„Home-Office“ in Zeiten von Covid-19 – (Beschäftigten-)Datenschutz nicht übersehen
31.03.2020
Die Covid-19-Pandemie beschäftigt Unternehmen in arbeitsrechtlicher Hinsicht – nicht zuletzt aufgrund der Bestrebung, Ansteckungen am Arbeitsplatz zu vermeiden, ist Arbeit zu Hause („Home-Office“ oder „Telearbeit“[1]) derzeit in aller Munde und wird von vielen Unternehmen quasi flächendeckend eingeführt. Freilich: die Arbeit im Wege des „Home-Office“ derzeit (noch) nicht gesetzlich angeordnet, und gibt es auch keine eindeutigen, allgemein anwendbaren gesetzlichen Rahmenbedingungen.
I. Während ursprünglich eine wesentlich strengere Formulierung geplant war („[…] dürfen Arbeitsstätten lediglich dann betreten werden, wenn die berufliche Tätigkeit nicht auch außerhalb der Arbeitsstätte durchgeführt werden kann“[2]) sieht die am heutigen Tage (31. März 2020) in Kraft stehende „Verordnung des Bundesministers für Soziales, Gesundheit, Pflege und Konsumentenschutz gemäß § 2 Z 1 des COVID-19-Maßnahmengesetzes“[3] nur vor, dass darauf „zu achten [ist], dass eine berufliche Tätigkeit vorzugsweise außerhalb der Arbeitsstätte erfolgen soll, sofern dies möglich ist und Arbeitgeber und Arbeitnehmer darüber ein Einvernehmen finden.“
Es bleibt daher (Stand 31. März 2020) bei der allgemeinen Regel, dass die Arbeitserbringung im Wege des Home-Office grundsätzlich (wobei für bestimmte Gruppen von Dienstnehmern Sonderregelungen bestehen[4]) einer Vereinbarung zwischen Arbeitgeber und Arbeitnehmer bedarf. Einzelne Kollektivverträge geben dabei teilweise Rahmenbestimmungen für die Vereinbarung von Telearbeit vor.
II. Weil es kein arbeitsrechtliches „Sonderregime“ für Telearbeit gibt, gelten die allgemeinen arbeitsrechtlichen Bestimmungen, soweit diese inhaltlich anwendbar sind – insbesondere die Regelungen zu Arbeitszeit, Urlaub sowie bestimmte Arbeitnehmerschutzbestimmungen. Sollen in Vereinbarungen über Telearbeit etwa auch Regelungen betreffend Gleitzeit aufgenommen werden (was oft naheliegend erscheint), ist dafür in Betrieben mit Betriebsrat gemäß § 4b Abs 2 AZG[5] eine Betriebsvereinbarung notwendig.
Grundsätzlich hat der Arbeitgeber dem Arbeitnehmer daher für Telearbeit sämtliche Arbeitsmittel (Computer, Software, Papier, Drucker, Strom) zur Verfügung zu stellen; dies folgt schon aus der Natur eines Arbeitsvertrages, der ja gerade darin besteht, dass der Arbeitnehmer (nur) seine Arbeitsleistung, aber keine Betriebsmittel zur Verfügung stellt.
In der Praxis wird es jedoch regelmäßig (auch) zu einer Verwendung von Infrastruktur des Arbeitnehmers kommen, für die er vom Arbeitgeber eine Abgeltung erhält (darunter fallen erhöhte Strom- und Internetkosten, aber etwa (natürlich) Büromöbel, mit denen der Arbeitnehmer arbeitet, darunter) was ebenfalls einer vertraglichen Regelung bedarf, wobei eine Pauschalierung grundsätzlich zulässig ist.
III. Ein Bereich, der besonderes Augenmerk verdient, stellt der Schutz der (von den Arbeitnehmern im Rahmen der Home-Office-Arbeit verarbeiteten) Daten dar. Der Arbeitgeber unterliegt als Verantwortlicher der in seinem Unternehmen (wo auch immer!) verarbeiteten Daten den Bestimmungen der DSGVO[6] und des DSG[7], sowie vielen weiteren Sondervorschriften.
