»Home-Office bedeutet nicht automatisch Heimarbeitsplatz, sondern primär, dass die Arbeitsleistung des Arbeitnehmers nicht im Betrieb selbst stattfindet.« © Thüringer Consult
Auch Unternehmen, die sich bisher nicht damit anfreunden konnten, waren in den letzten Wochen gezwungen, Mitarbeiter ins Home-Office zu schicken. Während sich manches improvisieren lässt ...
... lauern bei Recht und Datenschutz einige Fallstricke.
Durch die Corona-Krise haben viele Unternehmen ihre Mitarbeiter sehr kurzfristig ins Home-Office geschickt, teilweise ohne große Vorerfahrungen damit gemacht zu haben. Themen wie Datenschutz oder IT-Sicherheit mussten da angesichts der Eile oft in den Hintergrund treten. Das schützt aber nicht vor etwaigen Datenlecks und Cyberkriminelle nutzen die Lage sogar gezielt aus, um an ihr Ziel zu gelangen. Was muss man als Unternehmen in diesen Zeiten besonders beachten und wie kann man sich vor rechtlichen Konsequenzen schützen? Wir haben dazu den Experten Dietmar Thüringer befragt.
Herr Thüringer, mit welchen besonderen rechtlichen Anforderungen ist ein Unternehmen in Zeiten von Home-Office konfrontiert?
„Home-Office“ bedeutet nicht automatisch Heimarbeitsplatz, sondern primär, dass die Arbeitsleistung des Arbeitnehmers nicht im Betrieb selbst stattfindet. Es handelt sich hierbei um Arbeiten in „auswärtigen Arbeitsstellen“. Das kann die Privatwohnung des Dienstnehmers sein, muss es aber nicht. In den Zeiten von Corona wird der Begriff Home-Office aber hauptsächlich auf einen Telearbeitsplatz in den eigenen vier Wänden des Arbeitnehmers reduziert.
Auch wenn Mitarbeiter nun nicht im Betrieb tätig sind, fallen sie unter die Regelung des ArbeitnehmerInnenschutzgesetzes (ASchG). Im Speziellen sind jene Vorschriften des ASchG zu beachten, welche sich auf einen Telearbeitsplatz beziehen. So gibt der §67 ASchG Auskunft über die Gestaltung von Bildschirmarbeitsplätzen und §68 ASchG über die besonderen Maßnahmen bei Bildschirmarbeit. Beide weisen explizit darauf hin, dass die Vorgaben auch für Bildschirmarbeit außerhalb der Arbeitsstätte gelten. Stellt der Arbeitgeber auch Arbeitstische, Arbeitsflächen und Sitzgelegenheiten etc. zur Verfügung, so müssen diese die entsprechenden ergonomischen Anforderungen erfüllen.
Relevant für Telearbeitsplätze sind auch grundlegende Vorschriften, wie sie im §12 als auch im §14 ASchG zu finden sind, hinsichtlich Information und Unterweisung. Dies gilt auch für die Ermittlung und Beurteilung von Gefahren sowie die Festlegung von Maßnahmen zum Schutz der Gesundheit und Sicherheit. Die Arbeitsplatzevaluierung nach §4 ASchG gilt auch an auswärtigen Arbeitsstellen, also auch für Telearbeitnehmer.
Die Regelungen betreffend Arbeitszeitgesetz (AZG), Arbeitsruhegesetz (ARG) und Mutterschutzgesetz (MSchG) gelten natürlich auch für das Home-Office, um nur einige weitere gesetzliche Vorgaben zu nennen.
Welches sind Ihrer Meinung nach die größten rechtlichen Stolpersteine, die Unternehmen möglicherweise bei der raschen Umstellung auf Home-Office übersehen haben könnten?
Wie bereits erwähnt sind dies primär die Bestimmungen zur Telearbeit. Werden Bildschirmgeräte, Tastaturen etc. zur Verfügung gestellt, so müssen diese dem Stand der Technik und den ergonomischen Anforderungen entsprechen. Der Dienstgeber ist auch dazu verpflichtet, die Bildschirmarbeitsplätze für seine „Teleworker“ ergonomisch zu gestalten. Die Implementierung sowie die Einhaltung dieser Maßnahmen stehen in keinem Zusammenhang mit der Dauer der Home-Office-Tätigkeit.
