Das Vordringen der mobilen Arbeit hat seinen Anteil daran, dass der Datenschutz im Arbeitsverhältnis zunehmend an Bedeutung gewinnt. Denn beim mobilen Arbeiten werden zusätzliche datenschutzrechtliche Risiken begründet. Auch wenn die Tätigkeit außerhalb des Betriebes erfolgt, hat der Arbeitgeber gleichwohl für einen angemessenen Schutz der personenbezogenen Daten Sorge zu tragen. Hierfür bedarf er – mehr noch als im Betrieb – der Unterstützung durch den Arbeitnehmer. Die entsprechenden Regelungen sollten dringend vertraglich festgehalten werden.
Im Rahmen der Corona-Pandemie haben viele Arbeitgeber ihre Arbeitnehmer kurzfristig ins Home-Office geschickt und teilweise umfassend mobiles Arbeiten ermöglicht – bis hin zum Arbeiten aus dem Ausland (vgl. hierzu Blog-Betrag vom 24. März 2021). Inzwischen ist das mobile Arbeiten für viele Firmen zum Alltag geworden. Auch der Bundesbeauftragte für den Datenschutz und Informationssicherheit meint, „der Datenschutz schließt mobiles Arbeiten nicht grundsätzlich aus“. Doch schon diese Formulierung lässt aufhorchen, und datenschutzrechtliche Aspekte verdienen offenkundig einer eingehenden Betrachtung.
Risikopotential und technische Maßnahmen
Das Risikopotential für den Verlust oder den Bruch der Vertraulichkeit von Daten durch mobiles Arbeiten ist groß. Ein sensibilisierter Blick zeigt, dass es sehr vielfältige Möglichkeiten gibt, wie es bei mobilem Arbeiten zu unbefugtem Zugriff auf personenbezogene Daten durch dritte Personen kommen kann. Ein solcher Zugriff wird in vielen Fällen einen nach Art. 33 DSGVO meldepflichtigen Datenschutzvorfall darstellen. Risiken, welche direkt durch die Nutzung technischer Arbeitsmittel (Laptop, Mobiltelefon etc.) verursacht werden, können meist durch Einstellungen und Konfigurationen reduziert oder ausgeschlossen werden (z.B. Verschlüsselung von Datenträgern und Verbindungen, Authentifizierung, passwortgeschützte Bildschirmsperre, Sperren von Schnittstellen). Auf viele Risiko-Faktoren hat der Arbeitgeber allerdings keinen direkten Einfluss. Hier können nur klare Regelungen und ggf. der Abschluss einer Zusatzvereinbarung helfen, die insbesondere folgende Aspekte beinhalten sollten:
Arbeitsort
Anders als bei der Tätigkeit im Home-Office wird bei mobilem Arbeiten dem Arbeitnehmer ermöglicht, faktisch von jedem Ort seine Arbeitsleistung zu erbringen. Auch ein Arbeiten an öffentlich zugänglichen Orten ist möglich (z.B. Café, Hotel, Ferien-Anlagen, Flughafen). Dritte Personen können in solchen Fällen bei Gesprächen mithören oder mitlesen. Diese Risiken können dadurch minimiert werden, dass der Arbeitnehmer sicherstellt, dass sich bei Telefonaten keine anderen Personen (sowohl fremde Personen als auch Familienangehörige) in Hörweite befinden oder keine Einsicht auf den Bildschirm oder die Unterlagen erlangen können (z.B. Platzwahl, Sichtschutzfolien). Ein vollständiger Schutz kann hierdurch freilich nicht erreicht werden. Nicht nur bei der Verarbeitung von besonders sensiblen Datenkategorien sollte der Arbeitgeber daher erwägen, den Arbeitnehmern konkrete Vorgaben zur Wahl des Arbeitsortes zu machen, bspw. dass diese Arbeiten nur hinter verschlossen Türen (Wohnung, Hotelzimmer, etc.) erbracht werden dürfen.
