Mobiles Arbeiten setzt das Vorhandensein mobiler Arbeitsmittel und Arbeitsgegenstände voraus. Mobile Arbeitsgegenstände sind häufig digitale Dokumente, die auch persönliche oder Unternehmensdaten enthalten können. Insbesondere der Informationsaustausch über E-Mail und der Remote-Zugriff auf Unternehmensserver sind mit einer Reihe an organisatorischen und sicherheitstechnischen Schwachstellen verbunden, denen durch geeignete Maßnahmen begegnet werden muss (Landesbeauftragter für den Datenschutz Niedersachsen 2003).
Sofern im Rahmen von Telearbeit und Mobilem Arbeiten ein Umgang mit personenbezogenen Daten in Frage kommt, sind insbesondere die Regelungen des Bundesdatenschutzgesetzes (BDSG) von Bedeutung (vgl. hier und im Folgenden Wissenschaftliche Dienste des Deutschen Bundestages 2017). Entscheidend ist die Tatsache der Verarbeitung personenbezogener Daten. Insofern gelten im Rahmen von Telearbeit und Mobilem Arbeiten keine Besonderheiten im Hinblick auf die Anforderungen an den Umgang mit personenbezogenen Daten der Arbeitnehmenden. Allerdings gestaltet sich bei Mobilem Arbeiten oder Homeoffice die Einflussnahme und Kontrollmöglichkeiten für den Arbeitgeber als weitaus schwieriger, darunter auch der Schutz vor dem Missbrauch durch Dritte: „So ist etwa die Gefahr im außerbetrieblichen Bereich viel höher, dass Außenstehende unmittelbar personenbezogene Daten visuell wahrnehmen, Zugriff auf Datenträger mit personenbezogenen Dateien erlangen oder Informationen erhalten, wie sie sich den unmittelbaren Zugang zu den geschützten Daten verschaffen können.“ (Wissenschaftliche Dienste des Deutschen Bundestages 2017, S. 13)
Im Rahmen von Homeoffice oder mobilem Arbeiten geht es folglich hinsichtlich des Datenschutzes daher insbesondere um den Schutz personenbezogener Daten und die Sicherung betrieblicher Daten gegen den unberechtigten Zugriff Dritter.
Rechtlicher Rahmen
Grundsätzlich haften Arbeitnehmende für jeden Schaden, den sie dem Arbeitgeber durch schuldhafte Verletzung ihrer arbeitsvertraglichen Pflichten zufügen (vgl. hier und im Folgenden Wissenschaftliche Dienste des Deutschen Bundestages 2017). Es gilt jedoch abhängig vom Verschuldensgrad folgende Haftbeschränkung:
- vorsätzlich verursachte Schäden sind in vollem Umfang vom Arbeitnehmer zu tragen
- bei grober Fahrlässigkeit hat der Arbeitnehmer in aller Regel den Schaden zu tragen; Haftungserleichterung abhängig vom Einzelfall
- bei normaler Fahrlässigkeit wird der Schaden quotal zwischen Arbeitnehmer und Arbeitgeber aufgeteilt
- keine Haftung bei leichtester Fahrlässigkeit
Die Grundsätze der Haftungsbegrenzung gelten auch im Rahmen von Homeoffice und mobiler Arbeit. Die Besonderheit besteht in einem gesteigerten Risiko für eine Schadensverursachung durch Dritte. Es empfiehlt sich aufgrund der rechtlichen Unwägbarkeiten im Falle eines Schadens, im Vorfeld eine dezidierte, individuelle haftungsrechtliche Vereinbarung zu treffen.
Arbeitswissenschaftliche Erkenntnisse und Gestaltungsansätze
Die Besonderheit bei mobiler Arbeit und Homeoffice besteht in einem gesteigerten Risiko für eine Schadensverursachung durch Dritte. Folgende Tipps sollen Beschäftigten helfen, ihrer Verantwortung bezüglich des Datenschutzes nachzukommen.
- Geräte dürfen nie unbeaufsichtigt gelassen werden, z.B. beim Gang zur Toilette.
- Endgeräte wie Laptops, Smartphones oder Tablets müssen verschlüsselt werden.
- Private Daten und Unternehmensdaten müssen immer getrennt voneinander aufbewahrt werden.
- Unterwegs sollte eine Sichtschutzfolie für den Laptop genutzt werden.
- Telefonate in öffentlichen Räumen sollten vermieden werden.
- Bei spontanem Besuch im Homeoffice, sollte der Laptop unverzüglich zugeklappt oder ausgeschaltet werden.
- Nach Möglichkeit sollten nur vom Arbeitgeber ausgehändigte bzw. erlaubte Geräte genutzt werden.
- Unternehmensdaten sollten nicht auf privaten und nicht-erlaubten Endgeräte oder Speichermedien gespeichert oder kopiert werden.
