open search
close
Arbeitsrecht 4.0 Datenschutz Mobile Working

Datenschutz und „Mobile Work“: Regelungen im Arbeitsvertrag festhalten

Print Friendly, PDF & Email

Das Vordringen der mobilen Arbeit hat seinen Anteil daran, dass der Datenschutz im Arbeitsverhältnis zunehmend an Bedeutung gewinnt. Denn beim mobilen Arbeiten werden zusätzliche datenschutzrechtliche Risiken begründet. Auch wenn die Tätigkeit außerhalb des Betriebes erfolgt, hat der Arbeitgeber gleichwohl für einen angemessenen Schutz der personenbezogenen Daten Sorge zu tragen. Hierfür bedarf er – mehr noch als im Betrieb – der Unterstützung durch den Arbeitnehmer. Die entsprechenden Regelungen sollten dringend vertraglich festgehalten werden.

Im Rahmen der Corona-Pandemie haben viele Arbeitgeber ihre Arbeitnehmer kurzfristig ins Home-Office geschickt und teilweise umfassend mobiles Arbeiten ermöglicht – bis hin zum Arbeiten aus dem Ausland (vgl. hierzu Blog-Betrag vom 24. März 2021). Inzwischen ist das mobile Arbeiten für viele Firmen zum Alltag geworden. Auch der Bundesbeauftragte für den Datenschutz und Informationssicherheit meint, „der Datenschutz schließt mobiles Arbeiten nicht grundsätzlich aus“. Doch schon diese Formulierung lässt aufhorchen, und datenschutzrechtliche Aspekte verdienen offenkundig einer eingehenden Betrachtung.

Risikopotential und technische Maßnahmen

Das Risikopotential für den Verlust oder den Bruch der Vertraulichkeit von Daten durch mobiles Arbeiten ist groß. Ein sensibilisierter Blick zeigt, dass es sehr vielfältige Möglichkeiten gibt, wie es bei mobilem Arbeiten zu unbefugtem Zugriff auf personenbezogene Daten durch dritte Personen kommen kann. Ein solcher Zugriff wird in vielen Fällen einen nach Art. 33 DSGVO meldepflichtigen Datenschutzvorfall darstellen. Risiken, welche direkt durch die Nutzung technischer Arbeitsmittel (Laptop, Mobiltelefon etc.) verursacht werden, können meist durch Einstellungen und Konfigurationen reduziert oder ausgeschlossen werden (z.B. Verschlüsselung von Datenträgern und Verbindungen, Authentifizierung, passwortgeschützte Bildschirmsperre, Sperren von Schnittstellen). Auf viele Risiko-Faktoren hat der Arbeitgeber allerdings keinen direkten Einfluss. Hier können nur klare Regelungen und ggf. der Abschluss einer Zusatzvereinbarung helfen, die insbesondere folgende Aspekte beinhalten sollten:

Arbeitsort

Anders als bei der Tätigkeit im Home-Office wird bei mobilem Arbeiten dem Arbeitnehmer ermöglicht, faktisch von jedem Ort seine Arbeitsleistung zu erbringen. Auch ein Arbeiten an öffentlich zugänglichen Orten ist möglich (z.B. Café, Hotel, Ferien-Anlagen, Flughafen). Dritte Personen können in solchen Fällen bei Gesprächen mithören oder mitlesen. Diese Risiken können dadurch minimiert werden, dass der Arbeitnehmer sicherstellt, dass sich bei Telefonaten keine anderen Personen (sowohl fremde Personen als auch Familienangehörige) in Hörweite befinden oder keine Einsicht auf den Bildschirm oder die Unterlagen erlangen können (z.B. Platzwahl, Sichtschutzfolien). Ein vollständiger Schutz kann hierdurch freilich nicht erreicht werden. Nicht nur bei der Verarbeitung von besonders sensiblen Datenkategorien sollte der Arbeitgeber daher erwägen, den Arbeitnehmern konkrete Vorgaben zur Wahl des Arbeitsortes zu machen, bspw. dass diese Arbeiten nur hinter verschlossen Türen (Wohnung, Hotelzimmer, etc.) erbracht werden dürfen.

