Social Distancing in der Arbeitswelt: Homeoffice und Datenschutz in Zeiten der Corona-Pandemie
Flatten the Curve! Das ist das Gebot der Stunde. Durch die Minimierung sozialer Kontakte soll ein sprunghafter Anstieg der Infektionen mit dem Corona-Virus verhindert werden. In der Arbeitswelt bedeutet das häufig: Umzug ins Homeoffice. Neben den vielen praktischen Fragen hat die Umstellung auf Heimarbeit auch verschiedene datenschutzrechtliche Implikationen. Heimarbeit birgt das Risiko des Absenkens des Schutzniveaus für Daten, da naturgemäß nicht die gleichen Sicherungsmaßnahmen wie am Sitz des Unternehmens umgesetzt werden können. Dann drohen Offenlegung, Diebstahl oder Missbrauch der Daten durch Unbefugte. Hier muss mit besonderen Maßnahmen gegengesteuert werden.
Homeoffice: Vernünftig, aber auch zulässig?
Wer jetzt seine Mitarbeiter ins Homeoffice schicken will, sollte zuerst prüfen, ob er das überhaupt darf. Staatliche Verbote bestehen zwar nicht. Allerdings kann Heimarbeit privatrechtlich ausgeschlossen sein. Die Arbeit im Homeoffice ist in Leistungsverträgen mit Kunden häufig ausdrücklich ausgeschlossen oder nur unter bestimmten Voraussetzungen erlaubt. Das gilt insbesondere dann, wenn Unternehmen im Rahmen ihrer Leistungserbringung personenbezogene Daten im Auftrag des Kunden verarbeiten.
In Vereinbarungen über die Auftragsverarbeitung finden sich nicht selten Regelungen zur Zulässigkeit oder dem Verbot von Heimarbeit. Das gilt zum Beispiel auch für die weit verbreiteten Musterverträge des Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) und des Bundesbeauftragten für den Datenschutz und die Informationssicherheit (BfDI). Die gängigen Regelungen reichen von einem vollständigen Verbot über ein Zustimmungserfordernis im Einzelfall bis hin zur generellen Freigabe, teilweise unter Auflagen. Problematisch ist dann, wenn die Arbeit im Homeoffice komplett untersagt wird oder die gesetzten Auflagen nicht erfüllt werden können.
Einige Muster erfordern etwa die Einwilligung des Mitarbeiters und sämtlicher Mitbewohner, dass der Kunde die Wohnung für Kontrollen betreten darf. Das dürfte in den wenigstens Fällen erfüllt sein. Die Einwilligung kann nun im Zeichen von Corona auch nicht mehr wirksam eingeholt werden. Wenn der Mitarbeiter die Wahl hat, einzuwilligen, mit Ansteckungsgefahr weiter im Büro zu arbeiten oder Urlaubstage zu verwenden, ist diese kaum freiwillig. Derartige Regelungen wirken somit wie Quasi-Verbote.
Wird entgegen eines Verbotes im Homeoffice gearbeitet, erfolgt das weisungswidrig und stellt eine Pflichtverletzung dar. Das wird auch nicht durch den Aufruf offizieller Stellen, zu Hause zu bleiben, automatisch geheilt. Weder eine ausdrückliche Anordnung der Quarantäne eines Mitarbeiters wegen eigener Erkrankung oder als Kontaktperson nach § 28 IfSG noch die generelle Empfehlung, zu Hause zu bleiben, besagen nämlich, dass der Mitarbeiter in der häuslichen Isolation zwingend arbeiten muss. Insofern besteht kein zwingender Widerspruch zur Anordnung, sodass diese dem Verbot auch nicht gemäß Art. 28 Abs. 3 a DSGVO vorgeht.
Was nicht passt, wird passend gemacht!
Verhindert Datenschutz also den effektiven Infektionsschutz? Tatsächlich besteht hier eine echte Konfliktlage. Lösen lässt die sich nur bei einem Blick auf die Einmaligkeit der Herausforderung der Corona-Bekämpfung. Die hat Einschränkungen des öffentlichen Lebens mit sich gebracht, die es in Deutschland seit dem zweiten Weltkrieg nicht gegeben hat. Insofern spricht sehr viel dafür, die aktuelle Pandemie als Fall höherer Gewalt anzusehen, zumal das für die weniger dramatische SARS-Epidemie seinerzeit schon anerkannt war.
In einem solchen Fall kann die Anpassung eines Vertrages verlangt werden, wenn sich die Geschäftsgrundlage des Vertrages so stark verändert hat, dass ein Festhalten in der vereinbarten Form nicht mehr zumutbar ist (§ 313 BGB). Wer ein Verbot der Heimarbeit akzeptiert, tut das wohl nur in der Annahme, es sei für seine Leistungserbringung nicht relevant. Zwingt die Corona-Pandemie Unternehmen nun dazu, doch ins Homeoffice auszuweichen, dann ist diese Geschäftsgrundlage gestört. Rechtsfolge ist ein Anspruch des Unternehmens gegenüber dem Kunden auf entsprechende Anpassung des Vertrages, der jedoch geltend gemacht werden muss.
