Wie kann die Arbeit im Homeoffice eigentlich datenschutzrechtlich konform gelingen?
Zur Wahrheit gehört, dass die Antwort auf diese Frage erst erarbeitet und die maßgeblichen Kriterien erst richtig ausgelotet werden müssen. Dieser Beitrag soll die ersten Fragen zum Beschäftigtendatenschutz der „Arbeiter von zu Hause“ aufwerfen, die dann in Folgebeiträgen aufgegriffen und praxisgerechten Lösungen zugeführt werden sollen. Zum Kundendatenschutz und/oder zur Sicherung von Betriebs- und Geschäftsgeheimnissen der Arbeitgeber wird die Reihe nicht explizit Stellung beziehen.
Auf folgende Fragen wird man bei der Erarbeitung eines funktionalen Rechtsrahmens für den Beschäftigtendatenschutz zweifelsohne Antworten finden müssen:
1. Wer stellt die technischen Ressourcen – und wer zahlt dafür?
Ausgangspunkt ist die Frage, womit – also mit welchen/mit wessen Arbeitsmitteln – gearbeitet wird. Hieran knüpft sich die weitere Frage an, wer die Datensicherheit dieser Arbeitsmittel gewährleisten muss und wer diese überprüft. Der Datenschutz fordert, dass mit personenbezogenen Daten vertraulich umgegangen wird und dass diese Daten vor dem (unerlaubten) Zugriff Dritter geschützt werden müssen. Zu diesen Dritten gehören auch Familienmitglieder! Um die Vertraulichkeit zu gewährleisten, müssen auch technische und organisatorische Maßnahmen, etwa Einbruchsschutzmaßnahmen, Systemsicherheitsmaßnahmen etc. vorgehalten werden. Betroffen sind Arbeitnehmerdaten aber auch Kundendaten natürlicher Personen. Im Idealfall wird der Arbeitgeber die Arbeitsmittel auch für das Homeoffice zur Verfügung stellen und so „Herr über Hardware und Software“ sein. Die Vertraulichkeit erfordert aber auch den richtigen Umgang des Arbeitnehmers mit den Daten. Es wird zwingend notwendig sein, dass der Arbeitgeber seine Arbeitnehmer datenschutzrechtlich schulen lässt, um seiner Verantwortung überhaupt gerecht werden zu können. Etwas abseits dazu wird die Frage laut, wer für etwaige Kosten des Mehrverbrauchs, etwa bei der Stromnutzung oder der Internetnutzung, aufkommt und wie diese Aufwendungen durch den „Arbeiter von zu Hause“ nachzuweisen sind. Was insoweit datenschutzrechtlich abverlangt werden darf und was kostenerstattungstechnisch notwendig sein wird, steht auf den ersten Blick in einem Spannungsfeld.
2. Wie wird kommuniziert?
Stellt der Arbeitgeber die Arbeitsmittel und bleibt er „Herr der Daten“, stellt sich die Frage, wie der Arbeitnehmer mit Kollegen und/oder Vorgesetzten kommuniziert. Neben der Frage des Anschlusses des „outgesourcten“ Arbeitsplatzes an das Unternehmensnetz ist dabei die Echtzeitkommunikation mittels Messenger und Videokonferenzen datenschutzrechtlicher Brennpunkt. Hierbei stellen sich dann Fragen nach dem Standort der Server, der Verschlüsselung der Daten sowie der Aufzeichenbarkeit von Gesprächen (zu Lasten der Arbeitnehmer?). Kann sichergestellt werden, dass ausschließlich Berechtigte an einer Konferenz teilnehmen und wer trägt hierfür die Verantwortung? Sowohl den Arbeitgeber als auch den „Arbeiter von zu Hause“ werden insoweit Verantwortung für eine datenschutzrechtlich ordnungsgemäße Kommunikation treffen.
3. Wie wird überwacht?
Eine derzeit meines Erachtens nach nicht ausreichend diskutierte bzw. beachtete Frage ist, wie der Arbeitgeber sicherstellt, dass der Arbeitnehmer seine vertraglich geschuldete Arbeitszeit auch ableistet. Eine Totalüberwachung des Arbeitnehmers ist unzulässig, eine Leistungs- und Verhaltenskontrolle ist nur in engen Grenzen erlaubt. Gleichzeitig ist der Arbeitgeber verpflichtet, die Vorgaben des Arbeitszeitgesetzes (Höchstarbeitszeit, Pausen, Ruhezeit) einzuhalten und ggf. künftig (nach einer Entscheidung des EuGH zur Aufzeichnungspflicht der Arbeitszeit – die nationalen Konsequenzen sind noch nicht abschließend geklärt) die Arbeitszeit minutiös zu erfassen. Besteht ein Betriebsrat, unterliegt die „Überwachung des Homeoffices“ auch in der Regel der Mitbestimmung des Betriebsrates gemäß § 87 Abs. 1 Nr. 6 BetrVG. Der Betriebsrat wird dann außerdem über seine allgemeine Aufgabe nach § 80 Abs. 1 Nr. 1 BetrVG zu überwachen haben, dass und ob/wie der Arbeitgeber die Vorgaben des Beschäftigtendatenschutzes umsetzt. Es steht zu erwarten, dass die rechtlichen Wertungen neu gedacht werden müssen. Was an Überwachung im Betrieb noch hingenommen werden kann, muss im Haushalt des Arbeitnehmers noch lange nicht zulässig sein. Viel eher ist die Privatsphäre des Arbeitnehmers im häuslichen Umfeld in Gefahr als im Betrieb. Von der möglichen Gefahr der Verletzung der Persönlichkeitsrechte der Familienmitglieder ganz zu schweigen.
4. Ausblick
Mit der Verschiebung der Arbeitserbringung vom Büro im Betrieb in das häusliche Umfeld werden neue Problemfelder aufgemacht. Der Datenschutz bildet diese Verschiebung konkret nicht ab. Es wird der Gesetzgebung, wahrscheinlicher den Gerichten, überlassen bleiben, die Spielregeln und Verantwortlichkeiten festzulegen. Diese Entwicklung werden ich für Sie begleiten und mit der Themenreihe Datenschutz im Homeoffice, den Versuch unternehmen, praxisorientierte Lösungen zu präsentieren, die die datenschutzrechtlichen Anforderungen erfüllen.
Autor: Dr. Christian Klostermann-Schneider, Rechtsanwalt