Der Trend zur Arbeit im Homeoffice hat bereits in den letzten Jahren stark zugenommen. In der Corona-Zeit werden nun viele Arbeitsplätze zumindest zeitweise ebenfalls in die eigenen vier Wände verlegt, um die Mitarbeiter und den Geschäftsbetrieb zu schützen. Je weniger Kontakt die Mitarbeiter haben, desto geringer sind das Risiko einer Erkrankung an dem Virus sowie die Auswirkungen der potenziellen Infektion. Da die Verarbeitung personenbezogener Daten gerade bei Aufgaben, die sich besonders gut zu Hause erledigen lassen, Teil des Jobs der betroffenen Mitarbeiter ist, spielt der Datenschutz auch bei der Einrichtung von Heimarbeitsplätzen eine wichtige Rolle.

Dieser Blogartikel soll Ihnen einen groben Überblick geben, welche Aspekte Sie aus datenschutzrechtlicher Sicht zwingend beachten müssen, wenn Sie Ihre Mitarbeiter ins Homeoffice schicken bzw. die flexible Arbeit zu Hause erlauben.

Was ist Homeoffice?

Jeder spricht von Homeoffice – doch was ist das eigentlich genau? Wortwörtlich übersetzt bedeutet Homeoffice so etwas wie Heimbüro. Homeoffice ist auch bekannt unter dem Begriff „Telearbeit“ und bezeichnet im Grunde genommen nichts anderes als das Ausüben einer beruflichen Tätigkeit außerhalb der konventionellen Betriebsstätten wie z. B. dem Büro. Der Begriff der Telearbeit geht aber deutlich weiter als der Begriff Homeoffice und erfasst jede Form der Arbeit, die nicht im klassischen Büro erbracht wird. Hierzu gehört neben der Arbeit von zu Hause jede andere Form der sog. mobilen Arbeit. Das Mobile Office ist – wie der Name schon sagt – mobil, sodass es dem Arbeitnehmer ermöglicht wird, von überall zu arbeiten und nicht nur vom festen Arbeitsplatz aus.

Doch neben all den Vorteilen der Flexibilität und Zeitersparnis, die das Homeoffice bietet, gibt es hier auch rechtliche Vorschriften, die beachtet werden müssen. Neben verschiedensten arbeitsrechtlichen Regelungen muss ein besonderes Augenmerk auf den Datenschutz gelegt werden. Verlagert der Mitarbeiter seinen Arbeitsort nach Hause, so entzieht er dem Arbeitgeber damit zu einem gewissen Grad die Einflussmöglichkeit darauf, wie die Daten verarbeitet werden. Aber: Die datenschutzrechtliche Verantwortung endet nicht an der Unternehmenstür! Deshalb gilt: Sobald bei der Arbeit im Homeoffice personenbezogene Daten verarbeitet werden, ist das Ganze datenschutzrelevant und bedarf besonderen Regelungen. Um Datenpannen zu vermeiden, müssen Arbeitgeber daher eindeutige und transparente Regelungen aufstellen, die beiden Seiten bewusst sind.

Checkliste: DS-GVO-konformes Homeoffice

Arbeitgeber, die ihren Arbeitnehmern das Arbeiten im Homeoffice erlauben, sollten ihre Mitarbeiter dafür sensibilisieren, einige Dinge zu beachten:

Eine Homeoffice-Vereinbarung zwischen dem Arbeitnehmer und dem Arbeitgeber muss zwingend abgeschlossen werden.

Es darf nicht jede Arbeit mit nach Hause genommen werden. Bestimmte Daten sind für die Homeoffice-Arbeit zu sensibel.

Der eingerichtete Homeoffice-Arbeitsplatz sollte sich in einem separaten Zimmer befinden, sodass das „Heimbüro“ auch abgeschlossen werden kann.

Die betrieblichen Unterlagen, sofern der Mitarbeiter diese zu Hause benötigt, müssen abgeschlossen aufbewahrt werden.

Die zur Verfügung gestellten Endgeräte wie Laptops, PCs oder Mobiltelefone dürfen nicht privat genutzt werden und müssen mit einem sicheren Kennwort versehen werden. Die Vorgaben aus der EDV-Nutzungsvereinbarung gelten daher auch im Homeoffice uneingeschränkt fort.

Festplatten, USB-Sticks und andere Datenträger, die personenbezogene Daten oder unternehmensinterne Informationen enthalten, müssen verschlüsselt werden. Wichtig: Arbeitnehmer, die nicht allein im Haushalt leben, müssen den PC – auch bei kurzzeitigem Verlassen – sperren.

