Telearbeit / Homeoffice

Mit der seit dem 27.01.2021 geltenden Corona-Arbeitsschutzverordnung wird erstmals eine Pflicht zum Angebot eines Homeoffice-Arbeitsplatzes statuiert. Zunächst gilt diese Verordnung für einen befristeten Zeitraum bis zum 15.03.2021. Welche Rechte und Pflichten sich daraus ergeben und was Arbeitgeber und Arbeitnehmer jetzt zu beachten haben, beleuchtet der nachfolgende Beitrag.

Telearbeit / Mobile Telearbeit

Hierunter versteht man allgemein sämtliche Beschäftigungsformen, bei denen zumindest ein Teil der Tätigkeit außerhalb des Betriebs unter Anwendung von Informations- und Kommunikationstechniken erbracht wird. Telearbeit kann als Heimarbeit, freie Mitarbeit oder im Rahmen eines Arbeitsverhältnisses erbracht werden. Die Verarbeitung personenbezogener Daten insbesondere der besonderen Kategorien von personenbezogen Daten in Telearbeit birgt ein hohes Risiko der Offenlegung. Es müssen Maßnahmen getroffen werden, dass vertrauliche Daten nicht im Familienkreis publiziert und diskutiert werden. Diese Daten und Informationen müssen unbedingt unter Verschluss gehalten werden. Es kann nicht sein, dass Personaldaten am Küchentisch verarbeitet und gleichzeitig die Kinder betreut werden. Das Unternehmen ist für die Einhaltung des geltenden Datenschutzrechts verantwortlich und haftet seinen Vertragspartnern daher für etwaige Datenschutzverstöße, die in seinem Verantwortungsbereich auftreten. Dementsprechend haftet das Unternehmen auch für im Homeoffice arbeitende Arbeitnehmer.

Symbolfoto Homeoffice

Arbeitgeber sollten sich Kontrollrechte sichern

Das Unternehmen muss die Einhaltung der Arbeitsschutzbestimmungen und insbesondere die Einhaltung des Datenschutzes prüfen können und die Möglichkeit haben, die Wohnung zu betreten. Angesichts ihrer durch Art. 13 Grundgesetz (GG) geschützten Unverletzlichkeit darf jedoch weder der Arbeitgeber noch ein sonstiger Dritter ohne ausdrückliche Zustimmung des Beschäftigten die Wohnung betreten. Das notwendige Zutrittsrecht des Arbeitgebers/Dienstherrn muss vertraglich mit den in Telearbeit Beschäftigten vereinbart werden, wobei auch das Einverständnis der in häuslicher Gemeinschaft mit ihnen zusammenlebenden Personen umfasst sein muss. Die sonstigen Kontrollberechtigten, wie z. B. die jeweiligen Beauftragten für den Datenschutz, sollten ebenfalls in das Zutrittsrecht einbezogen werden.

Aufbewahrungspflichten

Betriebliche Dokumente müssen revisionssicher archiviert werden. Es sind eine Vielzahl von gesetzlichen Aufbewahrungspflichten zu beachten. Hier kann z.B. auch die Beschaffung eines Datenschutzschrankes notwendig werden. Datenträger sind stets nur verschlüsselt und Papierunterlagen nur in verschlossenen Behältnissen zu transportieren und dürfen nie unbeaufsichtigt gelassen werden.

Welche Schutzmaßnahmen sind zu ergreifen?

Der Verantwortliche hat geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen, dass die Verarbeitung von personenbezogenen Daten datenschutzkonform erfolgt. Dabei müssen die Maßnahmen so gewählt und getroffen werden, dass sie in ihrer Gesamtheit einen ausreichenden Schutz für die Daten bieten.

