Was es beim Homeoffice mit Blick auf die DSGVO zu beachten gilt

Die Arbeit von zu Hause, das sogenannte Homeoffice, wird seit der Corona-Pandemie von immer mehr Arbeitnehmern genutzt. Nicht zuletzt die politische Debatte um einen Rechtsanspruch von Arbeitnehmern auf Homeoffice lässt erkennen, wie wichtig das Thema für Architekturbüros ist. Wir haben Gregor Theado, externer Datenschutzbeauftragter der AKS, gebeten, seine Sicht als Datenschützer darzulegen.

Der Begriff Homeoffice ist weiterhin in aller Munde. Das Lehnwort aus der deutschen Alltagssprache (das im englischsprachigen Raum in dieser Form gar nicht genutzt wird) beschreibt eine flexible Arbeitsform, bei der die Beschäftigten ihre Arbeit vollumfänglich oder teilweise aus dem privaten Umfeld heraus erbringen. Rechtlich ist es als eine Unterform der sogenannten Telearbeit einzustufen, worunter alle Arbeitsformen zusammengefasst werden, bei denen Mitarbeiter ihre Arbeit außerhalb der Gebäude des Arbeitgebers verrichten. Beim Homeoffice erbringt der Mitarbeiter seine Arbeitsleistung ganz oder ganz überwiegend in den heimischen vier Wänden.

Ausstattung des Homeoffice-Arbeitsplatzes
Nicht erst seit der Corona-Pandemie stellt sich in unserem Alltag die Frage, wie die Arbeit von zu Hause rechtskonform gestaltet werden kann. Denn nicht jeder Mitarbeiter wird das Privileg (bzw. die wirtschaftlichen Möglichkeiten) dazu haben, sich eigens einen Homeoffice-Arbeitsplatz, etwa in Gestalt eines extra dafür hergerichteten Büros, zu gestalten. Vielmehr findet in der Realität die Arbeit nicht selten irgendwo zwischen Küchentisch, Sofa und Wohnzimmer statt.

Während die Arbeitsgerichte sich den Kopf darüber zerbrechen, wie Homeoffice mit dem Arbeitsvertrag zu vereinbaren ist und insbesondere, ob der Arbeitnehmer zum Beispiel Anspruch auf bestimmte Homeoffice-Ausstattungen (vom PC, über Breitbandanschluss, Telefon bis hin zu Schreibtischmobiliar und Möglichkeiten zur Raumtrennung) hat, stellen wir Datenschützer uns darüber hinaus die Frage, wie es uns gelingt, das Arbeiten im Homeoffice mit dem geltenden Datenschutz in Einklang zu bringen.

DSGVO auch im Homeoffice beachten
Auch im Homeoffice sind selbstverständlich die Regelungen der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) zu beachten. Die Stellung des Arbeitgebers als „Verantwortlicher“ (das heißt desjenigen, der, salopp gesagt, den Kopf nach außen hinhält) ändert sich nicht. Mithin obliegt es auch ihm, die erforderlichen technischen und organisatorischen Maßnahmen zu treffen. Dies mit dem Ziel, bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Wie immer ist das Gesetz an dieser Stelle flexibel: Welche Maßnahmen „angemessen“ sind, entscheidet sich vor allem unter Berücksichtigung des Stands der Technik, der Kosten, der Umstände und der Zwecke der Datenverarbeitung.
Auch sind Eintrittswahrscheinlichkeiten für mögliche Gefahren (z. B. Verlust der aus dem Büro mitgenommenen Unterlagen oder unbefugte Kenntnisnahme durch andere Personen des Hausstands) und deren Folgen zu beherzigen. Als Faustregel gilt: je schützenswerter die Daten sind, desto höher müssen auch die Sicherheitsanforderungen an den Homeoffice-Arbeitsplatz sein.

Für den Arbeitnehmer ergeben sich als logische Folge besondere Pflichten. Grundsätzlich sollte sorgfältig geprüft werden, wer während der Arbeitstätigkeit im Homeoffice Zutritt zur technischen Ausstattung (PC, Notebook, Smartphone) und sonstigen Arbeitsmitteln (z. B. mitgenommene Ordner) hat. Denn beim Arbeitsplatz im Büro innerhalb des Betriebs haben schließlich auch keine Familienmitglieder oder Freunde Zugriff auf die Daten – dann muss für den Heimarbeitsplatz
selbstverständlich dasselbe gelten.
 

Sichere Datenübertragungswege Sofern Daten (wovon praktisch immer auszugehen ist) über das Internet übermittelt werden, sind sichere Übertragungswege (gesicherte VPN-Verbindung und Netzwerke) durch den Betrieb einzurichten und zu nutzen. Vorzugweise sollte zudem eine vom Arbeitgeber zur Verfügung gestellte IT-Ausstattung genutzt werden. Auf die Nutzung privater Hard- und Software sollte, sofern die Umstände es gestatten, gänzlich verzichtet werden. Ist die Nutzung privater Hard- und Software unabdingbar, so sind zwingend Vereinbarungen über die Kontrolle und Löschung beruflicher Daten zu treffen.
 

Text: Gregor Theado, Rechtsanwalt BTK | Beltle. Theado. Kanzlei.