Gleichzeitig sollte auch eine Home-Office-Vereinbarung zwischen dem Arbeitgeber und dem Arbeitnehmer getroffen werden, um etwaige Haftungsfälle zu vermeiden oder einem Missverständnis vorzubeugen. Einfache Dinge, wie dass die Wohnung des Mitarbeiters das Home-Office darstellt, werden oftmals außer Acht gelassen. Weiters sollte die Vereinbarung Klarheit schaffen, wie mit diversen Kosten umgegangen wird (Strom, Internet etc.), wie die Arbeitszeiten aussehen, die Erreichbarkeit geregelt ist usw. bis hin, ob der Arbeitgeber die Wohnung, sprich den Telearbeitsplatz, zu Kontrollzwecken besichtigen darf. Nicht nur alleine wegen der Arbeitsplatzevaluierung, sondern auch, oder speziell, hinsichtlich der Einhaltung der Datenschutzrichtlinien.
Klären Sie auch mit Ihren Kunden ab, ob diese mit der Verarbeitung von personenbezogenen Daten durch Mitarbeiter im Home-Office überhaupt einverstanden sind. Speziell dann, wenn es sich um die Verarbeitung von sogenannten sensiblen Daten handelt. Es ist zu prüfen, inwieweit durch verstärkte technische und organisatorische Maßnahmen das Risiko für die personenbezogenen Daten minimiert werden kann, sodass eine Verarbeitung im Home-Office vertretbar ist. Es gilt, je sensibler und daher schützenswerter personenbezogene Daten sind, umso stärker sind sie dementsprechend auch zu schützen. Letztendlich ist ein Datenmissbrauch durch Dritte leichter möglich, wenn die Verarbeitung der Daten nicht am Betriebsstandort durchgeführt wird.
Informationssicherheit hat aber nicht nur mit Kunden-, Lieferanten- oder Mitarbeiterdaten zu tun, sondern auch mit betrieblichen Daten, die nicht in „falsche“ Hände geraten sollten. Dabei denke ich an das Thema Forschung und Entwicklung, Innovationen oder an sonstige betriebliche Geheimnisse.
Worauf gilt es noch besonders zu achten, wenn man seine Mitarbeiter von zu Hause arbeiten lässt?
Dazu fallen mir zwei Dinge spontan ein: Der Arbeitgeber bzw. die Führungskräfte müssen sich frühzeitig damit beschäftigen, welche Daten im jeweiligen Home-Office verarbeitet werden. Werden Daten ohne Personenbezug verarbeitet, sehen die Schutzmaßnahmen anders aus, als wenn personenbezogenen oder sogar sensible, sprich besondere personenbezogene Daten verarbeitet werden. Diese Überlegungen sind vorab zu treffen und nicht erst, wenn der oder die MitarbeiterInnen bereits zu Hause mit der Telearbeit beginnen.
Nutzen Sie das Know-how ihres Datenschutzbeauftragten. Ziehen Sie ihn frühzeitig zur Planung hinzu. Er berät Sie zum einen, ob und in welchem Umfang Schutzmaßnahmen für den jeweiligen Heimarbeitsplatz notwendig sind (welche Daten werden verarbeitet) bzw., wenn es sich um personenbezogene Daten handelt, wie die entsprechenden Schutzmaßnahmen aussehen müssen. Weiters ist er grundsätzlich Ansprechperson hinsichtlich des Datenschutzes und der Informationssicherheit im Betrieb sowie speziell für ArbeitnehmerInnen mit einem Telearbeitsplatz. Ob Sie dazu einen externen oder einen internen Datenschutzbeauftragen hinzuziehen, ist sekundär.
Dürfen die Angestellten für die Heimarbeit ihren eigenen PC oder Laptop verwenden oder ist es ratsam, sie mit Firmengeräten auszustatten? Was sind die Unterschiede?
Ich vertrete hier den klaren Standpunkt, dass der Arbeitgeber die Ausstattung zur Telearbeit zur Verfügung stellen muss. Privatgeräte sind der Privatsphäre der Mitarbeiter zuzuordnen. Unabhängig von meiner persönlichen Meinung gibt es durch §33 ASchG auch eine rechtliche Begründung. Dieser Paragraph gibt Auskunft über die Bereitstellung von Arbeitsmitteln durch den Arbeitgeber.
