Die Vertraulichkeit sichern

Im Unterschied zur Tätigkeit in den Geschäftsräumen des Unternehmens liegt die Arbeitsleistung einer Mitarbeiterin oder eines Mitarbeiters via Internet und Telefonverbindung nicht im ausschließlichen Herrschaftsbereich des Arbeitgebers. Und auch die räumliche Situation des Orts der Tätigkeit ist sowohl beim Homeoffice als auch beim Mobile Working anders, da sich zum Beispiel zu Hause weitere Personen aufhalten können, die nicht mit den verarbeiteten personenbezogenen Daten in Kontakt kommen dürfen. Diese Aspekte sind durch entsprechende Vorgaben und Handlungsanweisungen gegenüber den Mitarbeitern zu regeln. Der Arbeitgeber muss die Möglichkeit haben, bei den Beschäftigten vor Ort in deren Privaträumen die Einhaltung und Umsetzung der Datenschutzvorgaben zu kontrollieren. Das kann er sich nicht im Wege einer einseitigen Weisung verschaffen. Hier stößt das arbeitsrechtliche Direktionsrecht an seine Grenzen. Es ist also regelmäßig eine entsprechende Vereinbarung mit den Arbeitnehmern erforderlich.

Erkenntnisse während der Pandemie

Im Verlauf der Corona-Pandemie ist aufgefallen, dass bei Realisierung des Arbeitens im Homeoffice die Prüfung und Bewertung der räumlichen Rahmenbedingungen zum Schutz personenbezogener Daten nicht immer erfolgt war. Die Corona- bedingten Besonderheiten haben jedoch nicht dazu geführt, die datenschutzrechtlichen Anforderungen außer Kraft zu setzen. Daher hat eine Bewertung der Rahmenbedingungen aus datenschutzrechtlicher Sicht ergeben, dass nicht bei jedem Beschäftigten die Bedingungen gegeben sind oder waren, um eine Arbeit im Homeoffice zuzulassen. Soweit die Entscheidung sowie die Gestattung einer Tätigkeit im Homeoffice von persönlichen Faktoren abhängig gemacht wurde, waren insoweit ebenfalls datenschutzrechtliche Vorgaben zu berücksichtigen. Bei den Corona-bedingten Entscheidungen zur Gestattung standen vor allem Risikogruppen im Vordergrund, bei denen typischerweise Informationen verarbeitet werden, die nach Art. 9 DS-GVO besonders schutzbedürftig sind. Aber auch die Verarbeitung anderer Informationen, wie etwa Betreuungsbedürftigkeit von Kindern, ist unter die Verarbeitung personenbezogener Daten gefallen. Mit Blick auf die Anforderungen zum Schutz von Geschäftsgeheimnissen mussten zudem die technisch-organisatorischen Maßnahmen bei Homeoffice-Tätigkeiten auch dem Geschäftsgeheimnisgesetz Rechnung tragen. Häufig wäre mehr zu bedenken gewesen, als bedacht wurde.

Gestaltung der Vereinbarung

Das Gestatten einer Tätigkeit im Homeoffice beziehungsweise des Mobile Working ist durch eine Vereinbarung mit dem Beschäftigten – natürlich gegebenenfalls unter Einbeziehung des Betriebsrats oder anderer Organe der betrieblichen Mitbestimmung – zu gestalten. Dabei stellt sich die Frage, wie allgemein eine solche Vereinbarung für das gesamte Unternehmen oder wie individuell die Vereinbarung je Tätigkeit oder Arbeitsplatz geregelt werden kann beziehungsweise muss. Darauf gibt es keine pauschale Antwort. Die praktische Erfahrung in der Gestaltung solcher Vereinbarungen hat jedoch gezeigt, dass die rechtlichen Gestaltungselemente weitgehend gleich sein können. Die jeweiligen Besonderheiten ergeben sich vor allem in Bezug auf die Vorgaben der technischen und organisatorischen Schutzmaßnahmen. Je nach Art der verarbeiteten personenbezogenen Daten sowie der tatsächlichen Rahmenbedingungen beim Beschäftigten vor Ort kommt es hier zu unterschiedlichen Anforderungen. Eine besondere Herausforderung stellt insoweit das Mobile Working dar, da diese Arbeitsform an öffentlichen Orten, wie beispielsweise Wartebereichen in Flughäfen oder Bahnhöfen sowie in Flugzeugen und Zügen, stattfinden kann. Hier kommt es natürlich zu abweichenden und weitergehenden Anforderungen als im Homeoffice, die entsprechend erfüllt werden müssen.

