Diese Schulung informiert über die Voraussetzungen eines datenschutzkonformen Homeoffice-Arbeitsplatzes.

Da der Arbeitgeber auch bei Homeoffice-Arbeitsplätzen für die Verarbeitung der personenbezogenen Daten sowie für die Einhaltung der Datenschutzvorschriften verantwortlich bleibt, müssen neben arbeitsrechtlichen Vereinbarungen auch Regelungen über die Beschaffenheit des Arbeitsplatzes und den zu gewährleistenden Datenschutz getroffen werden. Daher sind je nach Art der zu verarbeitenden personenbezogenen Daten, deren Sensibilität und der Gestaltung des Arbeitsplatzes unterschiedliche Anforderungen an die Einrichtung eines Homeoffice-Arbeitsplatzes zu erfüllen.

Schwerpunkte dieser Schulung sind Homeoffice-Vertrag, Homeoffice-Richtlinien, das Verhalten im Homeoffice sowie die technisch-organisatorische Ausgestaltung des Homeoffice-Arbeitsplatzes.

Homeoffice-Vertrag

Homeoffice kann vom Arbeitgeber nicht einseitig angeordnet werden. Ebenso kann der Beschäftigte nicht die Einrichtung eines Homeoffice verlangen, es sei denn, der Beschäftigte müsste sich am betrieblichen Arbeitsplatz bei einem grundsätzlich möglichen Homeoffice unzumutbaren Risiken, z. B. Infektionsrisiken, aussetzen. Die Einrichtung eines Homeoffice muss deshalb zwischen den beiden Vertragsparteien vertraglich vereinbart werden. Bei einem bereits bestehenden Arbeitsvertrag wird dazu eine ergänzende Homeoffice-Vereinbarung abgeschlossen. In der Vereinbarung werden neben den spezifischen arbeitsrechtlichen Vereinbarungen auch Vereinbarungen über die Beschaffenheit des Arbeitsplatzes und zum Datenschutz getroffen.

Die Homeoffice-Tätigkeit kann befristet, z. B. über eine Probezeit, oder unbefristet vereinbart werden. Für den Fall der Beendigung der häuslichen Arbeit sollten Regelungen, insbesondere zur Kündigung und zur Rückgabe der Geräte, vorgesehen werden. Für die Kündigung ist, soweit ein Betriebsrat eingerichtet ist, die Zustimmung des Betriebsrats einzuholen.

Beim Homeoffice (auch Telearbeit) arbeiten die Beschäftigten von zu Hause aus. Es werden unterschiedliche Ausprägungen unterschieden, und zwar:

•Teleheimarbeit: Hier arbeitet der Beschäftigte in vollem Umfang von zu Hause aus, und ein betrieblicher Arbeitsplatz ist nicht eingerichtet.

•Alternierende Telearbeit: Hier arbeitet der Beschäftigte abwechselnd im Betrieb und von zu Hause aus.

•Mobile Telearbeit: Hier arbeitet der Beschäftigte auch oder nur von wechselnden Orten aus, z. B. Vertreter.

Die Heimarbeit/Telearbeit kann von der eigenen Wohnung aus oder von einem anderen Ort aus geleistet werden. Der Ort des Homeoffice ist zu vereinbaren.

Je nach Art der zu verarbeitenden personenbezogenen Daten und deren Sensibilität (z. B. besondere Datenarten, Personaldaten, sonstige besonders sensible Daten etc.) und der Arbeitsgestaltung, z. B. reine Bildschirmtätigkeit mit oder ohne Datenspeicherung auf dem mobilen Gerät oder auch mit Aktenbearbeitung in Papierform, ergeben sich unterschiedliche Anforderungen an die Gestaltung des Homeoffice-Arbeitsplatzes. Bei einer reinen Bildschirmtätigkeit ohne Speicherung von personenbezogenen Daten auf dem mobilen Gerät und Verarbeitung von normal sensiblen Daten kann eine vertrauliche Umgebung in der Wohnung ohne gesonderte Absperrmöglichkeit ausreichend sein, während bei einer Aktenbearbeitung und Bearbeitung von sensiblen Daten ein abschließbarer Raum zu fordern sein wird. Wenn das Homeoffice nicht in der Wohnung des Beschäftigten, sondern an einem anderen Ort eingerichtet werden soll, müssen die Örtlichkeiten geregelt werden. Die Anforderungen an den Homeoffice-Arbeitsplatz hinsichtlich der Absperrbarkeit müssen ebenso vereinbart werden. Die einzelnen technischen und organisatorischen Maßnahmen können in einer Homeoffice-Richtlinie geregelt werden.