Zwei wesentliche Punkte möchte ich hierbei ansprechen: Stellt der Arbeitgeber die IT-Ausrüstung zur Verfügung, so hat er auch das Recht, jederzeit darauf zuzugreifen. Hierbei geht es aber nicht um die Kontrolle, ob und wann der Mitarbeiter arbeitet, sondern um die Sicherheit, eine datenschutzkonforme Verarbeitung zu gewährleisten. Dies betrifft unter anderem die technischen Schutzmaßnahmen bis hin zur Datenspeicherung bzw. Back-ups. Weiters sollte die Festplatte für den Fall eines Einbruchsdiebstahles in die private Wohnung verschlüsselt sein. Diese Maßnahmen wären bei der Nutzung eines privaten Gerätes schwer möglich. Die Wartung fällt ebenfalls in die Verantwortung des Arbeitgebers sowie auch die Reparaturabwicklung bei einem Defekt des Gerätes. Der Arbeitnehmer verpflichtet sich lediglich, die Arbeitsmittel nur für betriebliche Zwecke zu verwenden sowie sorgsam und zweckentsprechend damit umzugehen.
Aus Mangel an Firmen-Laptops verwenden Mitarbeiter oftmals auch ihre privaten Geräte, um beruflichen Tätigkeiten nachzukommen. Dabei verbinden sie sich via VPN-Tunnel sicher mit dem Unternehmensnetzwerk. Dies könnte in einem Desaster enden! Der Grund liegt auf der Hand. Wie sicher sind diese Geräte? Kann ausgeschlossen werden, dass sich keine Viren oder Schadsoftware darauf befinden? Nein! Somit besteht die Gefahr der Einschleusung der Viren bzw. der Schadsoftware etc. ins Unternehmensnetzwerk. Ein privates Gerät kann meines Erachtens nie den gleichen datenschutzrechtlichen Sicherheitsstandard erreichen wie eine gewartete betriebliche Hard- und Software.
Gibt es verbindliche technische Vorgaben, die einzuhalten sind – zum Beispiel hinsichtlich VPN, Updates oder WLAN?
Werden die Arbeitsmittel vom Arbeitgeber zur Verfügung gestellt, so unterliegen diese den jeweiligen DSGVO-Schutzmaßnahmen des Unternehmens. Da der Arbeitgeber auch für die Wartung des Firmengerätes verantwortlich ist, sollten die aktuellsten Softwareversionen hinsichtlich Virenschutz, Firewall oder des Betriebssystems etc. installiert sein. Verwendet der Arbeitnehmer hingegen sein privates Gerät auch für betriebliche Zwecke, so obliegt ihm die Verpflichtung, die seitens des Arbeitgebers vorgeschriebenen Sicherheitsstandards auch einzuhalten.
Wenn es sich beim Home-Office um einen fixen Telearbeitsplatz handelt, so liegt es im Interesse des Arbeitgebers, dass eine VPN-Verbindung, sprich eine Punkt-zu-Punkt-Verbindung, zwischen dem Endgerät des Teleworkers und einem VPN-Server des Unternehmens vorliegt. Die Kosten für die Implementierung trägt der Arbeitgeber. Betreffend WLAN ist die vorhandene Verschlüsselungsmethode im Heimnetz des Dienstnehmers zu prüfen. Es sollte mindestens der Standard WPA2 verwendet werden. Die technischen und organisatorischen Maßnahmen, welche die Sicherheit der Verarbeitung personenbezogener Daten gewährleisten, gelten sowohl im Unternehmen als auch extern für das Home-Office.
Welche Anweisungen sollte man den Mitarbeitern erteilen, wenn sie zum Beispiel sensible Firmendokumente oder Personendaten daheim ausdrucken?
Das sind zweierlei Paar Schuhe. Sensible Firmendokumente wie Bilanzen, Geschäftsstrategie, Betriebsgeheimnisse etc. haben mit der DSGVO nichts zu tun. Sie müssen aber aus firmeninternen Gründen natürlich auch geschützt werden – d. h., diese Dinge profitieren eigentlich von den Schutzmaßnahmen der DSGVO. Sensible Personendaten sind sogenannte besondere personenbezogene Daten wie politische Meinungen oder Gesundheitsdaten etc., deren Verarbeitung nur unter strengen Auflagen der DSGVO möglich ist.
