Nachdem die Covid-19-Pandemie seit etwa einem Jahr dazu führt, dass mehr und mehr Unternehmen den Arbeitsplatz ihrer Mitarbeiter ins Home Office verlagern bzw. Mobile Work einführen, schreiben mittlerweile auch die geltenden Corona-Arbeitsschutzverordnungen Arbeitgebern vor, ihren Mitarbeitern – soweit wie möglich – die Tätigkeit aus dem Homeoffice zu ermöglichen.
Gleichwohl besteht Unsicherheit darüber, welche Vorgaben aus arbeits- und datenschutzrechtlicher Sicherheit zu beachten sind. Wir zeigen Ihnen die wichtigsten Punkte auf, die aus unserer Sicht bei der Organisation von Home Office und Mobile Work zu beachten sind.
Arbeitszeit
In Bezug auf die Arbeitszeit gilt im Home Office nichts anderes als bei der Arbeitsleistung im Büro: Der Arbeitgeber ist weiterhin berechtigt, die zeitliche Lage der Arbeitszeit festzulegen (im Home Office sind dies typischerweise Kernzeiten, in denen der Arbeitnehmer erreichbar sein muss oder bestimmte Termine zu Teambesprechungen, aber auch die Anordnung von festen Arbeitszeiten ist möglich). Besondere Beachtung sollte der Arbeitgeber etwaig von den Arbeitnehmern geleisteten Überstunden/Mehrarbeit schenken – diese braucht er sich auch bei Arbeitsleistung im Home Office nicht „aufdrängen“ zu lassen. Diesbezüglich empfiehlt es sich, gerade gegenüber Arbeitnehmern im Home Office genau festzulegen, was die Voraussetzungen für ggf. zuschlagspflichtige Mehrarbeit sind: allen voran die ausdrückliche Aufforderung oder Genehmigung von Überstunden im Voraus durch den Vorgesetzten.
Auch die Vorgaben des Arbeitszeitgesetzes gelten im Home Office uneingeschränkt: z.B. das Tätigkeitsverbot an Sonn- und Feiertagen, die mindestens 11-stündige Ruhezeit zwischen zwei Arbeitstagen sowie die 8-stündige (im Ausnahmefall auch 10-stündige) tägliche Höchstarbeitszeit.
Arbeitgebern empfehlen wir, im Hinblick auf die eingeschränkten Kontrollmöglichkeiten im Home Office, die Mitarbeiter eingehend zu den gesetzlichen und betrieblichen Anforderungen zu schulen und sie zur eigenverantwortlichen Einhaltung zu verpflichten.
Arbeitsmittel und Aufwendungsersatz
Der Arbeitnehmer hat ein Recht darauf, dass der Arbeitgeber ihm einen funktionsfähigen Arbeitsplatz zur Verfügung stellt. So wird der Arbeitgeber dem im Home Office befindlichen Arbeitnehmer regelmäßig die hierfür nötigen Arbeitsmittel (PC, Drucker, Telefon) zur Verfügung stellen. Dies ist auch aus Gründen des Daten- und Geheimnisschutzes vorzugswürdig, da nur bei den unternehmenseigenen Geräten Herausgabeansprüche bestehen und die Privatnutzung untersagt werden kann.
Schafft der Arbeitnehmer sich Arbeitsmittel selbst auf eigene Kosten an, hat er ggf. einen Erstattungsanspruch nach § 670 BGB gegen den Arbeitgeber. Grundsätzliche Voraussetzung hierfür ist, dass die Anschaffung im überwiegenden Interesse des Arbeitsgebers liegt. Gleiches gilt grundsätzlich auch für die im Home Office anfallenden „Nebenkosten“ wie Strom, Internet- und Telefonkosten. Um hier eine aufwendige Berechnung von Einzelposten zu vermeiden, empfiehlt sich – wenn überhaupt – die Vereinbarung eines monatlichen Pauschalbetrags. Da § 670 BGB abdingbar ist, ist eine solche Erstattung – insbesondere, wenn das Home Office dem Wunsch des Arbeitnehmers entspricht – aber keineswegs zwingend.
