Das Instrument des Home Office rückt aufgrund der aktuellen Corona-Sachlage immer stärker in den Blickwinkel von Unternehmen und Mitarbeitern. Ein durchaus nachvollziehbarer Ansatz. Das Unternehmen auf der einen Seite möchte seinen Betrieb weitgehend aufrechterhalten und zugleich seinen Fürsorgepflichten gegenüber Mitarbeitern nachkommen. Der Mitarbeiter auf der anderen Seite, der aufgrund von Schulschließungen eventuell ein Kind zuhause zu betreuen hat, hat einen hohen Bedarf an der Flexibilisierung der Arbeit und sicherlich auch einen eigenen Schutzbedarf.
Wie sieht es aber nun aus? Kann der Mitarbeiter ohne Weiteres in das Home Office geschickt werden? Gibt es eventuell datenschutzrechtliche Vorgaben zu berücksichtigen? Wer steht eigentlich bei Home Office-Tätigkeiten in der Verantwortung? Wie kann ein Home Office praktisch umgesetzt werden?
Welche Risiken bestehen beim Home Office?
In Deutschland ist das Thema Home Office bzw. Telearbeitsplatz im § 2 Abs. 7 der Arbeitsstättenverordnung (ArbStättV) geregelt. Danach sind Telearbeitsplätze vom Arbeitgeber fest eingerichtete Bildschirmarbeitsplätze im Privatbereich der Beschäftigten und unterliegen somit auch konkreten Regeln. Dazu gehört auch, dass der Arbeitgeber die Arbeitnehmer mit allen Mitteln ausstatten muss, die zur Durchführung der Arbeit benötigt werden. Zu den gängigen Kommunikationsmitteln im Homeoffice zählen beispielsweise PC, Notebook oder Smartphone. Aber die Nutzung von privater Hardware hält zunehmend Einzug.
Spezielle datenschutzrechtliche Vorschriften für Teleheimarbeit oder Home Office bestehen nicht.
Wenn nun aber ein Mitarbeiter personenbezogene Daten bei sich Zuhause verarbeitet, birgt dies grundsätzlich Risiken für die Persönlichkeitsrechte der betroffenen Personen. Da ein häuslicher Arbeitsplatz zumeist nicht im gleichen Maß wie ein konventioneller Arbeitsplatz geschützt ist, entstehen immer Risiken in punkto unberechtigter Einsichtnahme durch Familienangehörige oder Besucher. Auch privat vorhandene IT-Infrastrukturen (Router, Repeater, o.ä.) sind oftmals nicht im gleichen Umfang wie betriebliche Umgebungen geschützt. Damit sind auch IT-Sicherheitsrisiken entsprechend zu berücksichtigen.
Wer trägt die Verantwortung bei Home Office-Lösungen?
Datenschutzrechtlich ist dies klar in Art. 4 Nr. 7 DSGVO geregelt. Im Rahmen eines klassischen Arbeitsverhältnisses entscheidet der Arbeitgeber im Rahmen seiner Weisungsbefugnis, wie und wo der Arbeitnehmer seine Arbeitsaufgabe wahrnimmt und damit auch datenschutzrelevante Verarbeitungen ausführt. Damit ist der Arbeitgeber auch bei Home Office-Tätigkeiten seiner Arbeitnehmer als Verantwortlicher im datenschutzrechtlichen Sinne zu klassifizieren.
Wer haftet bei Tätigkeiten im Home Office?
Einfache Antwort: wer die Verantwortung trägt, trägt auch das Risiko. Das Unternehmen als Verantwortlicher ist für die Einhaltung des geltenden Datenschutzrechts verantwortlich und haftet entsprechend für etwaige Datenschutzverstöße. Dies gilt selbstverständlich auch gegenüber den Aufsichtsbehörden.
Ist der im Home Office tätige Mitarbeiter Arbeitnehmer des Unternehmens, haftet er nie nach außen. Das Unternehmen hat eventuell im Innenverhältnis einen Rückforderungsanspruch, der allerdings stark vom Verschuldensgrad (leichte Fahrlässigkeit bis Vorsatz) des Mitarbeiters abhängt.
Sind Schutzmaßnahmen für ein Home Office zu ergreifen? An dieser Stelle ein klares „Ja“. Nach Art. 32 DSGVO hat der Verantwortliche geeignete technische und organisatorische Maßnahmen umzusetzen. Damit soll sichergestellt werden, dass die Verarbeitung von personenbezogenen Daten datenschutzkonform erfolgt. Auch hier erfolgt datenschutzrechtlich keine Unterscheidung, ob die Verarbeitung am betrieblichen Arbeitsplatz oder im Home Office erfolgt.