Aufgrund der Corona Pandemie arbeiten viele Arbeitnehmer im Homeoffice. Inwieweit sind Arbeitgeber für die Einhaltung des Datenschutzes verantwortlich?
Die Corona-Pandemie hat dazu geführt, dass Arbeit im Homeoffice immer gefragter ist. Dies gilt jedenfalls für Arbeiten, die im Büro anfallen Häufig geschieht dies, weil der Arbeitnehmer lieber im Homeoffice tätig ist, um sich keiner unnötigen Gefahr einer Ansteckung auszusetzen. Ebenso kommt es vor, dass dies auf Weisung des Arbeitgebers geschieht.
Hierbei ist allerdings zu bedenken, dass Arbeitnehmer im Rahmen ihrer Tätigkeit häufig personenbezogene Daten z.B. von Kunden verarbeiten. Hier stellt sich zunächst einmal die Frage, inwieweit der Arbeitgeber darauf achten muss, dass diese Daten außerhalb seiner Räumlichkeiten hinreichend geschützt werden.
Worauf müssen Arbeitgeber beim Datenschutz im Homeoffice achten?
Arbeitgeber müssen gleichwohl für die Einhaltung des Datenschutzes durch ihre Arbeitnehmer achten, soweit sie dafür als verantwortlich im Sinne der Datenschutzgrundverordnung (DSGVO) anzusehen sind. Dies ergibt sich aus Art. 24 Abs. 1 DSGVO. Hiernach muss der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen umsetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.
Wer wiederum Verantwortlich ist im Sinne dieser Vorschrift, folgt aus Art. 4 Nr. 7 DSGVO. Die Regelung enthält eine Definition des Verantwortlichen. Hiernach ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Bei Arbeitnehmern entscheidet normalerweise der Arbeitgeber darüber, auf welche Weise die personenbezogenen Daten durch seine Mitarbeiter verarbeitet werden. Dies ergibt sich daraus, dass er die jeweiligen Betriebsmittel zur Verfügung stellen muss. Im Gegensatz zu Selbstständigen brauchen Arbeitnehmer sich diese nicht zu beschaffen. Dieser Grundsatz gilt auch im Homeoffice. Dies ergibt sich etwa aus einem Urteil des Bundesarbeitsgerichtes vom 12.04.2011 - 9 AZR 14/10 und einem Urteil des Bundesarbeitsgerichtes vom 16.10.2007 - 9 AZR 170/07. Hieraus folgt zugleich, dass der Arbeitgeber normalerweise für die jeweiligen Kosten aufkommen muss, die mit der Nutzung dieser Betriebsmittel durch den Arbeitnehmer verbunden ist.
Welche konkreten Pflichten haben Arbeitgeber?
Welche Pflichten Arbeitgeber im Bereich des Homeoffice haben, dazu gibt es noch keine einschlägige Rechtsprechung. Sie müssen alles Zumutbare unternehmen, damit personenbezogene Daten etwa von Kunden nicht dem Zugriff Dritter preisgegeben werden. Hierzu ist es sinnvoll, dass der Arbeitgeber das Homeoffice einrichtet und den Rechner nebst Internetverbindung zur Verfügung stellt. Darüber hinaus sollte er dem Arbeitnehmer genaue Weisungen erteilen, wie der Arbeitnehmer mit personenbezogenen Daten zu verfahren hat. Er sollte etwa dazu verpflichtet werden, dass er diese auch gegenüber den Mitgliedern seiner Familie geheim hält und sich ausloggt, sobald er seinen Arbeitsplatz im Homeoffice verletzt. Darüber hinaus ist es wichtig, dass er beim Surfen im Internet mit dem Dienstrechner vorsichtig ist. Beispielsweise sollte der Download von illegaler Filesharing Software und anderer privater Software ausdrücklich auf dem vom Arbeitgeber zur Verfügung gestellten Rechner verboten werden. Darüber hinaus stellt das Klicken auf ihm unbekannte Links in E-Mails ein hohes Sicherheitsrisiko dar. Das Gleiche gilt für die Nutzung von sozialen Netzwerken wie Facebook über den dienstlich genutzten Rechner. So etwas sollte ebenfalls untersagt werden.
Fazit:
Arbeitgeber sollten ihre Pflichten in Bezug auf die Einhaltung des Datenschutzes im Homeoffice beachten. Nur dann habe sie eine Handhabe, um Arbeitnehmer bei konkreten Verstößen abzumahnen beziehungsweise zu kündigen. Darüber hinaus brauchen sie nicht zu befürchten, dass sie etwa von Kunden auf Schadensersatz in Anspruch genommen werden nach Art. 82 Abs. 1 DSGVO oder sie sich bei der Datenschutzaufsichtsbehörde des jeweiligen Bundeslandes beschweren auf Grundlage von Art. 77 DSGVO. In diesem Fall drohen Sanktionen wie hohe Bußgelder nach Art. 83 DSGVO.
Autor: Harald Büring, Ass. jur. (Fachanwalt.de-Redaktion)
Foto: © DOC RABE Media - Fotolia.com