit Datumsangabe protokollieren und Schulungsunterlagen aufbewahren.
Darf der Arbeitgeber die Einhaltung der Schutzmaßnahmen kontrollieren?
Vereinbarungen und Zusicherungen verlieren ihren Wert, wenn sie nicht überprüft werden können. Daher ist die Vereinbarung von Kontrollrechten des Arbeitgebers unbedingt erforderlich.
Allerdings müssen Arbeitgeber ganz besonders Rücksicht auf die Privatsphäre und den Schutz des Privatlebens ihrer Beschäftigten nehmen. Ein “Hausbesuch” sollte daher nur bei Anlass (z. B. Überprüfung beim Onboarding oder ein Datenschutzvorfall) und mit angemessener Ankündigungsfrist erfolgen. Sofern eine Überprüfung virtuell (z. B. per Kamera) möglich ist, sollte diese der Kontrolle vor Ort vorgezogen werden.
Schutz der Privatsphäre: Arbeitgeber sollten sich bemühen, die Privatsphäre ihrer Beschäftigten nicht zu verletzen. Daher sollten sie zu Schutzmaßnahmen, wie z. B. virtuellen Hintergründen bei Videokonferenzen im heimischen Wohnzimmer, raten..
Welche Besonderheiten gelten beim Mobileoffice?
Der Begriff Mobile-Office (bzw. Mobileoffice) umschreibt die berufliche Tätigkeit außerhalb der Betriebsräumlichkeiten und außerhalb des Homeoffice. Zum Mobileoffice gehört z. B. der Abruf von E-Mails via Smartphone von Unterwegs oder die Arbeit am Notebook in der Bahn.
Grundsätzlich gilt für das Mobileoffice das zum Homeoffice gesagte. D.h. auch hier müssen die Beschäftigten über die Risiken des Mobileoffice sowie zu ergreifende Schutzmaßnahmen belehrt und auf diese verpflichtet werden (z. B. Geräte nicht unbeaufsichtigt lassen, Sichtschutzfilter nutzen und keine vertraulichen Gesprächen in Hörweite Dritter führen).
In der Praxis werden die Pflichten für das Home- und Mobileoffice in einem Dokument vereinbart.
Dürfen Privatgeräte für berufliche Zwecke eingesetzt werden?
Im Optimalfall sollten den Beschäftigten betriebliche Geräte bereitgestellt werden. Den das Risiko der Vermischung von betrieblichen mit privaten Daten bringt viel Ungemach mit sich.
- Schutz der Privatsphäre: Zum einen zählen Privatgeräte zur Privatsphäre der Beschäftigten, auf die Arbeitgeber nicht ohne ausdrückliches Einverständnis zugreifen dürfen. Das versehentliche Löschen privater Daten kann zudem Schadensersatzansprüche der Arbeitnehmer auslösen.
- Pflicht auf betriebliche Daten zugreifen zu können: Umgekehrt müssen die Arbeitgeber sicher stellen, auf betriebliche Daten (seien es personenbezogene Daten Dritter oder Geschäftsgeheimnisse) zugreifen und sie notfalls auch schnell und effektiv löschen (lassen) zu können.
- Trennungspflicht: Das wichtigste Gebot ist die Trennung zwischen privaten und beruflichen Daten. Betriebliche Daten sollten auf privaten Festplatten oder in privaten Clouds gar nicht und wenn es nicht anders geht, dann nur verschlüsselt gespeichert werden. Wenn möglich sollten auf den Geräten getrennte Accounts, Container-Lösungen (d. h. vom übrigen Speicher getrennte Speicherumgebung) oder gleich der Zugriff auf externe Server des Arbeitgebers eingerichtet werden.
- Aufrechterhaltung Sicherheitsniveau: Auch auf den Privatgeräten muss ein den betrieblichen Anforderungen entsprechendes Sicherheitsniveau herrschen. Das bedeutet, dass die Arbeitnehmer Maßnahmen wie Virenscanner, Software- und Hardwarefirewalls, regelmäßige Update oder Schutz des privaten WLANs vor Fremdzugriff ergreifen müssen.
- Notwendigkeit einer Vereinbarung: Zwischen den Beschäftigten und dem Arbeitgeber muss im Hinblick auf die o.g. Schutzmaßnahmen und das Recht des Arbeitgebers, auf die betrieblichen Daten zugreifen zu können, eine gesonderte Vereinbarung getroffen werden.