Gestaltung und Ausstattung des Arbeitsplatzes

Da der Arbeitgeber auch bei Homeoffice-Arbeitsplätzen für die Verarbeitung der personenbezogenen Daten und für die Einhaltung der Datenschutzvorschriften verantwortlich ist, muss er auf die Gestaltung des Arbeitsplatzes Einfluss nehmen können und ein Kontrollrecht besitzen. Der Arbeitnehmer seinerseits sollte verpflichtet werden, die eingerichtete und mit dem Arbeitgeber abgestimmte Einrichtung und Gestaltung des Arbeitsplatzes später nicht in einem Sinne zu verändern, die zu einer Verschlechterung des Schutzes der personenbezogenen Daten führen kann. Die technische Ausstattung muss deshalb im erforderlichen Umfang festgelegt werden, um die Vertraulichkeit des Arbeitsplatzes während der Homeoffice-Tätigkeit zu gewährleisten.

Arbeitsrechtliche Regelungen

Die Homeoffice-Tage und die täglich im Homeoffice zu leistende Arbeitszeit müssen festgelegt werden. Zu regeln ist auch die zu leistende Arbeitszeit und das Verfahren der Zeiterfassung. Die Arbeitszeit, z. B. nach einer Gleitzeitvereinbarung mit Gleit- und Kernzeit, kann im Homeoffice ebenso wie im Betrieb geregelt werden. Es kann auch eine selbstbestimmte Arbeitszeit vereinbart werden, in der der Mitarbeiter mit Ausnahme der Kernzeit die Lage der Arbeitszeit ggf. innerhalb eines aus technischen Gründen, z. B. der Verfügbarkeit der IT-Systeme, vorgegebenen Rahmens frei bestimmen kann.

Welche Kommunikationsmittel und Kommunikationssysteme, z. B. für Audio- oder Videokonferenzen, genutzt werden sollen, müssen vereinbart werden, weil dafür auch die technischen Voraussetzungen, z. B. die Einrichtung von erforderlichen Kommunikationssystemen, geschaffen werden müssen.

Festzulegen ist auch der Umfang des Aufgabengebiets. Denkbar ist z. B., dass im Aufgabengebiet des Beschäftigten Tätigkeiten enthalten sind, wie etwa die Bearbeitung von besonders vertraulichen Unterlagen, die aus Sicherheitsgründen nur am betrieblichen Arbeitsplatz verrichtet werden dürfen. Diese Tätigkeiten und das Verbringen dieser Unterlagen zum Homeoffice-Arbeitsplatz müssen dann vom Homeoffice ausgeschlossen werden.

Kontrollrechte des Arbeitgebers

Der Arbeitgeber ist auch im Homeoffice für die Einhaltung der gesetzlichen Vorschriften, z. B. nach den arbeitsschutzrechtlichen oder datenschutzrechtlichen Vorschriften, verpflichtet. Daraus ergibt sich auch die Notwendigkeit eines Kontrollrechts bezüglich des Arbeitsplatzes und eines Betretungsrechts der Wohnung für den Arbeitgeber, um die erforderlichen Kontrollen vornehmen zu können. Zu vereinbaren ist hier einerseits das grundsätzliche Betretungsrecht und auch, wer die Wohnung betreten darf, z. B. der Datenschutzbeauftragte, der Beauftragte für Arbeitssicherheit, ein Mitglied des Betriebsrats oder Vorgesetzte. Auch ein Betretungsrecht durch einschlägige Behörden darf nicht vergessen werden. Zu denken ist auch an Mitbewohner im Haushalt, weil für diese Personen ebenfalls das Recht auf die Unverletzlichkeit der Wohnung gilt und ggf. für das Betretungsrecht von diesen Personen eine gesonderte Einwilligung erforderlich ist. Selbstverständlich ist das Betretungsrecht auf den Bereich des Homeoffice beschränkt. Soweit erforderlich, müssen auch Betretungsrechte für technisches Personal, z. B. für Service- und Reparaturarbeiten oder zum Gerätetausch, vorgesehen werden.

Auch im Homeoffice haftet der Arbeitgeber nach dem Datenschutzrecht als Verantwortlicher für die Verarbeitung. Datenschutzvorfälle im Homeoffice müssen deshalb von den Beschäftigten umgehend dem Arbeitgeber gemeldet werden, damit dieser seinerseits eventuell greifenden Meldepflichten nachkommen kann. Die Meldepflicht sollte nochmal vereinbart werden. Insbesondere sollten hier für eventuell zu beauftragende externe Sachverständige Zutrittsrechte vereinbart werden.

