Kurzbeitrag : Praxisfälle zum Datenschutzrecht VII: Musterfalllösung zur Heimarbeit : aus der RDV 6/2020, Seite 321 bis 324
I. Sachverhalt
Die Personalsachbearbeiterin P des Unternehmens U ist stark ausgelastet. Häufig nimmt sie daher Arbeit mit nach Hause und bearbeitet dort Personalvorgänge. Da U nicht für jeden Mitarbeiter firmeneigene Laptops zur Verfügung stellt, benutzt sie dafür ihren eigenen PC, mit dem sie auch Zugriff auf die Personaldateien von U hat. Regelungen zur Arbeit von Zuhause existieren bei U nicht. Die Vorgehensweise wurde P aber vom Personalleiter L ausdrücklich gestattet. Wie beurteilen Sie den Fall?
II. Musterfalllösung
1. Telearbeit/Homeoffice, Mobiles Arbeiten und BYOD
Bei der Arbeit abseits des Arbeitsplatzes im Unternehmen unterscheidet man zwischen verschiedenen Erscheinungsformen. Bei der Telearbeit erbringen Beschäftigte ihre Arbeitsleistung wechselnd zwischen dem Arbeitsplatz im Büro und im häuslichen Umfeld, wobei die IT-Ausstattung (Laptop, PC etc.) mit dem Unternehmen bzw. der Dienststelle verbunden ist.[1] In den letzten Jahren ist der Begriff der Telearbeit mehr und mehr dem des Homeoffice gewichen. Beide Begriffe beschreiben jedoch die Einrichtung eines festen Arbeitsplatzes im häuslichen Umfeld der Beschäftigten.
Mobiles Arbeiten ist im Gegensatz zur Telearbeit ortsunabhängig möglich, da es den Fokus auf den Einsatz mobiler Endgeräte setzt, die einen Fernzugriff auf die IT-Systeme des Arbeitsgebers ermöglichen.[2] Diese Form der Arbeit ermöglicht maximale Flexibilität bei der Erbringung der täglichen Arbeitsleistung und erfreut sich wachsender Beliebtheit. Häufig werden Arbeitsplätze in den Unternehmen bzw. Dienststellen nicht mehr mit sperrigen PCs versehen, sondern mit Laptops und entsprechenden Dockingstations, die die Mitnahme des mobilen Geräts in Meetings, auf Dienstreisen, nach Hause etc. ermöglichen. Mittels Mobile Device Management (MDM) können Mobilgeräte wie Laptops, Tablets oder Smartphones dabei zentral durch die IT-Abteilung der ausgebenden Organisation verwaltet werden. So kann die IT-Abteilung z.B. die Verwendung sicherer Passwörter erzwingen, bestimmen, welche Apps eine Anwendergruppe installieren darf, oder bei Verlust oder Diebstahl ein Endgerät aus der Ferne sperren und gespeicherte Inhalte löschen. Fortschrittliche Enterprise Mobility Management (EMM)-Lösungen ermöglichen es, die zentrale Verwaltung auf einen abgeschotteten geschäftlichen Bereich (Containerisierung) oder Unternehmensanwendungen samt der damit verbundenen Daten (Mobile Application Management – MAM) zu beschränken.[3] Dies erlangt insbesondere dann Bedeutung, wenn die private Nutzung der mobilen Endgeräte des Arbeitgebers gestattet ist.
Die Arbeit abseits des Arbeitsplatzes kann über vom Arbeitgeber bereitgestellte stationäre oder mobile IT-Infrastruktur erfolgen. Teilweise erlauben Arbeitgeber aber auch die Verwendung privater Geräte des Mitarbeiters für dienstliche Zwecke bzw. präferieren aus Kostenersparnisgründen die Verwendung privater Geräte sogar. In diesen Fällen spricht man von BYOD (Bring Your Own Device). BYOD-Lösungen sind mit größeren rechtlichen und organisatorischen Hürden verbunden als die Arbeit mit vom Arbeitgeber bereitgestellter Infrastruktur. Insbesondere sind Regelungen bzw. Vorkehrungen bzgl. der Kontrolle und Löschung beruflicher Daten sowie der deutlichen Trennung von beruflichen und privaten Inhalten zu treffen.[4] Der Einsatz von BYOD ist prinzipiell rechtskonform gestaltbar. Die praktischen Hürden sind aber nicht unerheblich,[5] weshalb der Weg über unternehmens-/behördeneigene Geräte häufig vorzugswürdig ist.
Die verschiedenen Erscheinungsformen der Arbeit abseits des Arbeitsplatzes im Unternehmen bringen unterschiedliche datenschutzrechtliche Risiken mit sich, denen durch entsprechende technische und organisatorische Maßnahmen Rechnung getragen werden muss.