- Die Nutzung unverschlüsselter Webseiten sollte vermieden werden.
- Dokumente und sonstige Arbeitsunterlagen sollten elektronisch auf der lokalen Festplatte oder im Netzwerk gespeichert und nicht als Papierakte oder handschriftliche Notizen in der Öffentlichkeit bei sich getragen werden.
Beispiele aus der betrieblichen Praxis
Ein Beispiel für Hinweise auf Datenschutz, Datensicherheit und Informationsschutz im Rahmen eines Tarifvertrags finden sich im Tarifvertrag der Telekom Deutschland. Hier heißt es in § 5:
„(1) Auf den Schutz von Daten und Informationen gegenüber Dritten ist bei mobile working besonders zu achten. Arbeitgeber und Arbeitnehmer sind verpflichtet, diese Anforderungen einzuhalten. Vertrauliche Daten und Informationen sind vom Arbeitnehmer so zu schützen, dass Dritte keine Einsicht und/oder Zugriff nehmen können. Dies ist insbesondere bei Tätigkeiten außerhalb des betrieblich veranlassten Arbeitsortes zu beachten. Der Arbeitgeber hat bei der Einführung von mobile working die erforderlichen Schutzmaßnahmen u.a. bei der Ausstattung der Arbeitnehmer mit Arbeitsmitteln zu ergreifen (z.B. Sichtschutzfolie).
(2) Zur Ausführung des Datenschutzes und der Datensicherheit gelten die gesetzlichen Datenschutzbestimmungen sowie die jeweils geltenden zentralen Regelungen zur Umsetzung des Datenschutzes und Datensicherheit für außen liegende IT-Arbeitsplatzsysteme der Telekom Deutschland GmbH.
(3) Über die gesetzlichen und unternehmensinternen Regelungen zur Umsetzung des Datenschutzes und der Datensicherheit wird der Arbeitnehmer in geeigneter Weise informiert und mittels Web-Schulung auf die Einhaltung des Datenschutzes verpflichtet.
(4) Der Arbeitnehmer ist verpflichtet, die gesetzlichen und unternehmensinternen Regelungen zur Umsetzung des Datenschutzes und der Datensicherheit zu beachten und anzuwenden. Alle betrieblichen Unterlagen, auch solche, die den betrieblichen Bereich verlassen haben und nicht mehr benötigt werden, sind im Betrieb zu entsorgen.“
Hinweise für die Gestaltung innovativer Arbeitsmodelle
Mobiles Arbeiten birgt Risiken. Eine spezielle Unterweisung zum Datenschutz und zur Datensicherheit zu Hause und unterwegs sind unerlässlich. Dies gilt auch und gerade für die notwendige Trennung zwischen beruflichen und privaten Daten. Mobile Arbeit stellt den Datenschutz vor Herausforderungen. Im Rahmen der Umsetzungsphase von AKTIV-kommunal wurde daher ein sogenannter „Beipackzettel“ entwickelt, der die Beschäftigten mit Informationen versorgt und über Richtlinien des Datenschutzes aufklärt. Zentral hierbei ist, dass alle Informationen, die an Beschäftigte ausgegeben werden, u.a. mit Sicherheitsbeauftragten der betreffenden Unternehmen sowie dem Betriebsrat abgestimmt sind. Darüber hinaus ist es wichtig, Ansprechpersonen zu nennen, die den Beschäftigten bei Fragen zur Verfügung stehen.
Folgender Text ist ein Beispiel für einen „Beipackzettel“ zum Thema Datenschutz
Literaturhinweise
- Bundesministerium der Justiz und Verbraucherschutz; Bundesamt für Justiz (2017): Bundesdatenschutzgesetz. BDSG. Online verfügbar unter https://www.gesetze-im- internet.de/bdsg_2018/BJNR209710017.html, zuletzt geprüft am 20.03.2019.
- Die Bundesbeauftragte für den Datenschutz (2017): Telearbeit. Ein Datenschutz-Wegweiser. Bonn.
- Landesbeauftragter für den Datenschutz Niedersachsen (2003): Mobiles Arbeiten datenschutzrechtlich gestalten. Orientierungshilfe und Checkliste. Hannover. Online verfügbar unter https://www.lfd.niedersachsen.de/technik_und_organisation/orientierungshilfen_und_ handlungsempfehlungen/mobiles_arbeiten/mobiles-arbeiten—datenschutzgerecht- gestaltet—56236.html, zuletzt geprüft am 02.05.2018.
- Wissenschaftliche Dienste des Deutschen Bundestages (2017): Telearbeit und Mobiles Arbeiten.
- Voraussetzungen, Merkmale und rechtliche Rahmenbedingungen. Berlin. Online verfügbar unter https://www.bundestag.de/blob/516470/3a2134679f90bd45dc12dbef26049977/wd-6- 149-16-pdf-data.pdf, zuletzt geprüft am 02.05.2018.