Ein datenschutzrechtlich positiver „Nebeneffekt“ ist, dass durch diese Maßnahmen gleichzeitig auch das Risiko verringert wird, dass der Arbeitgeber personenbezogene Daten Dritter verarbeitet (Ton- und Bilddaten). Dabei sollte auch berücksichtigt werden, dass nicht nur Personen mithören oder lesen können, sondern auch technische Einrichtungen. Neben der klassischen Überwachungskamera, die Unterlagen oder den Bildschirm erfassen, können auch sprachgesteuerte Smart-Geräte (Smartwatch, Smartspeaker etc.) oder digitale Assistenten (z.B. Alexa, Siri) „mithören“. Denn viele Smartgeräte analysieren die gesamte Unterhaltung, um bei Ansprache reagieren oder bessere Suchergebnisse präsentieren zu können. Auch in dem Fall erlangen Dritte von personenbezogenen Daten Kenntnis, sodass auch auf diese Aspekte bei der Wahl des Arbeitsorts geachtet werden sollte.
Aufbewahrungsort
Ein weiteres Risiko besteht darin, dass Datenträger beim mobilen Arbeiten zwingend aus der Sphäre des Arbeitgebers entfernt werden. Dabei ist zu berücksichtigen, dass Datenträger nicht nur Laptops, USB-Sticks usw. darstellen, die technisch gegen Zugriff gesichert und über ein Mobil Device Management gesteuert und ggf. gelöscht werden können. Trotz fortschreitender Digitalisierung arbeiten viele Unternehmen (auch) noch mit Papierunterlagen, die ebenfalls Datenträger sind. Direkte Einsicht kann hier verhindert werden, indem die Unterlagen in einer verschlossenen Tasche transportiert werden müssen. Aber bei Entwendung der Tasche besteht kein Schutz mehr vor einer Kenntnisnahme. Zudem kann selbst in den eigenen vier Wänden nicht verhindert werden, dass bspw. Familienmitglieder die Papierunterlagen einsehen. Daher empfiehlt sich die Aufbewahrung in einem verschlossenen und ggf. abschließbaren Schrank oder Raum.
Insgesamt sollte der Arbeitgeber beim mobilen Arbeiten – jedenfalls bei der Verarbeitung besonders sensibler Datenkategorien (Art. 9 Abs. 1 DSGVO, Bank- und Finanzdaten etc.) – eine elektronische Datenverarbeitung ohne Medienbruch vorschreiben. So wird verhindert, dass bestimmte Unterlagen in Papierform seine Sphäre überhaupt verlassen.
Kontrollrechte und Meldepflichten
Um der erhöhten Gefahr von Datenschutzverletzungen und der Verletzung von Meldepflichten zu begegnen, sollte der Arbeitnehmer nicht nur verpflichtet werden, diese unverzüglich beim Arbeitgeber anzuzeigen, sondern auch an Sensibilisierungsschulungen teilnehmen.
Der Arbeitgeber ist letztendlich dafür verantwortlich, dass die Regelungen des Datenschutzes und seine konkretisierenden Vorgaben beim mobilen Arbeiten eingehalten werden. Daher sollte er sich auch selbst von der Einhaltung überzeugen können. Soweit der Arbeitnehmer beim Mobilen Arbeiten (auch) aus dem Home-Office tätig ist, sollte er sich (und ggf. dem Datenschutzbeauftragtem) daher Kontroll- und Zutrittsrechte einräumen lassen. Da mit dem Arbeitnehmer in häuslicher Gemeinschaft lebende Personen dem Arbeitgeber den Zutritt verwehren können, ist darauf zu achten, dass diese Personen ebenfalls mit den Zutritts- und Kontrollmöglichkeiten einverstanden sind.
Fazit
Das mobile Arbeiten erfordert zwingend klare Regelungen zur Einhaltung des Datenschutzes. Diese Regelungen können durch eine Zusatzvereinbarung festgeschrieben werden, womit der Arbeitgeber zumindest zu einem gewissen Grad Einfluss auf die Organisation der Arbeit beim mobilen Arbeiten ausüben und datenschutzrechtliche Risiken minimieren kann. Da der Arbeitgeber daneben auch weitere gesetzliche Pflichten zu beachten hat (z.B. die Einhaltung der Arbeitszeit oder der Arbeitsschutzvorschriften, vgl. Blogbeitrag vom 25. Februar 2021), können die Datenschutzregelungen ggf. in eine umfassende Vereinbarung zum mobilen Arbeiten oder zur Nutzung des Home-Office eingebunden werden, deren Inhalt auch als Anlage im Rahmen einer Betriebsvereinbarung festgelegt werden kann. Denn Mitbestimmungsrechte des Betriebsrates sind selbstverständlich zu beachten.