Remote Work stellt Unternehmen vor Herausforderungen. Arbeitsrechtler Thomas Hey erläutert, wie Daten- und Geheimnisschutz gewährleistet werden können.
Die Corona-Pandemie nimmt Einfluss auf alle Lebensbereiche. Im Arbeitsleben bedeutet der Einfluss der Pandemie unter anderem auch, dass vermutlich noch nie mehr Menschen von Zuhause oder unterwegs gearbeitet haben als in den vergangen zwölf Monaten. Unternehmen stehen dadurch vor unterschiedlichen Herausforderungen und bewegen sich in einer komplexen Gesetzeslage zwischen Grundrechten, Corona-Schutzverordnung und Arbeitsgesetz. Einige zentrale Punkte sollten Arbeitgeberinnen und Arbeitgeber im Zuge der Arbeit aus dem Home Office und von unterwegs unbedingt regeln.
Arbeiten überall und jederzeit – ein (Alb)Traum?
WhatsApp auf dem Diensthandy, arbeiten im Zug, Zoom-Konferenz zu Hause: Derzeit ist für viele Arbeitnehmerinnen und Arbeitnehmer der Arbeitsplatz dort, wo es gerade passt. Dabei tun sich aus rechtlicher Sicht jedoch einige Fragen für Unternehmen auf. Welche Herangehensweise ist empfehlenswert? Welche Vorgaben sollten Mitarbeiterinnen und Mitarbeiter unbedingt einhalten? Was müssen Unternehmen unbedingt beachten?
Rechtssicherheit ist bei der Arbeit außerhalb des Büros aktuell ein heiß diskutiertes Thema – neu ist es allerdings keineswegs. Im Gegenteil: Wie man mit Mitarbeiterinnen und Mitarbeitern umgeht, die überwiegend unterwegs sind, ist für Unternehmen schon viele Jahre Thema. So ist es etwa für Außendienst, Vertrieb oder Beratung Usus, dass von unterwegs gearbeitet wird. Im Zuge der Pandemie muss das umfangreiche Thema Rechtssicherheit-remote aber für viel mehr Personal umgesetzt werden – und zwar sowohl technisch als auch administrativ.
Sicherheit ist das oberste Gebot
Wie man es dreht und wendet, bedeutet die aktuelle Situation Mehrarbeit für die Unternehmen. Datensicherheit, Geheimnisschutz – hier muss viel bedacht werden. So gestaltet es sich etwa deutlich einfacher, einen Desktop-Computer im Büro abzusichern als den Laptop unterwegs. Das liegt in der Natur der Sache, denn ein Einbruch in die Büroräume ist einfach deutlich unwahrscheinlicher, als dass einer Mitarbeiterin / einem Mitarbeiter der Laptop unterwegs abhandenkommt – ob nun durch einen Diebstahl oder ein Versehen. Unternehmen müssen insgesamt auf drei Faktoren achten: Sie dürfen erstens die Kontrolle über die Mitarbeiterinnen und Mitarbeiter nicht verlieren, müssen zweitens die Sicherheit aller Daten jederzeit gewährleisten können und drittens sicherstellen, dass die Mitarbeiterinnen und Mitarbeiter an ihrem jeweiligen Arbeitsort vor Angriffen von außen geschützt sind.
Kontrolle des Personals
Die vermeintlich schlechte Nachricht zuerst: Je mehr Sie verbieten, desto einfach lässt sich für das Unternehmen sicherstellen, dass Datenschutz und Geheimnisschutz gewährleistet sind. Bedeutet im Klartext, dass Unternehmen gut beraten sind, die private Nutzung komplett zu verbieten. Der Ausschluss der privaten Nutzung muss dabei für alle gestellte Geräte gelten, vom Telefon bis zum Laptop. Damit alle Mitarbeiterinnen und Mitarbeiter dasselbe Verständnis über die Vorgaben haben, muss zwingend schriftlich festgehalten werden, welche Spielregeln es gibt. Die Erfahrung zeigt, dass kurze, präzise Vereinbarungen hierzu am erfolgversprechendsten sind. Dabei müssen Unternehmen beachten, der Vollständigkeit halber nicht nur die private Nutzung auszuschließen, sondern auch jegliche Nutzung, die strafrechtlich relevant ist.
Wer die private Nutzung ausschließt, kann also jederzeit kontrollieren, was wann und wo mit den Geräten passiert. Rechner XY ist zu ungewöhnlichen Zeiten online? Es werden große Datenmengen vom Server auf das mobile Gerät bewegt? Solche Unregelmäßigkeiten fallen bei Routinekontrollen schnell auf.
