Dass Beschäftige ihre Arbeit – zumindest auch – von Zuhause aus erledigen, ist häufig im beiderseitigen Interesse von Arbeitnehmer und Arbeitgeber. Denn beide profitieren von der hierdurch gewonnenen Flexibilität. Zu bedenken sind aber neben den Vorgaben des Arbeitsschutzes insbesondere auch datenschutzrechtliche Auswirkungen von Home Office-Arbeitsplätzen.
Denn der Arbeitgeber bleibt selbstverständlich und erst recht auch dann für die Sicherheit und ordnungsgemäße Datenverarbeitung verantwortlich, wenn die Daten außer Haus gegeben werden. Im Falle von Verstößen sieht er sich unter Umständen zivilrechtlichen Haftungsansprüchen der Betroffenen ebenso ausgesetzt wie behördlichen Maßnahmen (Bußgelder, Untersagungsverfügung).
Daher ist dringend dazu zu raten, die datenschutzrechtlichen Implikationen für den Home Office-Arbeitsplatz im Rahmen einer Vereinbarung mit dem jeweiligen Arbeitnehmer und/oder generell im Wege der Betriebsvereinbarung zu regeln. Hierin sind insbesondere auch die technischen und organisatorischen Maßnahmen festzulegen, welche der Arbeitgeber dem Arbeitnehmer zur Sicherstellung der verarbeiteten Daten auferlegt. Hierzu ist der Arbeitgeber als „verantwortliche Stelle“ i.S.d. BDSG verpflichtet, § 9 BDSG nebst Anlage.
Ausgangspunkt dieser Regelungen sollte ein IT-Sicherheitskonzept sein, dass eine sichere Datenverarbeitung überhaupt erst möglich macht. Hierzu gehört die Vorgabe, dass die IT-Systeme, welche für den Home Office-Arbeitsplatz genutzt werden, ausschließlich dienstlichen Zwecken dienen dürfen – also in der Regel vom Arbeitgeber gestellt werden müssen. Untersagt werden sollte dem Arbeitnehmer jedweder Einsatz eigener Hardware, insbesondere weiterer Speichermedien.
Für die Datenübertragung sollte entweder ein sicherer VPN-Tunnel zum Zentralsystem des Arbeitgebers eingerichtet werden. Alternativ ist auch eine Gestaltung denkbar, in welcher Daten entweder ausschließlich verschlüsselt über das Internet übertragen werden oder aber gar nicht auf dem Endgerät des Arbeitnehmers, sondern lediglich auf dem Zentralserver des Arbeitgebers gespeichert werden können.
Im Rahmen der technischen und organisatorischen Maßnahmen ist weiter sicherzustellen, dass der Arbeitnehmer die Daten im Home Office gegen unbefugte Einsicht- und Kenntnisnahme zu sichern hat. Hierzu gehört natürlich und insbesondere auch die Einsichtnahme durch Familien- und Haushaltsangehörige sowie Besucher des Arbeitnehmers. Regelungen zu Bildschirmschonern, Passwörtern sowie sicheren Lagerung der Geräte sind hierzu unerlässlich.
Bleibt der Arbeitgeber „verantwortliche Stelle“, so ist er von Gesetzes wegen auch verpflichtet, sich von der ordnungsgemäßen Datenverarbeitung regelmäßig zu überzeugen. Dies steht im Falle von Home Office-Arbeitsplätzen naturgemäß in einem Spanungsverhältnis mit dem ebenfalls selbstverständlichen Interesse des Arbeitnehmers daran, nicht ohne Weiteres in seiner Privatwohnung aufgesucht zu werden. Dieser Schutz der Privatsphäre ist über Art. 13 GG sogar grundrechtlich geschützt.
Nichtsdestotrotz – und auch das sollte Bestandteil einer ausdrücklichen Regelung für Home Office-Arbeitsplätze sein – muss der Arbeitgeber ein Zutrittsrecht zur Wohnung des Arbeitnehmers haben, sofern er von Gesetzes wegen oder aus dringenden betrieblichen Gründen die ordnungsgemäße Datenverarbeitung am Home Office-Arbeitsplatz untersuchen muss.
Im Interesse des Arbeitnehmers sollte dieses Zutrittsrecht natürlich grundsätzlich nur in Abstimmung mit dem Arbeitnehmer bestehen und auf bestimmte Personen wie den Datenschutzbeauftragten des Unternehmens begrenzt sein. Zu beachten ist unbedingt, dass sich das vom Arbeitnehmer zu unterzeichnende Einverständnis auch auf die mit ihm gemeinsam im Haushalt lebenden Personen beziehen muss – dies jedenfalls dann, wenn der Home Office-Arbeitsplatz nicht von der eigentlichen Wohnung strikt abgetrennt ist und ein Betreten der Wohnung also notwendig erfolgen muss, um den Home Office-Arbeitsplatz zu prüfen.