Das führt nicht dazu, dass das Homeoffice-Verbot ersatzlos gestrichen, sondern auf ein zumutbares Maß reduziert wird. Ein Zutrittsrecht des Kunden zur Privatwohnung dürfte das allein deshalb schon nicht umfassen, weil damit das angestrebte Social Distancing unterlaufen würde. Im Ergebnis dürfte die Heimarbeit bei Umsetzung besonderer technischer und organisatorischer Maßnahmen zulässig werden.
Die Vertragsanpassung muss mit den Kunden vereinbart werden. Das kann bei einer Vielzahl von Kunden einen hohen Verwaltungsaufwand bedeuten. Wer das aktuell nicht leisten kann, sollte seine Kunden im Rahmen der Auftragsverarbeitung zumindest informieren, dass Mitarbeiter im Homeoffice tätig werden.
Besondere technische und organisatorische Maßnahmen im Homeoffice
Egal, ob die Daten als Auftragsverarbeiter oder in eigener Verantwortung verarbeitet werden, besteht die Pflicht zur Umsetzung technischer und organisatorischer Maßnahmen zum Schutz der Daten (Art. 32 DSGVO). Das grundsätzliche Problem des Homeoffices ist, dass nicht die gleichen Sicherheitsvorkehrungen umgesetzt werden können wie am Geschäftssitz des Unternehmens (siehe zu auch das Merkblatt „Telearbeit und Mobiles Arbeiten des BfDI“).
Insbesondere Maßnahmen zum Zutritt von Dritten sind in der Wohnung des Mitarbeiters häufig nicht umsetzbar, weil dort Mitbewohner leben können. Deswegen muss abgewogen werden, ob mit den möglichen Maßnahmen noch ein angemessenes Schutzniveau gewährleistet werden kann. Das kann dazu führen, dass besonders sensible Daten oder Sozialdaten von Sozialversicherungsträgern nicht im Homeoffice verarbeitet werden dürfen.
Entsprechend müssen Unternehmen besondere technische und organisatorische Sicherungsmaßnahmen für die Arbeit im Homeoffice umsetzen. Das umfasst beispielsweise die Absicherung der genutzten Geräte mit Passwort- und Virenschutz. Idealerweise erfolgt die Datenverarbeitung nicht lokal, sondern auf der Unternehmensinfrastruktur mittels VPN-Tunnel. Nutzen Mitarbeiter ihre privaten Geräte, sollten eine strikte Trennung zum beruflichen Bereich erfolgen und die erforderlichen Zugriffs- und Kontrollrechte für den Arbeitgeber eingeräumt werden, sodass im Verlustfall eine Fernlöschung möglich ist. Hierbei muss allerdings die Verhältnismäßigkeit gewahrt bleiben (siehe hierzu WP 249 der Artikel 29-Gruppe). Regelmäßig Updates und Sicherheitspatches sind Pflicht.
In organisatorischer Hinsicht sollten Mitarbeiter für die besonderen Risiken des mobilen Arbeitens sensibilisiert werden, insbesondere das höhere Diebstahls- und Missbrauchsrisiko. Das umfasst das Verbot der Nutzung offener WLAN-Netze oder USB-Sticks sowie des ungesicherten Zurücklassens des Rechners. Aus der Corona-Pandemie ergeben sich hier keine Besonderheiten. Allerdings ist aufgrund von Schulschließungen und der allgemeinen Umstellung auf Homeoffice eher damit zu rechnen, dass Kinder, Partner oder Mitbewohner ebenfalls zu Hause sind. Dies betrifft auch das Mithören von Telefonaten. Eine Homeoffice-Richtlinie zur Eingrenzung der Risiken ist daher sinnvoll.
Was tun, wenn es brennt?
Wenn der Umzug ins Homeoffice zu spät kommt und sich ein Mitarbeiter infiziert hat, sollten die Hinweise der Datenschutzkonferenz und des Europäischen Datenschutzausschusses berücksichtigt werden. Soweit erforderlich, darf der Arbeitgeber dann Schutzmaßnahmen ergreifen oder mit den Behörden kommunizieren.
Fazit
Der Umzug ins Homeoffice ist richtig und wichtig, um die die Corona-Pandemie einzudämmen. Trotzdem sollten Unternehmen dabei die datenschutzrechtlichen Aufgaben im Blick behalten. Es ist zu prüfen, ob und welche vertraglichen Verpflichtungen bestehen und wie sie umgestellt werden können. Sensible Daten sollten nicht von zu Hause verarbeitet werden. Auch ansonsten sollten die erforderlichen Vorkehrungen getroffen werden einschließlich des Erlasses einer diesbezüglichen Richtlinie, um die zusätzlichen Risiken zu begrenzen.
Hallo liebes T3n-Team,
mag sein, dass ich ein wenig kleinlich bin – aber der korrekte Terminus lautet inzwischen „physical distancing“ – denn „social“ sollten wir bleiben. Das hat auch dei WHO erkannt und ihre Wortwahl offiziell entsprechend geändert. LG