Im Normalfall kann Homeoffice ebenso wenig wie die Nutzung eigener privater IT-Infrastruktur für berufliche Zwecke einseitig vom Arbeitgeber angeordnet werden. Auch dass Arbeitnehmer z.B. zur besseren Vereinbarung von Familie und Beruf an Telearbeit/Homeoffice interessiert sein können, führt nicht zu einer diesbezüglichen Erweiterung des Weisungsrechts (§ 106 GewO) des Arbeitgebers.[6] Arbeitgeber können ihre Arbeitnehmer grundsätzlich nur dann anweisen, im Homeoffice ihre Arbeit zu erledigen, wenn dies in einer individualvertraglichen Vereinbarung geregelt ist. Ob ein entsprechendes Weisungsrecht auch durch Kollektivvereinbarung eingeführt werden kann,[7] erscheint fraglich, da die Regelungsbefugnis des Betriebs-/Personalrats auf die betriebliche bzw. dienstliche Sphäre beschränkt ist. Durch Kollektivvereinbarung kann nicht über den privaten Bereich und das Eigentum der Mitarbeiter bestimmt werden. Durch Kollektivvereinbarung können also die Voraussetzungen und Rahmenbedingungen für die Tätigkeit im Homeoffice geregelt werden. Die Entscheidung über das „Ob“ verbleibt aber grundsätzlich beim Mitarbeiter.
Etwas anderes kann nur in Ausnahmefällen gelten, wie etwa durch die veränderte Gefährdungslage an den betrieblichen Arbeitsplätzen bedingt durch die Corona-Pandemie.[8] So hatte eine 60-jährige Beamtin nach Beschluss des VG Berlin[9] eine befristete Anordnung zur coronabedingten Homeofficetätigkeit gegen ihren Willen hinzunehmen, auch wenn ihr Heimarbeitsplatz (noch) nicht entsprechend ausgerüstet war und sie daher vorübergehend für drei Wochen faktisch keinen Dienst leisten konnte.
Vorliegend kann festgehalten werden, dass P ihre Arbeitsleistung auch mittels Telearbeit/Homeoffice erbringt und zwar über ihre private IT-Infrastruktur (BYOD). Diese Vorgehensweise wurde ihr auch ausdrücklich gestattet.
2. Zulässigkeit von Telearbeit/Homeoffice mit eigenen Endgeräten im konkreten Fall
a) Fragestellung
Es stellt sich die Frage, ob die Gestattung des Personalleiters L, dass P dienstliche Personalvorgänge zu Hause mittels ihrer privaten IT bearbeiten darf, mit dem Datenschutzrecht vereinbar ist.
b) Verbot mit Erlaubnisvorbehalt einschlägig?
Fraglich ist, ob die mit der Arbeit im Homeoffice verbundene Verlegung der Datenverarbeitung in die Wohnung der Mitarbeiterin unter das Grundprinzip des Verbots mit Erlaubnisvorbehalt (ErwG 40 DS-GVO) fällt und die Auslagerung der Tätigkeit damit einer speziellen datenschutzrechtlichen Rechtsgrundlage bedarf. Dies ist nicht der Fall, weil es sich bei der Auslagerung nicht um eine eigenständige Verarbeitung i.S.v. Art. 4 Nr. 2 DS-GVO handelt. Die Mitarbeiterin nimmt weiterhin arbeitsvertragliche Tätigkeiten wahr und ist eine dem Verantwortlichen unterstellte Person gem. Art. 29 DS-GVO.
c) Technisch-organisatorischer Datenschutz
Als Verantwortlicher i.S.v. Art. 4 Nr. 7 DS-GVO hat Unternehmen U die Anforderungen an die Datensicherheit gem. Art. 32 DS-GVO zu erfüllen. Gem. Art. 32 Abs. 1 DS-GVO hat der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein angemessenes Schutzniveau zu gewährleisten.
Ob Telearbeit/Homeoffice datenschutzrechtlich zulässig ist, hängt von der Art der ausgelagerten Tätigkeit, der Eignung der häuslichen Arbeitsstätte sowie der Vertrauensbasis[10] mit dem jeweiligen Beschäftigten ab.
Besondere Bedeutung kommt bei der Entscheidung über das Ob der Tätigkeit im Homeoffice zu, welche konkreten Arten personenbezogener Informationen verarbeitet werden sollen. Kann angesichts der besonderen Gefährdungen beim Homeoffice – z.B. Möglichkeit der Kenntnisnahme durch andere Familienmitglieder oder Gäste, erhöhte Verlustgefahr von Datenträgern/Geräten insbes. auf dem Transportweg, eingeschränkte Kontrollierbarkeit von Datenverarbeitungsvorgaben – und der Vertraulichkeit der konkret in Rede stehenden Daten kein angemessenes Schutzniveau geschaffen werden, darf die Arbeit im Homeoffice grundsätzlich nicht gestattet werden.[11] Eine kritische Prüfung ist insbes. geboten bei den besonders geschützten Daten nach Art. 9 f. DSGVO, wozu etwa Gesundheitsinformationen zählen, oder Informationen, die einem Berufs- oder Amtsgeheimnis unterliegen.
