Digitale Epoche

Home Office
Technologische Errungenschaft oder juristisches Problem?

Ein Blick in die Agenda von Vortragsveranstaltungen auf Personal- und IT-Messen reicht aus, um zu erkennen, dass das Thema „Home-Office“ angekommen und zu einem viel diskutierten Thema geworden ist. Vor allem durch moderne Technologien und vernetzte Anwendungen sind heutzutage Tätigkeiten von Zuhause aus deutlich leichter zu erledigen, als noch vor einiger Zeit. Eine Revolution? Eine Evolution? Oder doch nur eine Trendblase? In jedem Fall sind die Spielregeln des Datenschutzes zu beachten.

Home-Office, bekannt auch als Telearbeit, ist kein fundamental neuer Ansatz. Das Arbeiten von Zuhause aus oder im allgemeinen von einem Ort außerhalb der Geschäftsräumlichkeiten des Arbeitgebers, wird gerade bei Arbeitnehmern zunehmend beliebter und ist auch schon mal ein Ausschlusskriterium bei der Wahl eines künftigen Arbeitgebers. Insbesondere die jüngere Genration sieht hier eine Möglichkeit die Balance zwischen Leben und Arbeit harmonisch definieren zu können. Lästige Arbeitswege auf verstopften Straßen oder im überfüllten Nahverkehr fallen weg und so kann die Arbeit jeden Morgen entspannt und hoch motiviert angegangen werden. Soweit die Theorie.



Datenschutz im Blick

An dieser Stelle soll nicht auf die Vor- oder Nachteile oder gar auf die Sinn- oder Unsinnfrage von Home-Office-Tätigkeiten eingegangen, sondern der datenschutzrechtliche Blickwinkel näher betrachtet werden. Unstrittig ist wohl, dass nicht jede Tätigkeit für das Home-Office geeignet ist. Weitestgehend fallen Produktion, Handwerk und weitere dienstleistungsorientierte Tätigkeiten aus dem Raster. Ideal geeignet ist der Heimarbeitsplatz für technologiebasierte Tätigkeiten, wie das Arbeiten mit Software oder Applikationen. Der PC, der Laptop, das Tablet oder Smartphone als Mittelpunkt des Arbeitsalltages.
Erfolgt kein Umgang mit personenbezogenen Daten, steht datenschutzrechtlich einer Telearbeit auch nichts im Wege. Vorreiter des Home-Office-Gedanken ist die IT-Branche. Bei der Programmierung von Applikationen und Onlineanwendungen fallen im Regelfall keine personenbezogenen Daten an. Gleichzeitig lässt sich die Programmiertätigkeit mit einem minimalen Aufwand für die Infrastruktur auch ortsunabhängig durchführen. Das triste Großraumbüro kann gegen einen inspirierenden und täglich wechselnden Standort eingetauscht werden. Problematisch wird es bei der Verarbeitung von personenbezogenen Daten. Die Kontroll- und Einflussmöglichkeiten der Arbeitgeber sind, insbesondere im häuslichen Umfeld der Beschäftigten, nur unzureichend bis gar nicht realisierbar. So können Risiken für die Rechte und Freiheiten betroffener Personen entstehen, da ein möglicher Datenmissbrauch oder eine unbefugte Einflussnahme Dritter leichter möglich sind. Trotz bestehender Risiken und Bedenken, schließen aktuelle und künftige Datenschutzbestimmungen die Telearbeit nicht grundsätzlich aus.



Datenkategorien beachten

Personenbezogene Daten und Datenkategorien können vielschichtig sein und in der jeweiligen Kombination eine unterschiedliche Schutzwürdigkeit aufweisen. Besonders schutzwürdige Daten, die für sich bereits ein hohes Schutzniveau begründen, sind beispielsweise Beschäftigtendaten, bestimmte Sozialdaten nach den geltenden Sozialgesetzen oder die besonderen Datenkategorien nach Art. 9 DS-GVO. Telearbeit ist daher immer in dem individuellen Kontext zu sehen und zu bewerten. Beispielsweise können Tätigkeiten der Vertriebsabteilung im Bereich der Angebotserstellung mit geeigneten technischen und organisatorischen Maßnahmen datenschutzgerecht in einem Telearbeitsverhältnis ausgelagert werden. Dagegen gestaltet sich beispielsweise die Personalarbeit für eine Teletätigkeit als Herausforderung. Der Umgang mit Personaldaten erlaubt im Grundsatz die Erstellung eines umfassenden Bildes der Persönlichkeit, einschließlich der Fähigkeiten, der Leistung oder des Verhaltens. Zudem fallen in einem Beschäftigungskontext auch regelmäßig besondere Datenkategorien, wie beispielsweise Gesundheitsdaten oder Religionsmerkmale, an. Eine erhöhte Schutzwürdigkeit ist die Folge, die in einem Telearbeitsverhältnis unter dem Standpunkt des Risikos für die Rechte und Freiheiten betroffener Personen als besonders kritisch zu bewerten ist. Ein unvermeidbarer Restrisikoansatz kann gerade im letzteren Fall keine Telearbeit begründen.