III.1. Die DSGVO fordert von Verantwortlichen ganz allgemein angemessene Datensicherheitsmaßnahmen. Einer der Grundsätze der DSGVO ist nämlich die Verarbeitung von personenbezogenen Daten „in einer Weise […], die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen“ (Art 5 Abs 1 lit f DSGVO) wobei der Verantwortliche die Einhaltung dieser Bestimmung nachweisen können muss. Art 32 DSGVO fordert spiegelbildlich, dass geeignete Maßnahmen ergriffen werden müssen, um – unter Berücksichtigung (unter anderem) des Risikos einer Datenverarbeitung – die Sicherheit der Verarbeitung von personenbezogenen Daten zu gewährleisten.
Die Arbeit im Home-Office schafft nun – im Vergleich zur Arbeit im Betrieb – meist ein wesentlich höheres Risiko der Datenverarbeitung, etwa, wenn private Geräte des Arbeitnehmers verwendet werden oder wenn sensible Papierunterlagen in der Wohnung des Arbeitnehmers nicht versperrt verwahrt werden. Es sind daher – als absolutes Mindestmaß – organisatorische Datensicherheitsmaßnahmen geboten, bspw. Indem mittels präziser Weisungen an den Arbeitnehmer sichergestellt wird, dass auch im Home-Office bestimmte Verhaltensregeln eingehalten werden, die das Risiko einer Datenschutzverletzung minimieren (kein Ausdruck von Unterlagen, Schutz der Unterlagen vor Einsichtnahme, etc.). Es ist weiters anzuraten, spezielle Softwarelösungen zu verwenden, die etwa eine Verschlüsselung von auf Endgeräten (Laptops, Smartphones, etc.) gespeicherten Daten sicherstellen, und Arbeitnehmern den externen Zugriff auf Unternehmensnetzwerke nur soweit zu gewähren, wie dies zur Erbringung der Arbeitsleistung unbedingt notwendig.
III.2. Die explizite Regelung des § 6 Abs 3 DSG erfordert es (auch unabhängig von der Vereinbarung von Telearbeit), Arbeitnehmer über für sie geltende Übermittlungsanordnungen (d.h. vereinfacht gesagt, darüber, an welche Stellen personenbezogene Daten übermittelt werden dürfen) zu informieren. Nicht zuletzt ist es auch anzuraten, Arbeitnehmer ausdrücklich anzuweisen, Verletzungen des Schutzes personenbezogener Daten dem Arbeitgeber unverzüglich zu melden, weil unter Umständen eine Meldung an die Datenschutzbehörde und an „Betroffene“ notwendig ist (Art 33 f DSGVO); jedenfalls sind derartige Vorfälle vom Verantwortlichen zu dokumentieren. Alle diese Maßnahmen sind im Verzeichnis von Verarbeitungstätigkeiten (Art 30 DSGVO) zu dokumentieren.
III.3. Fehlen zum Datenschutz in Zusammenhang mit Home-Office selbst rudimentäre Maßnahmen, kann dies einen Verstoß gegen die Grundsätze für die Verarbeitung von personenbezogenen Daten darstellen (Art 83 Abs 5 lit a DSGVO) und hohe Geldstrafen nach sich ziehen. Dabei wird der Umstand, inwiefern – mögliche und angemessene – technische und organisatorische Datensicherheitsmaßnahmen ergriffen wurden, bei der Verhängung von Geldbußen (Art 83 Abs 2 DSGVO) berücksichtigt.
III.4. Weil den Arbeitgeber als Verantwortlichen auch Aufbewahrungs- und Löschverpflichtungen in Bezug auf vom Arbeitnehmer verarbeiteten Daten trifft, ist eine exakte Trennung zwischen beruflichen Daten und privaten Daten des Arbeitnehmers ohne Bezug zur dienstlichen Tätigkeit sicherzustellen. Landen berufliche Daten im Rahmen der Verwendung privater IT-Infrastruktur des Arbeitnehmers in einem privaten Ordner des Arbeitnehmers, auf den der Arbeitgeber nicht zugreifen kann, und von dessen Existenz der Arbeitgeber auch keine Kenntnis hat, ist es dem Arbeitgeber als Verantwortlichem unmöglich, seinen Verpflichtungen zur Speicherung, Berichtigung oder Löschung dieser Daten nachzukommen – auch wird es dem Verantwortlichen unmöglich, Auskunftsersuchen von Betroffenen (Art 15 DSGVO) vollständig und richtig zu beantworten – der Arbeitgeber verliert die Kontrolle über Datenbestände, die in seiner Verantwortung verarbeitet werden. Der Arbeitgeber wird sich bei beruflich veranlasster Datenspeicherung auf privaten Geräten des Arbeitnehmers auch nicht darauf berufen können, dass dies nicht mehr im Rahmen seiner datenschutzrechtlichen Verantwortung geschieht – er hat, durch die Erteilung von Arbeitsaufträgen an den Arbeitnehmer, über den Zweck der Datenverarbeitung entschieden. Mangelhafte Kontrolle über die Mittel der Datenverarbeitung entbindet einen Verantwortlichen dabei nicht von seiner Verantwortung; es bleibt der Arbeitnehmer, der die Datenverarbeitung vornimmt, in die betrieblichen Strukturen des Verantwortlichen eingebunden, dies auch dann, wenn er seine Tätigkeit zu Hause verrichtet.