Arbeitssicherheit und Arbeitsschutz
Auch die gesetzlichen Arbeitsschutzbestimmungen des Arbeitsschutzgesetzes gelten grundsätzlich im Home Office. Vor besondere Schwierigkeiten stellt den Arbeitgeber hier vor allem die Tatsache, dass er nur sehr begrenzte Einblicke und in der Regel kein Zutrittsrecht in das häusliche Arbeitszimmer seiner Arbeitnehmer hat. Das Gesetz legt den Arbeitnehmern insoweit eine Mitwirkungspflicht auf (§§ 15, 16 ArbSchG), die gerade im Home Office eine besondere Rolle spielen dürfte. Handelt es sich um einen vom Arbeitgeber eingerichteten und auf einer vertraglichen Vereinbarung beruhenden Bildschirmarbeitsplatz (häuslicher Telearbeitsplatz) gemäß § 2 Abs. 7 ArbStättV, findet auch die Arbeitsstättenverordnung und deren Anhang Nr. 6 mit Vorgaben zur Ausgestaltung von Bildschirmarbeitsplätzen Anwendung.
Sowohl nach der Arbeitsschutz- als auch –stättenverordnung ist eine Gefährdungsbeurteilung des Arbeitsplatzes zur Risikoidentifizierung durch den Arbeitgeber durchzuführen. Deren Durchführung stellt den Arbeitgeber beim Home Office nicht nur in mitten einer Pandemie aus gesundheitlichen Gründen, sondern generell aus rechtlichen Gründen (fehlendes Zutrittsrecht in die Privatwohnung) vor eine Herausforderung. Hier schließen wir uns vor dem Hintergrund der Covid-19-Ausnahmesituation der Meinung/Empfehlung an, die Gefährdungsbeurteilung konkret anhand vom Arbeitnehmer erfragten Informationen zu den örtlichen Gegebenheiten zu erstellen (Fragebogen o.ä.). Denn Vermeidung von persönlichem Kontakt – erst recht das Aufsuchen von einer Vielzahl von Arbeitnehmern in deren Privaträumen – soll durch die Home Office Regelung ja gerade vermieden werden. Abhängig von dieser Gefahrenbeurteilung sollte dann eine möglichst detaillierte und intensive Unterweisung (§ 12 ArbSchG) vom Arbeitgeber durchgeführt werden.
Der Datenschutz im Home Office
Arbeitgeber bleiben Verantwortliche für die Verarbeitung personenbezogener Daten i.S.d. Art. 24 DSGVO, auch wenn Mitarbeiter nicht mehr unmittelbar im Unternehmen, sondern zu Hause oder von wechselnden Orten ihrer Beschäftigung nachgehen. Dementsprechend müssen Arbeitgeber dafür Sorge tragen, dass im Home Office und bei Mobile Work angemessene technische und organisatorische Maßnahmen zum Schutze personenbezogener Daten ergriffen werden, Art. 32 DSGVO. Hierfür gibt es keine universellen Regeln, vielmehr kommt es zur Bestimmung geeigneter Maßnahmen auf Art, Umfang, Umstände und Zwecke der Verarbeitung personenbezogener Daten sowie Wahrscheinlichkeit und Risiken einer möglichen Datenschutzverletzung an. Gerade die Verarbeitung besonderer Kategorien personenbezogener Daten gem. Art. 9 DSGVO (z.B. Gesundheitsdaten) wird zusätzliche Maßnahmen erfordern. Gleichwohl gibt es einige allgemeine Hinweise, die in fast jeder Konstellation zu beachten sind.
Was für Mitreisende in Bus und Bahn gilt, ist auch bei Familienmitgliedern und Mitbewohnern zu beachten: Der Arbeitsplatz muss so gestaltet sein, dass ein unbeabsichtigtes Mithören/-lesen durch Unbefugte ausgeschlossen ist. Das bedeutet, dass Dritte keine Einsicht auf den Bildschirminhalt oder Papierunterlagen nehmen können und ein Mithören von Telefonaten ausgeschlossen ist. Hier können bereits einfache Schritte wie die Verwendung einer Bildschirmschutzfolie beim Laptop oder eines Headsets für Telefonate und Videokonferenzen helfen. Das Sperren des Laptops oder sonstigen mobilen Endgeräts muss zur Selbstverständlichkeit werden, sobald man den Arbeitsplatz verlässt.
