Der Mobile Arbeitsplatz

In vielen Organisationen ist das Arbeiten im Homeoffice zur Regel geworden. Auch wenn die Arbeit im Homeoffice in Pandemiezeiten deutlichen Vorrang vor dem Mobilen Arbeiten von wo aus auch immer hatte, wird das in Zukunft nicht unbedingt so bleiben.

Die Zeitschrift c’t hat im Frühjahr 2021 einen schönen Artikel zu den Anforderungen für und an das Homeoffice herausgebracht. Ähnlich gelten die hier aufgeführten Regelungen auch für das Mobile Arbeiten, z.B. in einem Co-Working Space oder in einem Café.

Unterscheidung Homeoffice & Mobiles Arbeiten

Haufe hat eine – wie ich finde – schöne Unterscheidung zwischen diesen beiden Arbeitsformen gefunden. Beim Homeoffice ist die Erbringung der Arbeitsleistung an einem fest eingerichteten Arbeitsplatz außerhalb des Betriebs, typischerweise „in den eigenen vier Wänden“, gegeben. Dabei gilt:

  • Der Arbeitgeber hat dafür Sorge zu tragen, dass der Homeoffice-Arbeitsplatz den gleichen gesetzlichen Anforderungen genügt, wie der betriebliche Arbeitsplatz.
  • Der Arbeitnehmer ist bei der Homeoffice-Tätigkeit nicht frei in der Wahl seines nicht-betrieblichen Arbeitsplatzes, sondern muss die Arbeit von einem festen, geprüften Arbeitsplatz aus erledigen.

Unter Mobiler Arbeit ist die durch Zurverfügungstellung von mobilen Endgeräten eingeräumte Möglichkeit zu verstehen, die Arbeitsleistung an wechselnden Orten außerhalb des Betriebs zu erbringen (etwa im Zug, im Café, im Hotel oder auf dem Sofa). Der Arbeitnehmer muss hier lediglich seine Erreichbarkeit sicherstellen.

Natürlich sollte man sich im Vorfeld als Arbeitgeber darüber im Klaren sein, welche Form des Nicht-im-Betrieb-Arbeitens gewünscht ist und dann entsprechende (datenschutzrechtliche) Vorkehrungen treffen.

Verantwortung & Pflichten

Datenschutzrechtlich Verantwortlicher für die Datenverarbeitung im Homeoffice und bei der Mobilen Arbeit bleibt der Arbeitgeber. Daher sollten auch für Homeoffice bzw. die Mobile Arbeit verbindliche Regeln aufgestellt werden, an die sich alle betroffenen Mitarbeiter halten. Eine solche Vereinbarung sollte bestimmte Elemente enthalten… hier die – laut c’t – 10 „Gebote des Homeoffice“:

  • Nur notwendige Ausdrucke: Je weniger man ausgedruckt dabei hat und herumliegen lassen kann, desto höher ist die Gefahr, dass andere Einblick nehmen können.
  • Vernichtung von Daten: Gerade Papierdokumente sollten datenschutzkonform mit einem enstprechenden Schredder vernichtet und nicht im Hausmüll entsorgt werden.
  • Zugang: Unbefugte Dritte sollten keinen Zugang zu personenbezogenen Daten – ob analog oder digital – haben. Unterlagen daher bestenfalls wegschließen, Bildschirme bei der Arbeit so positionieren, dass niemand mitlesen kann oder eine Display-Folie verwenden.
  • Zugriff: Arbeitsgeräte sollten bei Nicht-Nutzung immer gesperrt und ein wirklich gutes Passwort verwendet werden.
  • Sichere Videokonferenzumgebung: Headsets nutzen, am besten nicht die Lautsprecher, bei denen andere mithören können.
  • Verschlüsselte Speicher: Daten auf Speichermedien (USB-Sticks, Festplatten, Notebooks) sollten grundsätzlich verschlüsselt werden. Hierzu gibt es Windows-Bordmittel oder separate Software.
  • Trennung beruflich und privat: Bestenfalls findet – so auch die Anforderung der DSGVO – keine Vermischung von beruflichen und privaten Daten statt. Das gilt auch für die Nutzung von Smartphones.
  • Authentifizierungsverfahren: Unbedingt starke Passwörter nutzen (min. 12 Zeichen, Groß- und Kleinschreibung, Sonderzeichen und Zahlen). Noch besser sind zwei-Faktor-Authentifizierungen. Auch das WLAN daheim sollte mit einem guten Passwort gesichert sein.
  • Regelmäßige Backups: Unbedigt klären, ob die mobile Infrastruktur auch für die zentralen Backups vorgesehen ist oder ob ein eigenes Backup vorgenommen werden muss.
  • Digitale Sprachassistenten: Diese sollten während der Mobilen Arbeit oder der Arbeit im Homeoffice ausgeschaltet sein.

Zentrale Administration

Am besten stellt der Arbeitgeber die mobilen Endgeräte (z.B. Laptop) zur Verfügung. Diese sollten dann auch – um einen gemeinsamen IT-Sicherheitsstandard aufrecht zu erhalten – zentral administriert werden (Berechtigungen, Passwortvergabe, Anti-Viren-Software, Backups, Proxy, Firewall etc.).

Zugänge zum internen Netzwerk müssen unbedingt verschlüsselt hergestellt werden – z.B. über einen VPN-Tunnel. Auch eine Transportverschlüsselung ist für den sicheren Datenaustausch wichtig.

Die Nutzung von privaten Endgeräten kann vom Arbeitgeber nicht ohne Weiteres verlangt werden. Der oder die Beschäftigte muss hierzu einwilligen. Bei Bring your own device (BYOD) sollte man sich unbedingt die Risiken in Sachen IT-Sicherheit bewusst machen und die IT vorher prüfen lassen, ob das Gerät über ausreichende Sicherheitsmaßnahmen verfügt.

Datenpannen & sensible Daten

Auch im Homeoffice gilt, dass Mitarbeiter unbedingt geschult und sensibilitsiert werden müssen bzgl. der Anforderungen an Datenschutz und IT-Sicherheit. Wenn doch mal eine Datenpanne während der Mobilen Arbeit passiert, gelten nämlich dieselben Regelungen wie vor Ort im Betrieb: Dokumentation der Vorfälle (am besten mit dem bestellten Datenschutzbeauftragten), Prüfung, ob ein (hohes) Risiko der Rechte und Freiheiten der Betroffenen besteht und falls ja, Meldung an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Kenntniserlangung sowie unter Umständen an den/die Betroffenen selbst.

Falls im Homeoffice oder bei der Mobilen Arbeit sensible Daten nach Art. 9 DSGVO verarbeitet werden (z.B. Gesundheitsdaten, personenbezogene Daten, aus denen rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen einer Person hervorgehen), steigen die Anforderungen an die technischen und organisatorischen Maßnahmen, die hier bereits besprochen wurden. Private Geräte sind hierbei dann z.B. tabu.

Verstöße

Wer als Arbeitgeber keine Regelungen zur Mobilen Arbeit oder zur Arbeit im Homeoffice aufstellt, muss mit Bußgeldern rechnen. Hieran ändert auch die Sondersituation der Pandemie nichts.

Wer als Arbeitnehmer die Regelungen des Arbeitgebers ignoriert, muss mit arbeitsrechtlichen Konsequenzen rechnen – zumindest, wenn der Arbeitnehmer sich beharrlich weigert, die Regeln zu befolgen.

Schreibe einen Kommentar