Das Ausdrucken von sensiblen Personendaten in einem Home-Office ist zu überdenken. Eine Änderung des Arbeitsprozesses wäre möglicherweise das kleinere Übel. Werden Informationen nicht richtig verwaltet, besteht ein erhöhtes Risiko, dass sensible Daten in die falschen Hände geraten und dies letztendlich zu Datenverletzungen führen kann. Augenmerk sollte gelegt werden auf nicht abgeholte Dokumente, Daten auf internen Gerätespeichern (Druckerdaten können bei der Entsorgung mit spezieller Software ausgelesen werden, Verstöße durch Netzwerk-Ports an den Geräten, unsachgemäße Verwendung von Druckgeräten, usw. Die Lagerung der sensiblen Daten im Home-Office darf nur in versperrbaren Schränken erfolgen!
Wie sieht es mit den Kosten aus, die dem Arbeitnehmer anfallen, zum Beispiel höhere Stromkosten im Heimbüro bzw. die Kosten für die Internetverbindung? Müssen die vom Arbeitgeber (mit)getragen werden?
Wenn sich Arbeitnehmer und Arbeitgeber auf einen Telearbeitsplatz einigen, so sollte dies grundsätzlich auch in einer schriftlichen Vereinbarung festgehalten werden. Die Bereitstellung der Arbeitsmittel beruht auf arbeitsrechtlichen Grundsätzen, die festhalten, dass der Arbeitgeber dafür verantwortlich ist. Der Arbeitnehmer ist nicht verpflichtet, bestimmte Güter für die Tätigkeit einzubringen.
Wer letztendlich was bereitstellt und welche Kosten wer trägt, ist Vereinbarungssache. Es wird aber darauf ankommen, ob es sich um einen fixen Teleplatz oder um einen alternierenden handelt. Bei alternierender Telearbeit arbeitet der Mitarbeiter abwechselnd von zu Hause aus und im Büro. Grundsätzlich sind dem Telearbeitnehmer die durch die Telearbeit entstehenden Kosten wie z. B. Telefon- und Internetkosten zu ersetzen.
Zusammengefasst wird daher empfohlen, in der Home-Office-Vereinbarung konkrete Übereinkommen zu treffen, welche Betriebsmittel beigestellt werden und in welcher Höhe, zumeist per pauschalem Aufwandsersatz, erforderliche Aufwendungen wie auch z. B. Strom-, Heizungs- und Mietkosten abgedeckt werden.
Was ist zum Beispiel, wenn der Internetzugang des Mitarbeiters nicht schnell genug ist, um vernünftig an Videokonferenzen teilzunehmen oder Arbeitsdokumente auf den Firmenserver hochzuladen? Wer steht in einem solchen Fall in der Pflicht?
Bei einem fixen Telearbeitsplatz wird der Arbeitgeber selbst Interesse haben, dass der Mitarbeiter eine vernünftige Internetverbindung hat und seine Arbeit nicht darunter leidet. Für jene Mitarbeiter, die ihren Arbeitsplatz im Betrieb haben und nur fallweise von zu Hause aus den privaten Internetanschluss betrieblich nutzen, wird es keine betriebliche Vergünstigung diesbezüglich geben.
Stichwort Datenschutz: Wer haftet, wenn im Home-Office ein DSGVO-Verstoß passiert oder ein Datenleck auftritt?
Diese Frage ist in der Datenschutzgrundverordnung (DSGVO) eindeutig geregelt: der Verantwortliche. Doch wer ist der „Verantwortliche“? Der Telearbeiter, der Datenschutzbeauftragte oder der Geschäftsführer? Grundsätzlich gilt, Anspruch auf Schadenersatz hat jene Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist. Der Verantwortliche ist dabei derjenige, der über die Zwecke und Mittel der Datenverarbeitung bestimmt. Das Unternehmen als verantwortliche Stelle ist für die Einhaltung des geltenden Datenschutzrechts verantwortlich und haftet somit für etwaige Datenschutzverstöße. Der Betroffene hat somit das Recht, gegen den Verantwortlichen Schadenersatz geltend zu machen. Sollte die Aufsichtsbehörde, also die Datenschutzbehörde (DSB), ein Bußgeld bzw. eine Verwaltungsstrafe verhängen, so trifft dies ebenfalls das Unternehmen. Ist der im Home-Office arbeitende Telearbeiter für den DSGVO-Verstoß verantwortlich, so haftet dieser (eingeschränkt) nur dann, wenn ihm im Zuge eines Gerichtsverfahrens eine „grobe Fahrlässigkeit“ nachgewiesen werden kann.