Auch Personaldaten unterliegen einem besonderen Schutz. Dies gilt nicht nur für Informationen, die Teil der formellen Personalakte sind. Geschützt sind grundsätzlich sämtliche Informationen über den/die Arbeitnehmer/in, die mit dem Arbeitsverhältnis in einem unmittelbaren inneren Zusammenhang stehen, also auch in elektronischen Datenbanken – z.B. Personalverwaltungssystemen – gespeicherte Daten (materiellrechtlicher Personalaktenbegriff).[12] Personalakten(daten) dürfen nicht allgemein zugänglich sein; sie müssen sorgfältig verwahrt und vor unbefugter Einsichtnahme durch Dritte geschützt werden. Der Kreis der mit derartigen Informationen befassten Beschäftigten muss eng gehalten werden.[13]
Ob bestimmte Datenarten, etwa Gesundheits- oder Beurteilungsdaten von Beschäftigten, dabei per se von einer Verarbeitung im Homeoffice auszuschließen sind, erscheint fraglich.[14] Entscheidend sind stets die Umstände des Einzelfalls, also die konkrete Gefährdungslage und die konkret ergriffenen Maßnahmen zum Schutz der Informationen.[15] Zu berücksichtigen ist, dass regelmäßig auch bei einer Tätigkeit vor Ort im Firmen- bzw. Dienststellenbüro nicht alle datenschutzrechtlichen Risiken ausgeschaltet werden können. Dies gilt insbesondere für den Fall, dass Mitarbeiter mit krimineller Energie oder Schädigungsabsicht handeln.
Erforderlich ist ein Sicherheitskonzept, das die tatsächlichen örtlichen und personellen Gegebenheiten berücksichtigt. Es muss ein geeigneter Ort für die Arbeit in der Wohnung gefunden werden, zumindest ein nicht einsehbarer Computerarbeitsplatz. Eine abschließbare Aufbewahrungsmöglichkeit für Dokumente/Akten muss gewährleistet sein, wobei allerdings ein Transport von Unterlagen wegen der damit einhergehenden Gefahren (Verlust bzw. Bruch der Vertraulichkeit) nach Möglichkeit zu vermeiden ist. Auch der Ausdruck von Dokumenten sollte möglichst unterbleiben, vor allem über private Hardware. Zugriffe auf das Firmennetzwerk sollten nur verschlüsselt per VPN (Virtual Private Network) erfolgen und Dateien grundsätzlich im Firmennetzwerk abgelegt werden und nicht lokal. Berufliche und private Daten dürfen nicht vermischt werden. Schwierigkeiten entstehen insoweit vielfach dann, wenn Mitarbeiter private mobile Endgeräte, insbesondere Smartphones, für ihre berufliche Tätigkeit einsetzen (BYOD). Zwar könnte mittels der angesprochenen EMM-Lösungen auf technischer Ebene eine Trennung zwischen privaten und beruflichen Inhalten erreicht werden. Praktisch dürften aber die wenigsten Beschäftigten bereit sein, ihre privaten Geräte vom Arbeitgeber verwalten und kontrollieren zu lassen. U.a. dies spricht gegen den Einsatz von BYODLösungen.
Ein wichtiger Aspekt ist auch die Wahrnehmung der Kontrollrechte durch den Arbeitgeber. Für die Arbeit der Beschäftigten im Homeoffice ist festzulegen, dass der Arbeitgeber seinen gesetzlichen Kontrollpflichten auch in der häuslichen Umgebung der Beschäftigten nachkommen darf und hierfür Zugang zur Wohnung erhält. Gleiches muss für den Datenschutzbeauftragten, Betriebsrat sowie für die Aufsichtsbehörde gelten.
Die der neuen Arbeitssituation entsprechenden besonderen Verhaltenspflichten des Mitarbeiters sind in einem Ergänzungsvertrag zum Arbeitsvertrag oder einer Unternehmensrichtlinie festzulegen, der/die die in Art. 32 Abs. 1 DS-GVO geforderten Maßnahmen für den Anwendungsfall konkretisiert. Sofern die Rahmenbedingungen von Telearbeit/Homeoffice über eine Richtlinie geregelt werden, sollte der/die Beschäftigte diese Regelungen explizit durch Unterschrift bestätigen, bevor ihm/ihr eine Genehmigung erteilt wird, von zu Hause zu arbeiten.