Verwendung von Mustervorlagen?

Bei der Gestaltung einer solchen Vereinbarung stellt sich die Frage, ob es Vorlagen gibt, in denen alle relevanten Aspekte inhaltlich geregelt werden können, und wie man textlich formulieren sollte. Es bietet sich an, die Vereinbarung mit dem Beschäftigten in Anlehnung an die Vorgaben der DS-GVO zur Auftragsverarbeitung in den Art. 28, 29, 32 Abs. 4 DS-GVO zu regeln. Schließlich dürfen auf Grundlage einer solchen Vereinbarung zur Auftragsverarbeitung und der gesetzlichen Vorgaben zur Ausgestaltung einer solchen Vereinbarung sogar außenstehende Dritte in die Verarbeitung personenbezogener Daten eingebunden werden. Dann muss dies erst recht für die Beschäftigten gelten. Zwar passen die Regelungen der DS-GVO nicht uneingeschränkt auf Beschäftigungsverhältnisse, aber aus ihnen ergibt sich dennoch, welche Aspekte zu beachten sind. Auch hinsichtlich der textlichen Umsetzung kommt grundsätzlich eine Anlehnung an die gängigen Musterformulierungen für die Vereinbarung über eine Auftragsverarbeitung in Betracht. Bei Ausgestaltung der Vereinbarung sollte zudem eine Regelungstechnik beachtet werden, die wie folgt umschrieben werden kann: Grundsatz – Möglichkeit des Abweichens vom Grundsatz – Vorgaben zum Einfangen der Abweichung.

Inhalt der Vereinbarung

In einer Vereinbarung zur Gestaltung von Homeoffice beziehungsweise Mobile Working sollte zunächst der Geltungsbereich geregelt werden. Hier ist festzuhalten, ob die Vereinbarung für bestimmte Beschäftigte, für bestimmte Standorte und eine bestimmte Zeitdauer gelten soll. Darüber hinaus müssen die Pflichten der Mitarbeiter geregelt werden, wie etwa eine ausschließliche Nutzung der durch den Arbeitgeber genehmigten oder bereitgestellten Hard- und Software. Selbst wenn das aus rechtlicher Sicht eine Selbstverständlichkeit sein sollte, ist hierzu eine Klarstellung dringend geboten. Weiter ist festzuhalten, wenn die im Übrigen für das Beschäftigungsverhältnis geltenden Vorgaben, wie etwa die Arbeitszeiterfassung, erfüllt werden müssen. Zudem sollte die Pflicht zur Meldung von Sicherheitsvorfällen oder einem Verdacht geregelt werden, wobei klar beschrieben sein muss, was an wen wie gemeldet wird. Das ist von besonderer Bedeutung, wenn der Arbeitgeber selbst als Auftragsverarbeiter für seine Geschäftspartner tätig ist, um seine Pflichten als Auftragsverarbeiter nach Art. 33 Abs. 2 DS-GVO zur Meldung an den jeweiligen Auftraggeber einzuhalten. Natürlich zu regeln ist auch das Verbot der lokalen Speicherung oder der Speicherung auf unternehmensfremder Hardware. Eine solche Vorgabe ist natürlich nur dann sinnvoll, wenn die Einhaltung dieser Pflicht möglich ist und auch Vorgaben bestehen, wie beispielsweise bei einem Ausfall der zentralen Speichermöglichkeit vorgegangen werden soll. Um den ungewollten Zugriff Dritter – einschließlich Familienangehöriger – auszuschließen, sind auch Regelungen zum Schutz des gesprochenen Wortes wichtig. Das kann dazu führen, dass für bestimmte Themen keine Klarnamen verwendet werden dürfen oder bestimmte Dinge aus dem Homeoffice oder in der Öffentlichkeit gar nicht, auch nicht telefonisch, besprochen werden dürfen. Ob eine Regelung zur Abschließbarkeit des Arbeitsplatzes noch zeitgemäß ist, mag bezweifelt werden. Gleichwohl bedarf es angepasster Regelungen, damit Unterlagen und Inhalte nicht Dritten frei zugänglich sind. Das Verbot, im Homeoffice zu drucken, wird in voll digitalen Strukturen sicherlich an Relevanz verlieren. Die Praxis hat jedoch gezeigt, dass die tatsächliche Welt noch anders aussieht. Daher sollte beachtet werden, dass auch ein privater Drucker eine digitale Speichereinrichtung ist, die anders als eine unternehmenseigene Hardware behandelt werden muss.

