Ratgeber

Social Distancing in der Arbeitswelt: Homeoffice und Datenschutz in Zeiten der Corona-Pandemie

(Foto: PR Image Factory/ Shutterstock)

Lesezeit: 5 Min.
Artikel merken

Um das Corona-Virus einzudämmen, gilt es, zwischenmenschliche Kontakte so weit wie möglich zu unterbinden – sprich: zu Hause bleiben. Aus diesem Grund schicken derzeit zahlreiche Unternehmen ihre Mitarbeiter ins Homeoffice. Neben den logistischen Herausforderungen sind dabei auch rechtliche Vorgaben zu beachten.


Flatten the Curve! Das ist das Gebot der Stunde. Durch die Minimierung sozialer Kontakte soll ein sprunghafter Anstieg der Infektionen mit dem Corona-Virus verhindert werden. In der Arbeitswelt bedeutet das häufig: Umzug ins Homeoffice. Neben den vielen praktischen Fragen hat die Umstellung auf Heimarbeit auch verschiedene datenschutzrechtliche Implikationen. Heimarbeit birgt das Risiko des Absenkens des Schutzniveaus für Daten, da naturgemäß nicht die gleichen Sicherungsmaßnahmen wie am Sitz des Unternehmens umgesetzt werden können. Dann drohen Offenlegung, Diebstahl oder Missbrauch der Daten durch Unbefugte. Hier muss mit besonderen Maßnahmen gegengesteuert werden.

Homeoffice: Vernünftig, aber auch zulässig?

Wer jetzt seine Mitarbeiter ins Homeoffice schicken will, sollte zuerst prüfen, ob er das überhaupt darf. Staatliche Verbote bestehen zwar nicht. Allerdings kann Heimarbeit privatrechtlich ausgeschlossen sein. Die Arbeit im Homeoffice ist in Leistungsverträgen mit Kunden häufig ausdrücklich ausgeschlossen oder nur unter bestimmten Voraussetzungen erlaubt. Das gilt insbesondere dann, wenn Unternehmen im Rahmen ihrer Leistungserbringung personenbezogene Daten im Auftrag des Kunden verarbeiten.

In Vereinbarungen über die Auftragsverarbeitung finden sich nicht selten Regelungen zur Zulässigkeit oder dem Verbot von Heimarbeit. Das gilt zum Beispiel auch für die weit verbreiteten Musterverträge des Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) und des Bundesbeauftragten für den Datenschutz und die Informationssicherheit (BfDI). Die gängigen Regelungen reichen von einem vollständigen Verbot über ein Zustimmungserfordernis im Einzelfall bis hin zur generellen Freigabe, teilweise unter Auflagen. Problematisch ist dann, wenn die Arbeit im Homeoffice komplett untersagt wird oder die gesetzten Auflagen nicht erfüllt werden können.

Einige Muster erfordern etwa die Einwilligung des Mitarbeiters und sämtlicher Mitbewohner, dass der Kunde die Wohnung für Kontrollen betreten darf. Das dürfte in den wenigstens Fällen erfüllt sein. Die Einwilligung kann nun im Zeichen von Corona auch nicht mehr wirksam eingeholt werden. Wenn der Mitarbeiter die Wahl hat, einzuwilligen, mit Ansteckungsgefahr weiter im Büro zu arbeiten oder Urlaubstage zu verwenden, ist diese kaum freiwillig. Derartige Regelungen wirken somit wie Quasi-Verbote.

Wird entgegen eines Verbotes im Homeoffice gearbeitet, erfolgt das weisungswidrig und stellt eine Pflichtverletzung dar. Das wird auch nicht durch den Aufruf offizieller Stellen, zu Hause zu bleiben, automatisch geheilt. Weder eine ausdrückliche Anordnung der Quarantäne eines Mitarbeiters wegen eigener Erkrankung oder als Kontaktperson nach § 28 IfSG noch die generelle Empfehlung, zu Hause zu bleiben, besagen nämlich, dass der Mitarbeiter in der häuslichen Isolation zwingend arbeiten muss. Insofern besteht kein zwingender Widerspruch zur Anordnung, sodass diese dem Verbot auch nicht gemäß Art. 28 Abs. 3 a DSGVO vorgeht.

Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Was nicht passt, wird passend gemacht!

Verhindert Datenschutz also den effektiven Infektionsschutz? Tatsächlich besteht hier eine echte Konfliktlage. Lösen lässt die sich nur bei einem Blick auf die Einmaligkeit der Herausforderung der Corona-Bekämpfung. Die hat Einschränkungen des öffentlichen Lebens mit sich gebracht, die es in Deutschland seit dem zweiten Weltkrieg nicht gegeben hat. Insofern spricht sehr viel dafür, die aktuelle Pandemie als Fall höherer Gewalt anzusehen, zumal das für die weniger dramatische SARS-Epidemie seinerzeit schon anerkannt war.

In einem solchen Fall kann die Anpassung eines Vertrages verlangt werden, wenn sich die Geschäftsgrundlage des Vertrages so stark verändert hat, dass ein Festhalten in der vereinbarten Form nicht mehr zumutbar ist (§ 313 BGB). Wer ein Verbot der Heimarbeit akzeptiert, tut das wohl nur in der Annahme, es sei für seine Leistungserbringung nicht relevant. Zwingt die Corona-Pandemie Unternehmen nun dazu, doch ins Homeoffice auszuweichen, dann ist diese Geschäftsgrundlage gestört. Rechtsfolge ist ein Anspruch des Unternehmens gegenüber dem Kunden auf entsprechende Anpassung des Vertrages, der jedoch geltend gemacht werden muss.