Datensicherheit
Ob nun Personaldaten, Geschäftsdaten, Kundendaten: Nichts ist wichtiger als die Wahrung des Datenschutzes. Hier geht es nicht mehr nur um die Kontrolle des Personals, sondern im schlimmsten Fall um die Reputation des Unternehmens. Es ist also essenziell, dem Schutz der Daten absolute Priorität einzuräumen. Hierbei müssen Unternehmen verschiedene Aspekte bedenken.
Zum einen müssen technische Herausforderungen bedacht werden. Im Rahmen der Nutzungsvereinbarungen kann das Unternehmen zum Beispiel vorgeben, dass mit sensiblen Daten nur über eine VPN-Verbindung gearbeitet werden darf. Ein anderer Aspekt ist das lokale Speichern von Daten: Bei Verlust oder Diebstahl eines Geräts kann die Datensicherheit nur dann garantiert werden, wenn auf dem Gerät selber keine Daten gespeichert sind. Zudem sollten bestimmte Tools und Programme dezidiert verboten werden: WhatsApp steht bei vielen Unternehmen seit Jahren auf der roten Liste, gleiches gilt für einige Browser, aber auch Hardware wie fremde USB-Sticks, externe Festplatten oder Optische Datenspeicher.
Zum anderen sollten Mitarbeiterinnen und Mitarbeiter darüber aufgeklärt werden, welche physischen Bedingungen bei der Arbeit mit sensiblen Daten wichtig sind. HR-Beauftragte etwa arbeiten mit personenbezogenen Daten. Diese können nicht einfach für jeden sichtbar im Zug oder Coworking Space bearbeitet werden. Auch Personalgespräche per Telefon oder Videokonferenz sollten nicht unbedacht geführt werden: Die Informationen aus diesen Gesprächen sind vertraulich und dürfen auch nicht von der Partnerin / dem Partner oder den Kindern im heimischen Wohnzimmer mitgehört werden.
Absicherung gegen Angriffe von außen
Doch nicht nur mitgelesene Daten in der Bahn oder im Home Office sind ein Problem, auch Angriffe von außen stellen Unternehmen auf die Probe. Um einen möglichst hohen Sicherheitsstandard garantieren zu können, müssen alle Geräte immer auf dem neusten Stand der Technik sein. Das bedeutet, dass erstens Sicherheitssoftware beziehungsweise -Hardware bei der Einrichtung von dienstlichen Geräten mitgedacht werden muss. Im zweiten Schritt müssen Mitarbeiterinnen und Mitarbeiter in die Pflicht genommen werden, alle relevanten Updates auf den Geräten durchzuführen. Im Falle eines Hacks von außen gelten unabhängig vom Arbeitsort die Grundsätze der Arbeitnehmerhaftung und des innerbetrieblichen Schadensausgleichs. Mitarbeiterinnen und Mitarbeiter, die sich im Rahmen der Unternehmensvorgaben bewegen, sollten hier in aller Regel nichts zu befürchten haben.
Die Crux mit der Arbeit von Überall
Egal wie abgesichert das Arbeiten außerhalb des Büros und wie ausgefeilt die Policies der Unternehmen: Remote Work und Home Office bleiben eine Herausforderung. Gerade in der aktuellen Situation bewegen wir uns im Rahmen von verschiedenen gesetzlichen Vorgaben, die für eine komplexe Gesamtsituation sorgen. Grundrechte, Arbeitsrecht, Corona-Schutzverordnung – die Lage ist nicht ganz eindeutig. Hinzu kommt, dass auf der einen Seite viele Jobs sich gar nicht (sicher) von Zuhause oder anderswo ausführen lassen, auf der anderen Seite haben sich die wenigsten Arbeitnehmerinnen / Arbeitnehmer ihre Wohnungen unter dem Gesichtspunkt einer Umsetzbarkeit von 100 Prozent Heimarbeit ausgesucht. Im Gegenteil: Mitarbeiterinnen und Mitarbeiter ins Home Office zu schicken, greift eben auch in das Grundrecht auf Unverletzlichkeit der Wohnung nach Art 13 Abs. 1 GG ein.
Unternehmen müssen das Beste aus den aktuellen Gegebenheiten machen und einen rechtlich und technisch sicheren Rahmen für ihr Personal schaffen. Und wer weiß: Vielleicht steht die Pandemie am Ende als ein erfolgreicher Feldversuch einer neuen Art, wie Unternehmen und Mitarbeiterinnen / Mitarbeiter in Zukunft arbeiten werden.
Thomas Hey ist Partner in der Praxisgruppe Internationales Arbeitsrecht für Bird & Bird in Düsseldorf und verfügt über mehr als 20 Jahre Erfahrung. Er ist Fachanwalt für Arbeitsrecht und spezialisiert mich auf individuelles und kollektives Arbeitsrecht sowie Dienstvertrags- und Sozialversicherungsrecht. Zudem führt Hey Verhandlungen mit Gewerkschaften, Personal- und Betriebsräten und begleitet Transaktionen sowie Umstrukturierungen.