- Prüfung vor dem Einsatz: Zu Beginn der Tätigkeit sollte die Eignung der Geräte der Beschäftigten im Hinblick auf das erforderliche Sicherheitsniveau geprüft werden (z. B. abhängig vom Risikograd durch Checklisten oder eine Prüfung).
- Löschung nach dem Einsatz: Nach Beschäftigungsende sollte die Entfernung aller betrieblichen Informationen von den Geräten von Mitarbeitern bestätigt und bei sensiblen Daten geprüft werden.
- Entsorgung: Bei Privatgeräten muss insbesondere darauf geachtet werden, dass die Beschäftigten z. B. keine Festplatten mit betrieblichen Informationen an unbefugte Dritte verkaufen oder im Hausmüll entsorgen. Hier sollte der Arbeitgeber eine Unterstützung bei der Löschung von Daten oder Entsorgung von Geräten anbieten.
Risikogewichtung: Die notwendigen Maßnahmen und deren Umfang muss mit dem Risiko für zu schützende Daten und Informationen abgewogen werden. Je höher der mögliche Schaden (z. B. wenn Gesundheitsdaten der Beschäftigten oder existenzielle Geschäftsgeheimnisse außerhalb des Unternehmens verarbeitet werden) und dessen Wahrscheinlichkeit (z. B. ist das Risiko von Fremdzugriffen auf WLAN-Netzwerke oder Diebstahl von Geräten unterwegs groß), desto höher müssen die Sicherheitsmaßnahmen sein.
Darf Privatsoftware für berufliche Zwecke eingesetzt werden?
Beim Einsatz privater Software muss nicht nur deren hinreichende datenrechtliche Sicherheit (z. B. durch regelmäßige Updates und Abschaltung von Datenübermittlungsfunktionen), sondern auch die lizenzrechtliche Berechtigung ihrer betrieblichen Nutzung geprüft werden.
So ist z. B. die Nutzung einer Vielzahl von Softwareangeboten nur für die private Nutzung kostenlos. Hier muss sich der Arbeitgeber um die nötigen Lizenzen kümmern und es vermeiden, die Beschäftigten zu einem Rechtsbruch zu verleiten.
Der Erwerb professioneller Lizenzen ist häufig zugleich auch die Voraussetzung, damit zusätzliche Datenschutzoptionen, wie erforderliche Auftragsverarbeitungsverträge oder Verschlüsselungsoptionen zugänglich werden (z. B. im Fall von Videokonferenzsoftware).
Müssen der Betriebsrat und die Personalvertretung beteiligt werden?
Die Arbeitnehmervertretung muss in jedem Fall informiert werden, da der Einsatz von Remote-Arbeitsplätzen typischerweise mit einer Möglichkeit, der Überwachung von Arbeitnehmern einher geht und zudem Fragen der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer im Betrieb betrifft (87 Abs. Nr. 1 und 6 BetrVG).
Die oben besprochenen Regelungen der Erlaubnis von Homeoffice und der Sicherheitsmaßnahmen können dann in einer Betriebsvereinbarung beschlossen werden.
Kann das Homeoffice gegen Auftragsverarbeitungsverträge verstoßen?
In Auftragsverarbeitungsverträgen verpflichten sich Dienstleister gegenüber ihren Kunden, personenbezogene Daten nur nach deren Weisung zu verarbeiten und ein angemessenes Sicherheitsniveau einzuhalten.
Bis zu der Corona-Pandemie war es nicht unüblich, dass Auftragsverarbeitungsverträge die Tätigkeit der Beschäftigten in einem Homeoffice von der Zustimmung des Auftraggebers abhängig machten. Bitte prüfen Sie daher Ihre Verträge und bitten um eine solche Erlaubnis.
Allerdings spricht eine Notlage (wie z. B. die Corona-Pandemie), dass Geschäftspartner eine Zustimmung generell nicht grundlos versagen dürfen. Das gilt zumindest dann, wenn die Sicherheitsmaßnahmen im Homeoffice eingehalten werden.