Ausgedruckte E-Mails, Notizen mit personenbezogenen Daten oder Firmeninterna – auch zu Hause muss Datenmüll ordnungsgemäß entsorgt werden. Da Arbeitnehmer eher selten passende Datenvernichter zu Hause haben, sollte dieser Müll gänzlich vermieden werden.

Personenbezogene Daten im Homeoffice – das gilt es zu beachten

Solange Arbeitnehmer zu Hause nur Präsentationen erstellen oder Recherchearbeiten betreiben und dabei keine personenbezogenen Daten verarbeiten, ist dies unproblematisch und bedarf keiner gesonderten Homeoffice-Regelung. Doch sobald Mitarbeiter im Homeoffice mit personenbezogenen Daten hantieren – wozu auch das Schreiben von E-Mails gehört –, müssen die Vorgaben der DS-GVO zur Verarbeitung personenbezogener Daten beachtet werden. Datenschutzrechtlich heikel wird es dabei, wenn es sich um besondere Arten personenbezogener Daten oder Sozialdaten handelt. Für die Beurteilung, ob und welche Schutzmaßnahmen ergriffen werden müssen, ist daher zu differenzieren, mit welchen Daten der Mitarbeiter zu Hause in Berührung kommt.

Was genau unter die Kategorie der personenbezogenen Daten fällt, regelt Art. 4 der Datenschutzgrundverordnung (DS-GVO). Demnach sind personenbezogene Daten all diejenigen Informationen, die eine Person identifizierbar machen. Das können neben dem Namen auch die Telefonnummer, die Anschrift sowie die Kundennummer oder ein Kfz-Kennzeichen sein. Sind solche Daten im Spiel, ist es auch vollkommen egal, ob die Daten von dem Mitarbeiter nur verändert, erfasst oder verschickt werden oder ob diese nur in einer Nebentätigkeit des Mitarbeiters bearbeitet werden. Arbeitet ein Mitarbeiter von zu Hause mit personenbezogenen Daten, muss aus Datenschutzsicht eine Homeoffice-Vereinbarung her – denn wird die Arbeit mit nach Hause genommen, trägt der Arbeitgeber weiterhin die Verantwortung für alle Vorgänge und damit auch für die Sicherstellung des Datenschutzes. Er muss den Mitarbeiter daher zur Einhaltung bestimmter Spielregeln verpflichten.

Besonders schützenswerte personenbezogene Daten

Um die Risiken einer Datenpanne sowie deren mögliche Folgen für die Betroffenen Personen bei der Arbeit im Homeoffice zu reduzieren, müssen Unternehmen, deren Mitarbeiter zu Hause mit personenbezogenen Daten arbeiten, angemessene Vorkehrungen treffen. Insbesondere, wenn Mitarbeiter zu Hause mit besonders schützenswerten personenbezogenen Daten arbeiten, ist Vorsicht geboten. Die Homeoffice-Tätigkeit wäre dann nur vertretbar, wenn deren Schutz durch angemessene technische und organisatorische Maßnahmen gewährleistet ist. Zu der Kategorie der besonders schützenswerten personenbezogenen Daten gehören z. B.:

  • Beschäftigtendaten: Daten, die Arbeitgeber über die Beschäftigten sammeln, genießen nach § 26 Bundesdatenschutzgesetz (BDSG) einen besonderen Schutz und unterliegen auch oftmals dem Personalaktengeheimnis.
  • Sozialdaten: Gesundheitsdaten und Daten, die Sozialversicherungsträger (z. B. Kranken- und Rentenkassen) über ihre Versicherten sammeln, sind besonders schützenswert, denn sie unterliegen dem sog. Sozialgeheimnis.
  • Daten nach Art. 9 Abs. 1 DS-GVO: Weitere besonders schützenswerte Daten sind in Art. 9 Abs. 1 DS-GVO aufgeführt. Demnach sind z. B. Gewerkschaftszugehörigkeiten, biometrische Daten oder genetische Daten besonders schützenswert.

Die technische Seite: effizient und sicher im Homeoffice

Das Arbeiten im Homeoffice kann Risiken für die Vertraulichkeit, Integrität und ggf. auch für die Verfügbarkeit von personenbezogen Daten mit sich bringen. Daher ist es umso wichtiger, dass auch die technischen Voraussetzungen stimmen, damit der Arbeitnehmer effizient und sicher im Homeoffice arbeiten kann. Die technische Sicherheit am Arbeitsplatz ist das A & O für einen einwandfreien Datenschutz.

Internetverbindung und Hardware

Um richtig arbeiten zu können, ist eine funktionierende Internetverbindung essenziell. Bereits vor Beginn der Homeoffice-Tätigkeiten sollte daher sichergestellt werden, dass die vorhandene Internetverbindung des Arbeitnehmers den Anforderungen der Tätigkeit entspricht. Hinsichtlich des Datenschutzes ist es Unternehmen zu empfehlen, den Arbeitnehmern für die Arbeit im Homeoffice firmeneigene Hardware zur Verfügung zu stellen und das Verwenden privater Endgeräte zu unterbinden. Erhalten die Mitarbeiter dienstliche Endgeräte wie z. B. Laptops und Mobiltelefone, können somit auch firmeninterne Vorgaben zu regelmäßigen Updates oder der Einrichtung von Firewall und Virenschutz durchgesetzt werden. Mitarbeiter müssen darauf hingewiesen werden, dass die Endgeräte nicht zur Nutzung für private Zwecken erlaubt sind. Zudem sollten die Geräte verschlüsselt werden, sodass die Daten im Falle eines Verlustes des Geräts nicht in falsche Hände geraten. Auch muss abgesichert werden, dass möglicherweise mit im Haushalt lebende Personen des Arbeitnehmers keinen Zugriff auf die Geräte erhalten.

Netzwerkzugriff im Homeoffice

Beim Thema Homeoffice stellt sich zudem die essenzielle Frage: Wie erhält der Mitarbeiter Zugriff auf die notwendigen Unterlagen? Dies wird beispielsweise über einen VPN-Zugang möglich gemacht, kann jedoch aber auch über andere technische Wege funktionieren. Um eine Lösung zu finden, die sowohl den Ansprüchen des Datenschutzes als auch den Anforderungen des praktischen Arbeitsalltags genügt, sollten die verschiedenen Optionen gemeinsam mit dem IT-Dienstleister und dem Datenschutzbeauftragten besprochen werden.

Vorgehen bei der Einrichtung von Heimarbeitsplätzen

Wie geht man als Arbeitgeber nun genau vor, wenn man Mitarbeitern das Arbeiten aus dem Homeoffice unter den genannten Voraussetzungen ermöglichen möchte? Die folgenden Schritte beschreiben, welche Aspekte geprüft und der Reihe nach erledigt werden müssen, um die Pflichten der DS-GVO zu erfüllen und keine Datenpannen zu riskieren. Die wichtigsten Schritte sind:

Bevor überhaupt ein Homeoffice eingerichtet werden kann, ist zunächst zu klären, welche Tätigkeiten des jeweiligen Mitarbeiters überhaupt außerhalb des Büros oder des vorgesehenen Arbeitsplatzes ausgeführt werden können. In puncto Datenschutz gilt dabei, je sensibler und umfangreicher bei der Tätigkeit personenbezogene Daten zu verarbeiten sind, desto weniger eignet sich die Tätigkeit für die Arbeit im Homeoffice. Ein gewichtiger Aspekt in der Waagschale ist die Frage, ob das Risiko eines Datenmissbrauchs angemessen reduziert werden kann oder ob das Restrisiko die Arbeit im Homeoffice ausschließt. Es sollte daher genauestens hinterfragt werden, welche einzelnen Tätigkeiten zum Aufgabenfeld des Mitarbeiters gehören und ob all diese Aufgaben von zu Hause aus erledigt werden können und dürfen.

Zudem muss auch geklärt werden, ob der entsprechende Arbeitnehmer persönlich für die Arbeit im Homeoffice geeignet ist. Neben persönlichen Voraussetzungen und einer ausreichenden Kompetenz des Mitarbeiters ist hier auch das ausreichende Wissen zum Thema Datenschutz und Datensicherheit wichtig. Die Frage, ob Homeoffice eingesetzt werden kann, ist also stets eine Einzelfallentscheidung. Das Mobile Office weist im Übrigen die gleichen Problematiken wie das Homeoffice auf, nur mit der Verschärfung, dass hierbei notwendig mobile Geräte außerhalb abgrenzbarer Räume verwendet werden. Dadurch erhöht sich selbstverständlich die Gefahr des Abhandenkommens der Geräte inkl. der darauf gespeicherten Daten.

Eine Sensibilisierung zum Thema Datenschutz und auch eine Datenschutzschulung ist für einen Mitarbeiter, der im Homeoffice arbeiten möchte, unerlässlich. Manche Mitarbeiter mögen noch so sicher und kompetent im Umgang mit mobilen Endgeräten sein, trotzdem sind den allermeisten die Gefahren für die Persönlichkeitsrechte der betroffenen Personen und der wirtschaftliche Schaden, den eine Datenpanne anrichten kann, nicht bewusst. Dies führt dazu, dass Sicherheitsmaßnahmen schlicht und einfach missachtet werden, da sie nicht verstanden wurden. Eine einmalige Schulung reicht dabei nicht aus. Unmittelbar bevor der Mitarbeiter anfängt, im Homeoffice zu arbeiten, muss er in jedem Fall auf die speziellen Anforderungen des Datenschutzes zu Hause hingewiesen werden. Je nachdem, wie lange die letzte Schulung her ist, sollte nochmals eine Auffrischung erfolgen.

Eignen sich die Tätigkeiten und die persönlichen Voraussetzungen des Mitarbeiters für eine Homeoffice-Arbeit, sollte unbedingt eine Homeoffice-Vereinbarung abgeschlossen werden. Aus datenschutzrechtlicher Sicht muss die Homeoffice-Vereinbarung regeln, welche Arbeiten der Mitarbeiter von zu Hause aus erledigen darf, welche Regeln er bei der Arbeit mit personenbezogenen Daten zu beachten hat und welche Schutzmaßnahmen zu ergreifen sind. Außerdem muss sich der Arbeitgeber für bestimmte Situationen ein Zutrittsrecht zur Wohnung einräumen lassen, um ggf. die Einhaltung der Vorgaben kontrollieren zu können. Ein passendes Muster der Vereinbarung können Arbeitgeber gemeinsam mit ihrem Datenschutzbeauftragten entwerfen.

Mitarbeiter sollten zu Hause nicht den privaten Drucker benutzen. Ist für die Arbeit zwingend der Ausdruck von Dokumenten erforderlich, sollte daher ein separater Drucker angeschafft werden. In diesem Fall gehört dann auch ein Aktenvernichter mit zur Standardausrüstung. Die datenschutzrechtlichen Vorgaben zur Vernichtung von Dokumenten mit personenbezogenen Daten gelten nämlich auch im Homeoffice. Entsprechende Dokumente dürfen daher keinesfalls über die normale Papiertonne entsorgt werden.

Arbeiten die Mitarbeiter mit firmeneigenen Endgeräten im Homeoffice, muss geklärt werden, ob diese auch zur Privatnutzung verwendet werden dürfen. Zum einen ist es aus datenschutzrechtlicher Sicht nicht zu empfehlen, eine Privatnutzung der Geräte zu erlauben, zum anderen dürfte es im Normalfall sowieso nicht notwendig sein, da die Mitarbeiter von Zuhause aus arbeiten und dort höchstwahrscheinlich auch ihre eigenen Geräte zur Verfügung haben. Die Privatnutzung sollte daher strikt untersagt werden. Besteht im Unternehmen keine umfassende EDV-Nutzungsvereinbarung, muss dieser Aspekt mit in die Homeoffice-Vereinbarung aufgenommen werden.
Das Gleiche gilt für die umgekehrte Frage des „Bring Your Own Device (BYOD)“, also die Frage, ob Mitarbeiter ihre privaten Geräte für dienstliche Angelegenheiten nutzen dürfen. Auch diese Frage sollte strikt verneint werden. Ausnahmefälle sind natürlich möglich, müssen aber mit dem Datenschutzbeauftragten abgestimmt werden und erfordern spezielle technische Vorkehrungen.

Die Mitarbeiter sollten zur Sperrung ihres Bildschirms verpflichtet werden, sobald sie den Arbeitsplatz auch nur kurzfristig verlassen. Alternativ kann eine automatische Sperrung des Computers nach Inaktivität eingestellt werden. Dies verhindert den unbefugten Zugriff Dritter. Dieser Aspekt gilt im Übrigen am Arbeitsplatz im Büro genauso und stellt keine Besonderheit der Homeoffice-Arbeit dar. Zudem sollte sich das Arbeitszimmer im Homeoffice absperren lassen und sämtliche Akten, Chipkarten oder mobile Endgeräte sollten in einem abschließbaren Schrank verwahrt werden.

Mobile Speichermedien und Endgeräte müssen unbedingt verschlüsselt werden. Das gilt insbesondere, wenn die Datenträger transportiert werden, beispielsweise bei mobilen Arbeitsplätzen oder bei einem Wechsel zwischen dem Arbeiten im Homeoffice und in der Betriebsstätte. Die Übermittlung von Daten auf dem elektronischen Weg, insbesondere der Versand von E-Mails, darf ebenfalls nur verschlüsselt erfolgen. Je nach Menge und Sensibilität der betroffenen Daten ist neben einer Transportverschlüsselung gegebenenfalls auch eine Inhaltsverschlüsselung erforderlich.