d) Ergebnis
Schon aufgrund fehlender Rahmenbedingungen, insbesondere eines dem Arbeitgeber etc. eingeräumten Kontrollrechts in der Wohnung, hätte Personalleiter L die Tätigkeit von P vom heimischen Arbeitsplatz aus nicht genehmigen dürfen. Angesichts des erhöhten Schutzbedarfs von Personaldaten ist auch der Einsatz privater IT-Infrastruktur durch P bedenklich. Die Genehmigung ist daher zurückzuziehen. Eine Tätigkeit von Zuhause kann erst dann erfolgen, wenn die vorbeschriebenen Bedingungen eingehalten werden.
e) Praxishinweis
Wie schon unter Ziff. 1 erwähnt, stellt die aktuell andauernde Corona-Pandemie Unternehmen und Behörden vor besondere Herausforderungen, die u.U. einen kurzfristigen Umzug von Beschäftigten ins Homeoffice mit sich bringen. Trotzdem haben Arbeitgeber als Verantwortliche i.S.d. DSGVO die datenschutzrechtlichen Vorgaben zu beachten und einen geordneten Umzug zu veranlassen. Die Aufsichtsbehörden haben hierzu Praxishinweise und Checklisten veröffentlicht, die sich Verantwortliche zur Hilfe nehmen können und sollten.[16]
* Miriam Claus, LL.M. ist Referentin bei der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). RAin Yvette Reif, LL.M. ist stellvertretende Geschäftsführerin der GDD und Mitautorin des Werks Gola/Reif, Praxisfälle Datenschutzrecht, 2. Aufl. 2016.
[1] BfDI, „Telearbeit und Mobiles Arbeiten – Ein Datenschutz-Wegweiser“, Stand: Juli 2020, S. 5, abrufbar unter https://t1p.de/38et (zuletzt abgerufen am 24.10.2020).
[2] BfDI, a.o.O., S. 6.
[3] Vgl. Computerwoche.de, BYOD, Security, App-Management: Die besten Lösungen fürs Mobile Device Management, 21.09.2018, abrufbar unter https://t1p.de/fhkd (zuletzt abgerufen am 24.10.2020).
[4] BfDI, a.o.O., S. 16 f.
[5] Vgl. dazu auch nachstehend unter 2.c).
[6] LAG Berlin-Brandenburg, U. v. 14.11.2018 – 17 Sa 562/18.
[7] So ohne nähere Auseinandersetzung Dury/Leibold, Home-Office und Datenschutz, ZD-Aktuell 2020, 04405; kritisch insofern Suwelack, ZD 2020, 561 (566)
[8] Vgl. Gola/Klug, Die Entwicklung des Datenschutzrechts, NJW 2020, 2774 (2776); Suwelack, ZD 2020, 561 (562) m.w.N.
[9] VG Berlin, Beschluss vom 14.04.2020 – VG 28 L 119/20.
[10] Vgl. Koreng/Lachenmann/Bergt, Formularhandbuch Datenschutzrecht, 2. Aufl. 2018, Anm. 1.
[11] Koreng/Lachenmann/Bergt, Formularhandbuch Datenschutzrecht, 2. Aufl. 2018, D. III. 2. a.a.O.
[12] Simitis/Hornung/Spiecker gen. Döhmann/Seifert, Datenschutzrecht, 1. Aufl. 2019, Art. 88 Rn. 167.
[13] Vgl. BAG, Urteil vom 17.05.1983 – 1 AZR 1249/79
[14] So noch BfDI, 22. TB (2007/2008), 11.4; ähnlich BlnBDI, Jahresbericht 2012, 10.2.
[15] Ähnlich inzwischen auch der BfDI, „Telearbeit und Mobiles Arbeiten – Ein Datenschutz-Wegweiser“, Stand: Juli 2020, S. 9, abrufbar unter https://t1p.de/38et (zuletzt abgerufen am 24.10.2020).
[16] U.a. ULD Schleswig-Holstein, Datenschutz: Plötzlich im Homeoffice – und nun?, https://t1p.de/aa68 (zuletzt abgerufen am 24.10.2020); BSI, Tipps für sicheres mobiles Arbeiten, https://t1p.de/5avt (zuletzt abgerufen am 24.10.2020); LDA Bayern, Datenschutzrechtliche Regelungen bei Homeoffice, Best-Practice-Prüfkriterien, https://t1p.de/ vwo0 (zuletzt abgerufen am 24.10.2020); LfD Niedersachsen, Hilfestellung zum Datenschutz im Homeoffice, https://t1p.de/1lq7 (zuletzt abgerufen am 24.10.2020); zum Einsatz von konferenz-Software vgl. die Orientierungshilfe der DSK vom 23.10.2020, https://t1p.de/ot0y/zuletzt abgerufen am 24.10.2020) sowie Gerling/Gerling/Hessel/Petreic, DuD 2020, 740.