Sofern Arbeitnehmern nicht nur die Arbeit von zu Hause (Home Office), sondern auch von unterwegs und an wechselnden Orten (Mobile Work) gestattet ist, sollte klar festgelegt sein, von welchen Orten aus gearbeitet werden kann (In- und Ausland, Verkehrsmittel, umschlossene Räume/freier Himmel, öffentlich/nicht-öffentlich) und welche Arbeit an diesen Orten erledigt werden darf. Bei mobiler Arbeit gilt ebenso wie im Home Office, dass die Arbeitsunterlagen in jedem Fall sicher verwahrt werden müssen, am besten in einem verschließbaren Behältnis.
Wenn Arbeitnehmern kein eigenes Arbeitszimmer zur Verfügung steht, empfiehlt sich zudem eine Clean-Desk-Policy, die dafür sorgt, dass am Ende des Arbeitstages alle Unterlagen sicher verwahrt werden und nicht am Küchen- oder Wohnzimmertisch liegen bleiben. Je nach Sensibilität der Arbeitsunterlagen ist auch die datenschutzkonforme Vernichtung sicherzustellen: Entweder muss die Entsorgung weiterhin im Büro erfolgen oder den Arbeitnehmern steht zu Hause ein Aktenvernichter mit entsprechender Sicherheitsstufe zur Verfügung. Sinnvollerweise existiert zudem ein eindeutiges Regelwerk, ob und in welchem Ausmaß zu Hause oder unterwegs dienstliche Dokumente gedruckt werden dürfen.
Besondere Bedeutung bekommt beim Arbeiten von zu Hause die Frage nach der verwendeten Hard- und Software. Zunächst ist zu beachten, dass die Anbindung an das Unternehmensnetz mit gesicherter VPN-Verbindung erfolgt, wobei idealerweise auch ein Verfahren zur Zwei-Faktor-Authentifizierung existiert. Die Nutzung von privaten Endgeräten und E-Mail-Konten etc. sollte soweit wie möglich unterbleiben, da sich hier zahlreiche Folgeprobleme (z.B. Zugriff auf Dateien, Mails usw.) ergeben können. Wenn private Endgeräte eingesetzt werden, sollten Regelungen zu regelmäßigen Updates, Virenscannern, Datensicherung, Verschlüsselung usw. existieren.
Soweit mit der Umstellung auf Home Office und Mobile Work bspw. mit dem Einsatz von Cloud-Computing-Anwendungen einhergeht, ist darauf zu achten, dass die typischerweise notwendigen Auftragsverarbeitungsvereinbarungen gem. Art. 28 DSGVO abgeschlossen werden. Ferner stellen sich bei diesen Diensten regelmäßig Fragen nach einem möglichen internationalen Datentransfer (Stichwort: Schrems-II-Entscheidung) und ordnungsgemäßer Datensicherheit (Verschlüsselung etc.).
Betriebsvereinbarung/Mitarbeiterrichtlinie
Wir empfehlen die Erstellung einer Betriebsvereinbarung (sofern ein Betriebsrat vorhanden ist) oder einer Mitarbeiterrichtlinie zum Thema Home Office und Mobile Working. Es ist wichtig, dass die Verhaltensregeln für die Arbeit zu Hause und unterwegs für jedermann eindeutig und leicht einsehbar festgelegt sind. Insoweit stellen diese Verhaltensregeln auch organisatorische Maßnahmen i.S.d. Art. 32 DSGVO dar. Eine Betriebsvereinbarung hat zudem den Vorteil, dass durch sie ein zusätzlicher datenschutzrechtlicher Erlaubnistatbestand gem. § 26 Abs. 4 BDSG i.V.m. Art. 88 DSGVO zur Verfügung steht.
In diesem Zusammenhang kann es je nach Tätigkeitsbereich der Mitarbeiter auch sinnvoll sein, eine zusätzliche Vertraulichkeitsvereinbarung für Home Office und Mobile Work zu entwerfen, die die Mitarbeiter auf die besonderen Regeln für diese Verarbeitungssituationen verpflichtet.
Mit den (zwingenden) Mitbestimmungsrechten des Betriebsrats bei (der Einführung von) Home Office beschäftigt sich unser Blogbeitrag Die betriebliche Mitbestimmung im Homeoffice. Der Blogbeitrag Homeoffice-Pflicht per Verordnung oder Papiertiger? setzt sich näher mit der Verordnung des BMAS zur „verpflichtenden“ Einführung von Home Office auseinander, deren Anwendungsdauer nun bis zum 30. Juni 2021 verlängert wurde.