Das führt nicht dazu, dass das Homeoffice-Verbot ersatzlos gestrichen, sondern auf ein zumutbares Maß reduziert wird. Ein Zutrittsrecht des Kunden zur Privatwohnung dürfte das allein deshalb schon nicht umfassen, weil damit das angestrebte Social Distancing unterlaufen würde. Im Ergebnis dürfte die Heimarbeit bei Umsetzung besonderer technischer und organisatorischer Maßnahmen zulässig werden.

Die Vertragsanpassung muss mit den Kunden vereinbart werden. Das kann bei einer Vielzahl von Kunden einen hohen Verwaltungsaufwand bedeuten. Wer das aktuell nicht leisten kann, sollte seine Kunden im Rahmen der Auftragsverarbeitung zumindest informieren, dass Mitarbeiter im Homeoffice tätig werden.

Besondere technische und organisatorische Maßnahmen im Homeoffice

Egal, ob die Daten als Auftragsverarbeiter oder in eigener Verantwortung verarbeitet werden, besteht die Pflicht zur Umsetzung technischer und organisatorischer Maßnahmen zum Schutz der Daten (Art. 32 DSGVO). Das grundsätzliche Problem des Homeoffices ist, dass nicht die gleichen Sicherheitsvorkehrungen umgesetzt werden können wie am Geschäftssitz des Unternehmens (siehe zu auch das Merkblatt „Telearbeit und Mobiles Arbeiten des BfDI“).

Insbesondere Maßnahmen zum Zutritt von Dritten sind in der Wohnung des Mitarbeiters häufig nicht umsetzbar, weil dort Mitbewohner leben können. Deswegen muss abgewogen werden, ob mit den möglichen Maßnahmen noch ein angemessenes Schutzniveau gewährleistet werden kann. Das kann dazu führen, dass besonders sensible Daten oder Sozialdaten von Sozialversicherungsträgern nicht im Homeoffice verarbeitet werden dürfen.

Entsprechend müssen Unternehmen besondere technische und organisatorische Sicherungsmaßnahmen für die Arbeit im Homeoffice umsetzen. Das umfasst beispielsweise die Absicherung der genutzten Geräte mit Passwort- und Virenschutz. Idealerweise erfolgt die Datenverarbeitung nicht lokal, sondern auf der Unternehmensinfrastruktur mittels VPN-Tunnel. Nutzen Mitarbeiter ihre privaten Geräte, sollten eine strikte Trennung zum beruflichen Bereich erfolgen und die erforderlichen Zugriffs- und Kontrollrechte für den Arbeitgeber eingeräumt werden, sodass im Verlustfall eine Fernlöschung möglich ist. Hierbei muss allerdings die Verhältnismäßigkeit gewahrt bleiben (siehe hierzu WP 249 der Artikel 29-Gruppe). Regelmäßig Updates und Sicherheitspatches sind Pflicht.

In organisatorischer Hinsicht sollten Mitarbeiter für die besonderen Risiken des mobilen Arbeitens sensibilisiert werden, insbesondere das höhere Diebstahls- und Missbrauchsrisiko. Das umfasst das Verbot der Nutzung offener WLAN-Netze oder USB-Sticks sowie des ungesicherten Zurücklassens des Rechners. Aus der Corona-Pandemie ergeben sich hier keine Besonderheiten. Allerdings ist aufgrund von Schulschließungen und der allgemeinen Umstellung auf Homeoffice eher damit zu rechnen, dass Kinder, Partner oder Mitbewohner ebenfalls zu Hause sind. Dies betrifft auch das Mithören von Telefonaten. Eine Homeoffice-Richtlinie zur Eingrenzung der Risiken ist daher sinnvoll.

Was tun, wenn es brennt?

Wenn der Umzug ins Homeoffice zu spät kommt und sich ein Mitarbeiter infiziert hat, sollten die Hinweise der Datenschutzkonferenz und des Europäischen Datenschutzausschusses berücksichtigt werden. Soweit erforderlich, darf der Arbeitgeber dann Schutzmaßnahmen ergreifen oder mit den Behörden kommunizieren.

Fazit

Der Umzug ins Homeoffice ist richtig und wichtig, um die die Corona-Pandemie einzudämmen. Trotzdem sollten Unternehmen dabei die datenschutzrechtlichen Aufgaben im Blick behalten. Es ist zu prüfen, ob und welche vertraglichen Verpflichtungen bestehen und wie sie umgestellt werden können. Sensible Daten sollten nicht von zu Hause verarbeitet werden. Auch ansonsten sollten die erforderlichen Vorkehrungen getroffen werden einschließlich des Erlasses einer diesbezüglichen Richtlinie, um die zusätzlichen Risiken zu begrenzen.

Hinweis in eigener Sache: Aufgrund der Corona-Pandemie wechseln auch in Deutschland ganze Unternehmen ins Homeoffice. Doch wie geht das eigentlich – und was müssen Arbeitgeber und Arbeitnehmer dabei beachten? Der neue t3n Guide liefert praxisnahe und verständliche Antworten. Hier entlang: Kostenloser Homeoffice-Guide: Produktiv daheim trotz Corona!

Das könnte dich auch interessieren

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Ein Kommentar
Andreas Herzog
Andreas Herzog

Hallo liebes T3n-Team,
mag sein, dass ich ein wenig kleinlich bin – aber der korrekte Terminus lautet inzwischen „physical distancing“ – denn „social“ sollten wir bleiben. Das hat auch dei WHO erkannt und ihre Wortwahl offiziell entsprechend geändert. LG

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Digitales High Five
Holger Schellkopf (Chefredakteur t3n)

Anleitung zur Deaktivierung

Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder