Social Distancing in der Arbeitswelt
Homeoffice und Datenschutz in Zeiten der Corona-Pandemie
Um das Corona-Virus einzudämmen, gilt es, zwischenmenschliche Kontakte so weit wie möglich zu unterbinden – sprich: zu Hause bleiben. Aus diesem Grund schicken derzeit zahlreiche Unternehmen ihre Mitarbeiter ins Homeoffice. Neben den logistischen Herausforderungen sind dabei auch rechtliche Vorgaben zu beachten.
Flatten the curve! – Das ist das Gebot der Stunde. Durch die Minimierung sozialer Kontakte soll eine sprunghafter Anstieg der Infektionen mit dem Corona-Virus verhindert werden. In der Arbeitswelt bedeutet dies häufig: Umzug ins Homeoffice. Neben den vielen praktischen Fragen (siehe hierzu den Homeoffice-Guide von t3n) hat die Umstellung auf Heimarbeit auch verschiedene datenschutzrechtliche Implikationen. Heimarbeit birgt das Risiko des Absenkens des Schutzniveaus für Daten, da naturgemäß nicht die gleichen Sicherungsmaßnahmen wie am Sitz des Unternehmens umgesetzt werden können. Dann drohen Offenlegung, Diebstahl oder Missbrauch der Daten durch Unbefugte. Hier muss mit besonderen Maßnahmen gegengesteuert werden.
Homeoffice: vernünftig, aber auch zulässig?
Wer jetzt seine Mitarbeiter ins Homeoffice schicken möchte, sollten zuerst prüfen, ob er das überhaupt darf. Staatliche Verbote bestehen zwar nicht. Allerdings kann Heimarbeit privatrechtlich ausgeschlossen sein. Die Arbeit im Homeoffice ist in Leistungsverträgen mit Kunden häufig ausdrücklich ausgeschlossen oder nur unter bestimmten Voraussetzungen erlaubt. Das gilt insbesondere dann, wenn Unternehmen im Rahmen ihrer Leistungserbringung personenbezogene Daten im Auftrag des Kunden verarbeiten. In Vereinbarungen über die Auftragsverarbeitung finden sich nicht selten Regelungen zur Zulässigkeit oder dem Verbot von Heimarbeit. Das gilt z.B. auch für die weit verbreiteten Musterverträge des Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) und des Bundesbeauftragten für den Datenschutz und die Informationssicherheit (BfDI). Die gängigen Regelungen reichen von einem vollständigen Verbot über ein Zustimmungserfordernis im Einzelfall bis hin zur generellen Freigabe, teilweise unter Auflagen. Problematisch ist dann, wenn die Arbeit im Homeoffice komplett untersagt wird oder die gesetzten Auflagen nicht erfüllt werden können. Einige Muster erfordern z. B. die Einwilligung des Mitarbeiters und sämtlicher Mitbewohner, dass der Kunde die Wohnung für Kontrollen betreten darf. Das dürfte in den wenigstens Fällen erfüllt sein. Die Einwilligung kann nun im Zeichen von Corona auch nicht mehr wirksam eingeholt werden. Wenn der Mitarbeiter die Wahl hat, einzuwilligen, mit Ansteckungsgefahr weiter im Büro zu arbeiten oder Urlaubstage zu verwenden, ist diese kaum freiwillig. Derartige Regelungen wirken somit wie Quasi-Verbote.
Wird entgegen eines Verbotes im Homeoffice gearbeitet, erfolgt das weisungswidrig und stellt eine Pflichtverletzung dar. Das wird auch nicht durch den Aufruf offizieller Stellen, zu Hause zu bleiben, automatisch geheilt. Weder eine ausdrücklichen Anordnung der Quarantäne eines Mitarbeiters wegen eigener Erkrankung oder als Kontaktperson nach § 28 IfSG noch die generelle Empfehlung, zu Hause zu bleiben, besagen nämlich, dass der Mitarbeiter in der häuslichen Isolation zwingend arbeiten muss. Insofern besteht kein zwingender Widerspruch zur Anordnung, so dass diese dem Verbot auch nicht gemäß Art. 28 Abs. 3 a DSGVO vorgeht.
Was nicht passt, wird passend gemacht!
Verhindert Datenschutz also den effektiven Infektionsschutz? Tatsächlich besteht hier eine echte Konfliktlage. Lösen lässt die sich nur bei einem Blick auf die Einmaligkeit der Herausforderung der Corona-Bekämpfung. Diese hat Einschränkungen des öffentlichen Lebens mit sich gebracht, die es in Deutschland seit dem zweiten Weltkrieg nicht gegeben hat. Insofern spricht sehr viel dafür, die aktuelle Pandemie als Fall höherer Gewalt anzusehen, umso mehr als dies für die weniger dramatische SARS-Epidemie seinerzeit schon anerkannt war. In einem solchen Fall kann nach die Anpassung eines Vertrages verlangt werden, wenn sich die Geschäftsgrundlage des Vertrages so stark verändert hat, dass ein Festhalten in der vereinbarten Form nicht mehr zumutbar ist (§ 313 BGB). Wer ein Verbot der Heimarbeit akzeptiert, tut das wohl nur in der Annahme, dies sei für seine Leistungserbringung nicht relevant. Zwingt die Corona-Pandemie Unternehmen nun dazu, doch ins Homeoffice auszuweichen, dann ist diese Geschäftsgrundlage gestört. Rechtsfolge ist ein Anspruch des Unternehmens gegenüber dem Kunden auf entsprechende Anpassung des Vertrages, der jedoch geltend gemacht werden muss. Dies führt nicht dazu, dass das Homeoffice-Verbot ersatzlos gestrichen, sondern auf ein zumutbares Maß reduziert wird. Ein Zutrittsrecht des Kunden zur Privatwohnung dürfte das allein deshalb schon nicht umfassen, weil damit das angestrebte „social distancing“ unterlaufen würde. Im Ergebnis dürfte die Heimarbeit bei Umsetzung besonderer technischer und organisatorischer Maßnahmen zulässig werden.
Die Vertragsanpassung muss mit den Kunden vereinbart werden. Dies kann bei einer Vielzahl von Kunden einen hohen Verwaltungsaufwand bedeuten. Wer das aktuell nicht leisten kann, sollte seine Kunden im Rahmen der Auftragsverarbeitung zumindest informieren, dass Mitarbeiter im Homeoffice tätig werden.
Besondere technische und organisatorische Maßnahmen im Homeoffice
Egal, ob die Daten als Auftragsverarbeiter oder in eigener Verantwortung verarbeitet werden, besteht die Plicht zur Umsetzung technischer und organisatorischer Maßnahmen zum Schutz der Daten (Art. 32 DSGVO). Das grundsätzliche Problem des Homeoffices ist, dass nicht die gleichen Sicherheitsvorkehrungen umgesetzt werden können, wie am Geschäftssitz des Unternehmens (siehe zu auch das Merkblatt „Telearbeit und Mobiles Arbeiten des BfDI“). Insbesondere Maßnahmen zum Zutritt von Dritten sind in der Wohnung des Mitarbeiters häufig nicht umsetzbar, weil dort Mitbewohner leben können. Deswegen muss abgewogen werden, ob mit den möglichen Maßnahmen noch ein angemessenes Schutzniveau gewährleistet werden kann. Dies kann dazu führen, dass besonders sensible Daten oder Sozialdaten von Sozialversicherungsträgern nicht im Homeoffice verarbeitet werden dürfen. Entsprechend müssen Unternehmen besondere technische und organisatorische Sicherungsmaßnahmen für die Arbeit im Homeoffice umsetzen. Das umfasst z.B. die Absicherung der genutzten Geräte mit Passwort- und Virenschutz. Idealerweise erfolgt die Datenverarbeitung nicht lokal, sondern auf der Unternehmensinfrastruktur mittels VPN-Tunnel. Nutzen Mitarbeiter ihre privaten Geräte, sollten eine strikte Trennung zum beruflichen Bereich erfolgen und die erforderlichen Zugriffs- und Kontrollrechte für den Arbeitgeber eingeräumt werden, so dass im Verlustfall eine Fernlöschung möglich ist. Hierbei muss allerdings die Verhältnismäßigkeit gewahrt bleiben (siehe hierzu WP 249 der Artikel 29-Gruppe). Regelmäßig Updates und Sicherheitspatches sind Pflicht.
In organisatorischer Hinsicht sollten Mitarbeiter für die besonderen Risiken des mobilen Arbeitens sensibilisiert werden, insbesondere das höhere Diebstahls- und Missbrauchsrisiko. Dies umfasst das Verbot der Nutzung offener WLAN-Netze oder USB-Sticks sowie des ungesicherten Zurücklassens des Rechners. Aus der Corona-Pandemie ergeben sich hier keine Besonderheiten. Allerdings ist aufgrund von Schulschließungen und der allgemeinen Umstellung auf Homeoffice eher damit zu rechnen, dass Kinder, Partner oder Mitbewohner ebenfalls zu Hause sind. Dies betrifft auch das Mithören von Telefonaten. Eine Homeoffice-Richtlinie zur Eingrenzung der Risiken ist daher sinnvoll.
Was tun, wenn es brennt?
Wenn der Umzug ins Homeoffice zu spät kommt und sich ein Mitarbeiter infiziert hat, sollten die Hinweise der Datenschutzkonferenz und des Europäischen Datenschutzausschusses berücksichtigt werden. Soweit erforderlich, darf der Arbeitgeber dann Schutzmaßnahmen ergreifen oder mit den Behörden kommunizieren.
Fazit
Der Umzug ins Homeoffice ist richtig und wichtig, um die die Corona-Pandemie einzudämmen. Trotzdem sollten Unternehmen dabei die datenschutzrechtlichen Aufgaben im Blick behalten. Es ist zu prüfen, ob und welche vertraglichen Verpflichtungen bestehen und wie diese umgestellt werden können. Sensible Daten sollten nicht von zu Hause verarbeitet werden. Auch ansonsten sollten die erforderlichen Vorkehrungen getroffen werden einschließlich des Erlasses einer diesbezüglichen Richtlinie, um die zusätzlichen Risiken zu begrenzen.
Wenn Sie Fragen haben zu den juristischen Corona Auswirkungen stehen wir gerne zur Verfügung:
Telefon: +49 30 2789000
E-Mail: Kloos@hk2.eu
Bernhard Kloos ist Partner bei HK2 Rechtsanwälte und spezialisiert auf IT-Recht, Wettbewerbsrecht und Datenschutz. Er ist außerdem Geschäftsführer der HK2 Comtection GmbH und externer Datenschutzbeauftragter, z.B. für Online- oder KI-Anbieter.
Michael Schramm ist als Associate bei HK2 Rechtsanwälte im Datenschutz und IT-Recht tätig und agiert als externer Datenschutzbeauftragter, insbesondere für Unternehmen im Bereich Payment.