Daher sind auch hinsichtlich der Speicherung von personenbezogenen Daten im Rahmen der Arbeitsleistung im Home-Office präzise Anweisungen an die Arbeitnehmer zu richten und es ist sicherzustellen, dass der Arbeitgeber seinen datenschutzrechtlichen Pflichten nachkommen kann.
IV. Unabhängig vom Schutz der vom Arbeitnehmer verarbeiteten personenbezogenen Daten ist zu beachten, dass der Schutz der Privatsphäre des Arbeitnehmers (sohin der Schutz der personenbezogenen Daten des Arbeitnehmers) am Telearbeitsplatz genau so viel Bedeutung verdient, wie unter normalen Bedingungen. Die (auch bloß mögliche) Überwachung der Aktivität von Mitarbeitern ist dabei immer am Recht auf Achtung des Privat- und Familienlebens des Arbeitnehmers (Art 8 EMRK) zu messen, und setzt demzufolge jeder Einsatz bestimmter technischer Systeme eine Betriebsvereinbarung (§ 96 Abs 1 Z 3 ArbVG[8]) oder Einzelvereinbarung (§ 10 AVRAG[9]) mit dem Arbeitnehmer voraus; dies ist relevant beispielsweise beim Einsatz von Software, die eine Überwachung von Aktivitäten des Arbeitnehmers – auch nur theoretisch – ermöglicht.[10]
V. Zusammengefasst muss in Zusammenhang mit der Vereinbarung von Home-Office eine spezifische Regelung für den Datenschutz am Heimarbeitsplatz getroffen werden. An die Mitarbeiter sind präzise Weisungen zu richten, wie Datenschutzverletzungen am Telearbeitsplatz vermieden werden können. Nach Möglichkeit ist den Mitarbeitern vom Arbeitgeber die IT-Infrastruktur zur Verfügung zu stellen und ist durch den Einsatz geeigneter Software der technische Datenschutz sicherzustellen. Schließlich sind Regelungen betreffend den Speicherort von personenbezogenen Daten zu treffen, eine strikte Trennung von privaten Daten des Arbeitnehmers und betrieblichen Daten ist sicherzustellen.
Bitte beachten Sie den Haftungsausschluss
[1] Nicht zu verwechseln mit der gesondert geregelten und kaum praxisrelevanten „Heimarbeit“ nach dem Heimarbeitsgesetz 1960, BGBl. Nr. 105/1961 idF BGBl. I Nr. 61/2018.
[2] BGBl II 107/2020.
[3] BGBl II 98/2020, in der Form BGBl II 108/2020.
[4] Etwa im Beamtendienstrecht, vgl § 36a Beamten-Dienstrechtsgesetz 1979.
[5] Bundesgesetz vom 11. Dezember 1969 über die Regelung der Arbeitszeit (Arbeitszeitgesetz) (AZG), BGBl. Nr. 461/1969 idF BGBl. I Nr. 100/2018.
[6] Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).
[7] Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG).
[8] Arbeitsverfassungsgesetz. Bundesgesetz vom 14. Dezember 1973 betreffend die Arbeitsverfassung (ArbVG) BGBl. Nr. 22/1974 idF BGBl. I Nr. 16/2020.
[9] Arbeitsvertragsrechts-Anpassungsgesetz – AVRAG, BGBl. Nr. 459/1993 idF BGBl. I Nr. 16/2020.
[10] Ab einer besonderen Intensität der Überwachung wird man sogar davon ausgehen können, dass solche Kontrollmaßnahmen absolut unzulässig sind, vgl Binder in Tomandl (Hrsg), Arbeitsverfassungsgesetz (11. Lfg 2013) zu § 96 ArbVG Rz 81 mwN.