Beim Mobilen Arbeiten (Zug, Flugzeug, Hotel, öffentlichen Bereichen)

Es sollte darauf geachtet werden, dass Bildschirm und Tastatur der mobilen Geräte durch z.B. Passanten, andere Fahrgäste und Videokameras in der Umgebung, nicht einzusehen sind. Dienstliche Telefonate mit Personenbezug sollten im öffentlichen Raum nur geführt werden, wenn ein Mithören ausgeschlossen werden kann. Öffentliche Netzwerkzugänge dürfen über mobile Geräte nur genutzt werden, wenn der Zugriff auf die Infrastruktur des Arbeitgebers über ein Virtual Private Network (VPN) erfolgt, das die Verbindung zum internen Netz des Arbeitgebers durch eine ausreichend starke Verschlüsselung schützt. Bei einer Verwendung privater Hard- und Software der Beschäftigten müssen Vereinbarungen über die Kontrolle und Löschung beruflicher Daten sowie die deutliche Trennung von beruflichen und privaten Inhalten getroffen werden. Die Trennung von beruflichen und privaten Inhalten ist auch technisch sicherzustellen. Mit der dienstlichen Nutzung von für den privaten Gebrauch vorgesehener Software können auch urheberrechtliche Fragestellungen verbunden sein.

Risiko minimieren bei Telearbeit / Mobilem Arbeiten:

Das Risiko kann darüber hinaus minimiert werden, wenn durch den Arbeitgeber/Dienstherrn im Rahmen der erforderlichen technischen und organisatorischen Maßnahmen (Art. 32 DSGVO) zumindest die folgenden Vorgaben erfüllt sind:

  • Zugang der Berechtigten zu den sensiblen personenbezogenen Daten nur mit PIN und hardwarebasiertem Vertrauensanker (Zwei-Faktor-Authentifizierung)
  • Verbindung ausschließlich über ein sogenanntes Virtual Private Network (VPN)
  • Verschlüsselung der Daten (Ende-zu-Ende) inkl. Ablageverschlüsselung auf dem mobilen Gerät
  • Der Transport von mobilen Geräten sollte grundsätzliche nur im gesperrten Zustand erfolgen
  • Sperrung von USB-Zugängen und anderen Anschlüssen
  • Keine Anbindung von Multifunktionsdruckern
  • Berufliche E-Mails dürfen nicht auf private Postfächer umgeleitet werden
  • Keine private Nutzung der beruflich zur Verfügung gestellten IT-Ausstattung
  • Grundsätzlich ist der Einsatz privater Hard- und Software für Telearbeit und das Mobile Arbeiten zu vermeiden
  • Regelmäßige Schulung/Fortbildung der Beschäftigten zum datenschutzgerechten Umgang mit mobilen Geräten
  • Vermeidung des Einsatzes von smarten Lautsprechern oder digitalen Sprachassistenten Assistenten in den Räumen, in denen Telearbeit oder mobiles Arbeiten stattfindet
  • hohe Sensibilität bei Telefonaten im privaten und öffentlichen Raum
  • Die Datenschutzgrundsätze für Telearbeit und mobiles Arbeiten sind in einer Betriebs-/Dienstvereinbarung festzuschreiben
  • Bei der Einrichtung eines Telearbeitsplatzes, sollte der betriebliche Datenschutzbeauftragte rechtzeitig eingebunden werden
  • Er kann allgemeine oder konkrete Vorgaben machen. Dem Datenschutzbeauftragten sind die erforderlichen Kontrollrechte einzurichten
  • Während des Mobilen Arbeitens sind Sichtschutzfolien auf Displays zur Vermeidung unbefugter Kenntnisnahme von personenbezogenen Daten zu verwenden.

Fragen?

Der Arbeitgeber muss hier Orientierungshilfen zur Verfügung stellen oder auch Trainings anbieten, gegebenenfalls Betriebsvereinbarungen schließen und den Umgang mit den privaten Geräten und privaten Daten datenschutzrechtlich sauber organisieren, um die Nachweispflichten erfüllen zu können. Unser Team ist auch hier sehr erfahren und steht Ihnen gerne zur Verfügung.

    Back To Top