Achtung, Verantwortlicher und Auftragsverarbeiter haften dem Betroffenen gegenüber solidarisch für den gesamten Schaden. Damit soll ein wirksamer Schadenersatz für die betroffene Person gewährleistet werden. Der Verantwortliche kann sich jedoch bei den übrigen Beteiligten regressieren. Wenn wir schon vom Regress sprechen, so ist auch zu beachten, dass sich die Gesellschafter eines Unternehmens auch beim angestellten Geschäftsführer regressieren können, wenn sie der Meinung sind, dass dieser seiner Verantwortung als ordentlicher Kaufmann nicht nachgekommen ist und die Gesellschaft dadurch einen Vermögensschaden erlitten hat.
Kann man sich, wenn es zum Bekanntwerden von Verstößen kommt, bei den Behörden auf Corona „herausreden“?
Nein, die Corona-Krise spielt hierbei keine Rolle. Das Unternehmen trägt die datenschutzrechtliche Verantwortung und somit die Konsequenz. Laut Gesetzgeber sollen Geldbußen für Verstöße gegen die DSGVO in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein. Die Datenschutzbehörde orientiert sich vor Verhängung einer Geldbuße an der Verhältnismäßigkeit und kann auch von ihren Abhilfebefugnissen, insbesondere durch Verwarnen, Gebrauch machen. Voraussetzung dafür ist aber auf alle Fälle eine im Unternehmen bereits implementierte DSGVO bzw. im Idealfall auch eine vorhandene Zertifizierung nach ISO 27001 (Informationssicherheit). (RNF)
INFO-BOX
So schützen Sie sich vor bösen Überraschungen
Experte Dietmar Thüringer rät Unternehmen dazu, die folgenden 10 Punkte unbedingt zu beachten, um sich vor bösen Überraschungen durch Home-Office und mobile Arbeit zu schützen:
• Regelungen für Datenverarbeitung im Home-Office definieren: Wer darf was und wo verarbeiten und welche Sicherheitsmaßnahmen sind zu beachten?
• Sensibilisierung der Telearbeiter mittels Schaffung von Awareness anhand praktischer Beispiele und nicht nur durch Gesetzestexte
• Zutritts- und Zugriffsschutz durch eigene abschließbare Arbeitszimmer und Behältnisse; Einführung einer Clean Desk Policy
• Sicherheitstechnische Anforderungen gewährleisten durch aktuelle Software-Patches und den Einsatz einer Firewall
• Verschlüsselung von mobilen Datenträgern mittels geeigneter Verschlüsselungssoftware
• Nutzung von Bildschirmschutzfolien verhindert die seitliche Einsichtnahme durch Dritte
• Sicherer Remote-Zugriff auf das Firmennetzwerk durch sichere Protokolle
• Regelmäßige Datensicherung gewährleistet die Verfügbarkeit der Daten
• Zeitnahe Verlustmeldung bei verloren gegangenen mobilen Geräte
• Fachgerechte Entsorgung von vertraulichen Informationen und defekten Datenträgern
ZUR PERSON
DI Dietmar Thüringer gilt als nationaler Experte für Prozessoptimierung und implementierte Managementsysteme. Mit seinem umfassenden Know-how und seinem Hintergrund als technischer Experte und Führungskraft berät er Unternehmen darüber hinaus zu Themen wie IT-Sicherheit und Datenschutz, Qualitätsmanagement, Umwelt- und Nachhaltigkeitsmanagement sowie durch seine weitere Tätigkeit als Versicherungsmakler mit Schwerpunkt Klein- und Mittelunternehmen auch
zu Risikomanagement.
www.unternehmensberatung-wien.com