Hardware und IT-Infrastruktur

Selbstverständlich ist, dass der Arbeitgeber darüber entscheidet, welche Hardware und IT-Infrastruktur eingesetzt wird. Gleichwohl sollte zur Vermeidung von Missverständnissen und als Hinweis für die Beschäftigten klargestellt werden, dass die Mitarbeiter nicht berechtigt sind, eigenmächtig Cloud-Dienste zu nutzen und zu beauftragen. Jedenfalls sollte die Nutzung der im Homeoffice eingesetzten Hardware und IT-Infrastruktur in einer eigenständigen Regelung festgehalten werden. Hier muss zunächst unterschieden werden, ob sie im Eigentum des Arbeitgebers steht oder der Beschäftigte eigene Hardware und Infrastruktur für die beruflichen Zwecke nutzt. In beiden Fällen müssen klare Vorgaben bestehen, damit die Trennung von Unternehmen und Privatem aufrechterhalten bleibt. Soweit eigene Hardware des Beschäftigten eingesetzt wird, müssen Vereinbarungen zu Sicherheitsmaßnahmen wie im Unternehmen, Zugriffsrechte des Arbeitgebers, der Verlust und auch ein späterer Weiterverkauf geregelt werden. Gerade während der pandemiebedingten Versetzungen ins Homeoffice kam es häufig zu Fällen des sogenannten Bring Your Own Device (BYOD). Mit Blick auf Homeoffice und Mobile Working kommen insoweit aber keine anderen Gesichtspunkte beziehungsweise Herausforderungen zum Tragen, als bisher schon erläutert.

Schutz vertraulicher Daten

Wenngleich Art. 29 DS-GVO, anders als § 5 Bundesdatenschutzgesetz a. F., keine Verpflichtung auf das Datengeheimnis mehr fordert, erscheint es allein schon aus Gründen der Klarstellung und als Erinnerung für die Mitarbeiter sinnvoll, darauf hinzuweisen, dass sie nach Art. 29 DS-GVO nur weisungsgebunden handeln dürfen und zur Wahrung der Vertraulichkeit verpflichtet sind. Die Vorgaben zum technischen und organisatorischen Schutz der Daten – Sicherheit der Verarbeitung – sollten ebenfalls explizit und eigenständig geregelt werden. Hier bietet sich wiederum eine Orientierung an den Vorgaben beziehungsweise Checklisten an, die im Kontext der Auftragsverarbeitung entwickelt worden sind. Obwohl die Situation nicht dieselbe ist, stellen sich jedoch die gleichen Fragen und dieselben Aspekte sind zu bewerten. Letztlich können in einigen Bereichen auch vergleichbare oder gar gleiche Maßnahmen wie bei der Auftragsverarbeitung eingesetzt werden. Allerdings muss hier der besonderen Risikolage Rechnung getragen werden, die dadurch entsteht, dass Haushaltsangehörige und private Besucher ungewollten Zutritt beziehungsweise Zugang bekommen können. Dies ist eine Konstellation, die typischerweise bei der Gestaltung von Vereinbarungen über die Auftragsverarbeitung und deren Sicherheit nicht berücksichtigt wird. Eine besondere Herausforderung in der Gestaltung solcher Vereinbarungen besteht schließlich darin, dass der Arbeitgeber grundsätzlich auch ein Kontroll- und Zutrittsrecht zur Wohnstätte des Beschäftigten haben sollte, um die Umsetzung und Einhaltung der Vorgaben zu kontrollieren. Das kollidiert jedoch mit dem durch Art. 13 GG garantierten Schutz des Wohnraums, weshalb hier eine besondere Sorgfalt auf eine angemessene Regelung zu legen ist.