Wenn im Homeoffice besonders sensible Datenarten, insbesondere besondere Datenarten i. S. v. Art. 9 Abs. 1 DSGVO verarbeitet werden sollen, ergeben sich daraus hinsichtlich der Vertraulichkeit der Arbeitsumgebung und der technischen und organisatorischen Maßnahmen auch Anforderungen an den Homeoffice-Arbeitsplatz. Ob und welche besonders sensiblen oder besonderen Datenarten im Homeoffice verarbeitet oder nicht verarbeitet werden dürfen und in welchen Verarbeitungsverfahren (z. B. ausschließlich elektronisch oder auch Aktenbearbeitung), sollte deshalb geregelt werden. Lassen sich z. B. für eine Verarbeitung von besonderen Datenarten am Homeoffice-Arbeitsplatz keine ausreichend sicheren technischen und organisatorischen Maßnahmen einrichten, verbietet sich eine Verarbeitung dieser Daten am Homeoffice-Arbeitsplatz. Die Vertraulichkeit muss im erforderlichen Maße auch bei der Kommunikation mit Stellen im Unternehmen, z. B. bei Telefonaten oder einer Videokommunikation, gewährleistet sein, d. h. z. B., dass ein Mithören von nicht beteiligten Dritten im Homeoffice vermieden werden muss.

Homeoffice-Richtlinie

Während die grundsätzlichen Anforderungen an den Homeoffice-Arbeitsplatz und die Homeoffice-Tätigkeit in der Homeoffice-Vereinbarung geregelt werden, können die technischen und organisatorischen Einzelheiten in einer Homeoffice-Richtlinie geregelt werden.

Die Homeoffice-Richtlinie ergänzt die IT-Richtlinie um die Besonderheiten des Homeoffice bzw. passt die vorhandenen Regelungen der IT-Richtlinie im erforderlichen Umfang an die besonderen Umstände des Homeoffice an. Hinzu kommen spezielle Regelungen zum Transport von Geräten, Daten und Datenträgern. Hier ist auf einen hinreichend sicheren Transport, z. B. in einem soliden Behältnis, zu achten und auf einen unmittelbaren Transport ohne Umwege. Ein Transport in einer Plastiktüte auf dem Rücksitz des PKWs in Verbindung mit einem mehrstündigen Umweg zum Einkauf in einem Supermarkt verbietet sich deshalb. Im Homeoffice ist auf eine konsequente Trennung der betrieblichen Unterlagen von den privaten Unterlagen und auf eine vertrauliche Verwahrung/Aufbewahrung der betrieblichen Unterlagen zu achten.

Verhalten im Homeoffice

Da sich in der Wohnung das Privatleben der Familie neben der betrieblichen Tätigkeit des Beschäftigten im Homeoffice abspielt, ist eine disziplinierte Trennung des Privatlebens und des Familienlebens von der betrieblichen Tätigkeit geboten. Daraus ergeben sich hinsichtlich des Verhaltens am Arbeitsplatz sensiblere Anforderungen. Noch mehr als am betrieblichen Arbeitsplatz ist deshalb auch bei kurzen Unterbrechungen der Arbeit (Arbeitspausen oder Unterbrechung für kurze Besorgungen) auf eine vertrauliche Verwahrung von sensiblen Unterlagen und auf den Sichtschutz des Notebooks zu achten, denn die Forderung der Wahrung der Vertraulichkeit der Daten gilt auch gegenüber Familienangehörigen.

Bei Besuchern ist konsequent darauf zu achten, dass die Daten und betrieblichen Unterlagen vor einem Einblick durch unbefugte Personen geschützt werden. Bei Telefonaten ist in dieser Umgebung auch auf die Vertraulichkeit des Wortes zu achten. Wird das Homeoffice/die Wohnung verlassen, muss die Wohnung auch bei nur kurzen Unterbrechungen abgeschlossen werden.

Technisch-organisatorisches Konzept

Auf technischer Ebene muss geregelt werden, zu welchen Datenverarbeitungsverfahren und Daten die Beschäftigten vom Homeoffice aus Zugriff besitzen sollen. Für besonders sensible Daten können sich hier Einschränkungen ergeben. Auch eventuelle Druckprozesse müssen so eingerichtet werden, dass im Homeoffice möglichst keine besonders sensiblen Daten gedruckt, sondern diese Daten im Betrieb in einem vertraulichen Prozess vor einem Zugriff durch unbefugte Personen geschützt gedruckt werden.

Wichtig ist auch die Regelung der Speicherung von personenbezogenen Daten. Es sollten möglichst wenige oder besser keine Daten lokal gespeichert werden. Soweit eine lokale Speicherung nicht vermieden werden kann, muss eine zuverlässige Datensicherung geregelt werden. Zu regeln ist auch, welche Kommunikationsdienste zur Verfügung gestellt werden, z. B. die Möglichkeit einer Videokommunikation sowie die technischen Voraussetzungen für eine sichere Kommunikation.

Von besonderer Wichtigkeit sind aufgrund der häuslichen Umgebung Regelungen zur Verschlüsselung der Daten und zur Sicherheit der Datenübertragung ebenso wie zur Nutzung der privaten Systemumgebung, wie WLAN-Verbindungen oder E-Mail-Konten. Geregelt werden sollte auch der Sichtschutz auf das Notebook durch Sichtschutzfolien, einen passwortgeschützten und zeitgesteuerten Bildschirmschoner und eine sichere Identifizierung und Authentifizierung sowie die Nutzung von privaten Speichermedien.