Drei Fragen aus dem Betriebsalltag zu Homeoffice:

Datenschutz ist Chefsache – so auch im Homeoffice. Die Verantwortung für die Datenverarbeitung und die Einhaltung des Datenschutzes liegt einzig und allein beim Unternehmen selbst und damit beim Geschäftsführer. Die Datenschutzgrundverordnung definiert in Art. 4 Nr. 7 DS-GVO, wer als sogenannter „Verantwortlicher“ fungiert und für die Einhaltung des Datenschutzes zuständig ist. Laut Gesetz ist derjenige verantwortlich, der über die Zwecke und Mittel der Datenverarbeitung entscheidet. In einem Arbeitsverhältnis ist dies der Arbeitgeber, der seine Weisungsbefugnis gegenüber dem Arbeitnehmer hinsichtlich der Arbeitsaufgaben ausübt. Der Arbeitsort spielt deshalb für die Frage der Verantwortung keine Rolle. Diese verbleibt im Homeoffice uneingeschränkt beim Unternehmen. Umso wichtiger ist es, dass die Mitarbeiter entsprechende Vorgaben erhalten, an die sie sich strikt halten müssen.
Auch bei freien Mitarbeitern, die im Homeoffice arbeiten, bestimmt der Arbeitgeber die Zwecke und Mittel der Verarbeitung. Selbst wenn mit freien Mitarbeitern in der Regel kein Arbeitsverhältnis vorliegt, sondern ein einfacher Dienstvertrag, ist das Unternehmen hier der Verantwortliche und hat für die Einhaltung des Datenschutzes zu sorgen. Aus diesem Grund ist datenschutzrechtlich bei freien Mitarbeitern häufig eine Auftragsverarbeitungsvereinbarung (AVV) nötig – auch wenn sie auf dienstvertraglicher Ebene nicht weisungsgebunden sind. Anders sieht es nur bei freien Mitarbeitern aus, die eine eigene Fachleistung erbringen und die Datenverarbeitung hier nicht im Vordergrund steht. In einem solchen Fall wäre der freie Mitarbeiter der Verantwortliche.

Als Arbeitgeber treffen einen viele Pflichten – nicht nur aus dem Arbeitsschutzgesetz oder der Arbeitsstättenverordnung, sondern auch aus der DS-GVO. Da die Verantwortung auch im Homeoffice beim Unternehmen verbleibt, ist es wichtig, sich als Arbeitgeber auf die Einhaltung der Vorgaben zum Datenschutz verlassen zu können. Eine hundertprozentige Garantie gib es natürlich nicht, aber verschiedene Maßnahmen zur Absicherung sind durchaus vorhanden. Eine zentrale Rolle spielen dabei die Homeoffice-Vereinbarung und die EDV-Nutzungsvereinbarung. Bei beidem handelt es sich um ergänzende Verträge mit entsprechenden rechtlich durchsetzbaren und kontrollierbaren Pflichten. Besonders wichtig ist dabei auch die Regelung des Zugangsrechts für den Arbeitgeber zum Heimarbeitsplatz – denn Regeln, die nie kontrolliert werden, werden weniger beachtet. Entsprechende Stichproben sind daher sinnvoll und regelbar. Stellt der Arbeitgeber dem Arbeitnehmer alle erforderlichen Arbeitsmittel zur Verfügung, kann er insbesondere mobile Datenträger wie Laptops und Smartphones so einrichten, dass die datenschutzrechtlichen Anforderungen erfüllt werden (z. B. Verschlüsselung, Zugriffsrechte, Einstellungen). Außerdem kann es für die Arbeit im Homeoffice entsprechende arbeitsrechtlich bindende Richtlinien geben. Parallel dazu sind regelmäßige Schulungen und Sensibilisierungen ein wichtiges Instrument.

Welche Regeln Mitarbeiter im Homeoffice beachten sollten, ist einer der zentralen datenschutzrechtlichen Aspekte in der Homeoffice-Vereinbarung. Zu den wichtigsten Punkten gehört die strikte Trennung von beruflichen und privaten Daten, die Nutzung sicherer Passwörter, die Verwendung der Bildschirmsperre, die Vermeidung von Datenmüll, die Verschlüsselung von Geräten und Datenübermittlungen sowie die Sicherstellung einer sicheren Aufbewahrung der personenbezogenen Daten. Je weniger personenbezogene Daten zu Hause verarbeitet werden, desto besser!