Checkliste: Rechtssicheres Home- und Mobileoffice
Mit Hilfe der folgenden Checkliste können Sie prüfen, ob die Tätigkeit von Beschäftigten im Home- oder Mobileoffice zulässig ist:
- Wirksame Vereinbarung: Liegt eine wirksame Vereinbarung der Nutzung eines Homeoffice (und Mobileoffice) zwischen Arbeitgeber und Mitarbeiter vor?
- Zustimmung Betriebsrat: Ist die Arbeitnehmervertretung einbezogen worden und hat sie der Regelung der Tätigkeit im Homeoffice, Mobile Office, bzw. bei Privatgeräten zugestimmt?
- Räumliche Voraussetzungen: Ist ein abschließbarer Raum erforderlich (nur bei besonderen Sicherheitsanforderungen) oder genügt eine Arbeitsecke und sofern erforderlich ein abschließbarer Container für Dokumente sowie Geräte (Regelfall).
- Rechtemanagement: Wurde der Zugriff auf betriebliche Daten möglichst eingeschränkt?
- Einsatz von Privatgeräten: Werden betriebliche Geräte verwendet oder wird im Fall der Nutzung von Privatgeräten die Trennung zwischen betrieblichen und privaten Daten gewährleistet?
- Technische Ausrüstung: Sind verwendete Geräte technisch auf den aktuellem Stand und Virenscanner sowie Firewalls aktiv?
- Netzzugang: Werden ein verschlüsselter Onlinezugang (VPN) oder gesicherte WLAN-Verbindung zu Hause verwendet?
- Passwortschutz: Existiert eine Passwortrichtlinie auf dem aktuellen Sicherheitsstand (lieber länger und kompliziert als kurz und häufige Wechsel, Passwortmanager werden empfohlen).
- Sperrung und Sicherung von Geräten bei Nichtnutzung: Ist gesichert, dass Beschäftigte ihre Geräte bei Nichtnutzung sperren oder unterwegs nie unbeaufsichtigt lassen.
- Blick- und Hörschutz: Ist gesichert, dass vertrauliche Bildschirmausgaben sowie Unterlagen nicht eingesehen (z. B. Blickschutzfolien) und vertrauliche Gespräche nicht abgehört werden (z. B. Abhören durch digitale Assistenten oder Mitreisende).
- Externer Datenverlust: Wurde die Nutzung von USB-Speichern nach Möglichkeit untersagt oder geregelt (es empfiehlt sich eine betriebliche Cloud vorzuziehen)?
- Vereinbarung von Kontrollrechten: Wurde ein Recht zur Kontrolle der Einhaltung angemessener Schutzmaßnahmen im Homeoffice vereinbart?
- Risikoaufklärung und Schulung: Sollte schon vor der Aufnahme der Tätigkeit am Heimarbeitsplatz (zumindest mit der Verpflichtung die ausgehändigten Verpflichtungen zu studieren) geschehen und am besten mit regemäßig wiederkehrenden Schulungen verbunden werden.
- Vertragliche Verpflichtung: Werden Beschäftigte vor Beginn der Heimarbeit auf die Einhaltung der Schutzpflichten (im Home sowie Mobileoffice und gegebenenfalls bei der Nutzung von Privatgeräten) vertraglich verpflichtet?
- Prüfung nach Vertragsende: Wird nach Vertragsende geprüft und durch Beschäftigte bestätigt, dass nach Ende der Beschäftigung keine betrieblichen Daten im Homeoffice oder auf Privatgeräten oder der Gerätenutzung verbleiben?
- Nachweisbarkeit: Können die Schutzmaßnahmen nachgewiesen werden (z. B. durch Protokollierung der Maßnahmen, Aufbewahrung oder Einscannen der Vereinbarungen mit Beschäftigten)?
Generatoren für Homeoffice- und BYOD-Verpflichtungen
Mit unserer “Vereinbarung über Datenschutz im Home- und Mobile-Office” und der “Vereinbarung über betriebliche Nutzung von Privatgeräten der Mitarbeiter*innen (BYOD)” können Sie Ihre Mitarbeiter*innen über die zu beachtenden Sicherheitsmaßnahmen instruieren, sie auf deren Einhaltung verpflichten sowie die notwendigen Kontrollrechte und Zugriffsrechte vereinbaren.
Rabatt: Beim Erwerb der Lizenzen für die Vereinbarungen Home- & Mobileoffice und für Nutzung Privatgeräte (BYOD) sparen Sie rund 10,00 Euro netto (nur für Unternehmen).