Gesetzt den Fall

Obgleich Datenschutz auf praktische Art und Weise zu lösen ist, gilt es auch den theoretischen Ansatz nicht aus den Augen zu verlieren. Die Telearbeit, unabhängig ob die Tätigkeit von Hause aus erledigt wird oder von einem anderen Ort außerhalb der Betriebsräume des Arbeitgebers, beispielsweise in einem Café, birgt den theoretischen Ansatz der Kenntnisnahme der Daten und Datenbestände unberechtigter Dritter. Dies können Familienmitglieder, Besucher oder Mitbewohner in der häuslichen Umgebung sein oder Passanten im öffentlichen Raum. Um diese Thematik zu verdeutlichen, ist eine Exkursion in das Datenschutzthemengebiet der Auftrags(daten)verarbeitung notwendig. Werden Dienstleister mit Aufgaben betraut, durch die sie eine theoretische Möglichkeit der Dateneinsichtnahme bekommen, sind spezielle Datenschutzbestimmungen zu beachten und umzusetzen. Allen voran ist die vertragliche Seite relevant, die in Form einer Vereinbarung über eine Auftrags(daten)verarbeitung zu erfüllen ist. Zudem sind Auftraggeber angehalten, Auftragnehmer unter der Berücksichtigung der notwendigen Sorgfalt und Überprüfung auszuwählen und im Verlauf der Tätigkeiten regelmäßig zu kontrollieren. Nachdem der Schutz und die Sicherheit der personenbezogenen Daten elementar zu sehen sind und nicht an der Unternehmenshaustüre enden, ergibt sich eine kaum berücksichtigte Erschwernis für ausgelagerte Arbeitsplätze. Datenschutzdetails werden in Standardarbeitsverträgen zur Telearbeit meist nicht berücksichtigt und eine Vereinbarung über eine Auftrags(daten)verarbeitung kann mit den eigenen Beschäftigten nicht abgeschlossen werden. Auch sind vor Ort Kontrollen in den privaten Räumlichkeiten der Beschäftigten nicht ohne weiteres möglich und müssen mit dem Beschäftigten und mit weiteren Personen der häuslichen Gemeinschaft gesondert vertraglich festgehalten werden.



Medien und Medienbruch

Damit Telearbeit erst möglich wird, müssen für gewöhnlich Daten übertragen werden und eine Kommunikation mit dem Arbeitgeber stattfinden. Dabei kann eine Datenübertragung auf unterschiedliche Art und Weise erfolgen. Nach dem aktuellen Stand der Technik, sind IT-gestützte Übertragungsmethoden die aktuell häufigste Form im Datenverkehr, bei der Telebeschäftigte direkt online auf zentrale Datenbestände zugreifen. Der so entstehende Transportweg kann durch unterschiedliche Ansätze und Methoden gesichert und verschlüsselt werden. Werden hingegen Daten physisch auf elektronischen Datenträgern oder in klassischer Papierform transportiert, sind geeignete Maßnahmen für die Möglichkeiten eines Verlustes, einer unberechtigten Einsichtnahme, einer Manipulation oder einer Veränderung durch unberechtigte Dritte zu ergreifen. Diese Maßnahmen sollen nicht allein den Transportweg, sondern auch die Situation des eigentlichen Telearbeitsplatzes umfassen. Als ein quasi verbindlicher Standard bei der IT-orientierten Verarbeitung personenbezogener Daten hat sich der Grundsatz etabliert, Verarbeitungstätigkeiten rein auf unternehmenseigenen Anlagen (Hard- und Software) durchzuführen. Eine laufende Kontrolle und Aufrechterhaltung des Sicherheitsniveaus auf Basis des Stands der Technik ist auf privaten Endgeräten so gut wie nicht realisierbar. Sicherheitslücken durch kritische Applikationen, fehlende Schutzsoftware oder mangelnde Updates sind ebenso brisant, wie ein unkontrollierter Zugriff auf das Gerät selbst. Ferner können auf den privaten Geräten bewusste oder technisch bedingte Datenkopien entstehen, die eine ganzheitliche Datenlöschung gefährden.



Geeignete Maßnahmen ergreifen

Diese erschwerten Umstände erfordern eine Vielzahl an technischen und organisatorischen Maßnahmen, die es vor der Auslagerung eines Arbeitsplatzes in eine Telearbeit abzuwägen gilt. Nicht jeder mitarbeiterorientierte Ansatz ist bei dem zugrundeliegenden Kosten-Nutzen-Verhältnis eine gelungene Lösung.
Ist die Entscheidung für eine Telearbeit gefallen, wird je nach Art der personenbezogenen Daten und Datenkategorien ein Maßnahmenkatalog notwendig, der vor der Aufnahme der Teletätigkeit umzusetzen ist. Sollen unterschiedliche Tätigkeiten ausgelagert werden, so sind auch unterschiedliche, den jeweiligen Umständen Rechnung tragende Maßnahmenkataloge zu verfassen. Nachfolgend eine nicht abschließende Liste mit Orientierungspunkten zu den technischen und organisatorischen Maßnahmen für die Gestaltung eines Telearbeitsplatzes , herausgegeben von „Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit“(Stand 2017).