Ein datenschutzrechtlich positiver „Nebeneffekt“ ist, dass durch diese Maßnahmen gleichzeitig auch das Risiko verringert wird, dass der Arbeitgeber personenbezogene Daten Dritter verarbeitet (Ton- und Bilddaten). Dabei sollte auch berücksichtigt werden, dass nicht nur Personen mithören oder lesen können, sondern auch technische Einrichtungen. Neben der klassischen Überwachungskamera, die Unterlagen oder den Bildschirm erfassen, können auch sprachgesteuerte Smart-Geräte (Smartwatch, Smartspeaker etc.) oder digitale Assistenten (z.B. Alexa, Siri) „mithören“. Denn viele Smartgeräte analysieren die gesamte Unterhaltung, um bei Ansprache reagieren oder bessere Suchergebnisse präsentieren zu können. Auch in dem Fall erlangen Dritte von personenbezogenen Daten Kenntnis, sodass auch auf diese Aspekte bei der Wahl des Arbeitsorts geachtet werden sollte.

Aufbewahrungsort

Ein weiteres Risiko besteht darin, dass Datenträger beim mobilen Arbeiten zwingend aus der Sphäre des Arbeitgebers entfernt werden. Dabei ist zu berücksichtigen, dass Datenträger nicht nur Laptops, USB-Sticks usw. darstellen, die technisch gegen Zugriff gesichert und über ein Mobil Device Management gesteuert und ggf. gelöscht werden können. Trotz fortschreitender Digitalisierung arbeiten viele Unternehmen (auch) noch mit Papierunterlagen, die ebenfalls Datenträger sind. Direkte Einsicht kann hier verhindert werden, indem die Unterlagen in einer verschlossenen Tasche transportiert werden müssen. Aber bei Entwendung der Tasche besteht kein Schutz mehr vor einer Kenntnisnahme. Zudem kann selbst in den eigenen vier Wänden nicht verhindert werden, dass bspw. Familienmitglieder die Papierunterlagen einsehen. Daher empfiehlt sich die Aufbewahrung in einem verschlossenen und ggf. abschließbaren Schrank oder Raum.

Insgesamt sollte der Arbeitgeber beim mobilen Arbeiten – jedenfalls bei der Verarbeitung besonders sensibler Datenkategorien (Art. 9 Abs. 1 DSGVO, Bank- und Finanzdaten etc.) – eine elektronische Datenverarbeitung ohne Medienbruch vorschreiben. So wird verhindert, dass bestimmte Unterlagen in Papierform seine Sphäre überhaupt verlassen.

Kontrollrechte und Meldepflichten

Um der erhöhten Gefahr von Datenschutzverletzungen und der Verletzung von Meldepflichten zu begegnen, sollte der Arbeitnehmer nicht nur verpflichtet werden, diese unverzüglich beim Arbeitgeber anzuzeigen, sondern auch an Sensibilisierungsschulungen teilnehmen.

Der Arbeitgeber ist letztendlich dafür verantwortlich, dass die Regelungen des Datenschutzes und seine konkretisierenden Vorgaben beim mobilen Arbeiten eingehalten werden. Daher sollte er sich auch selbst von der Einhaltung überzeugen können. Soweit der Arbeitnehmer beim Mobilen Arbeiten (auch) aus dem Home-Office tätig ist, sollte er sich (und ggf. dem Datenschutzbeauftragtem) daher Kontroll- und Zutrittsrechte einräumen lassen. Da mit dem Arbeitnehmer in häuslicher Gemeinschaft lebende Personen dem Arbeitgeber den Zutritt verwehren können, ist darauf zu achten, dass diese Personen ebenfalls mit den Zutritts- und Kontrollmöglichkeiten einverstanden sind.

Fazit

Das mobile Arbeiten erfordert zwingend klare Regelungen zur Einhaltung des Datenschutzes. Diese Regelungen können durch eine Zusatzvereinbarung festgeschrieben werden, womit der Arbeitgeber zumindest zu einem gewissen Grad Einfluss auf die Organisation der Arbeit beim mobilen Arbeiten ausüben und datenschutzrechtliche Risiken minimieren kann. Da der Arbeitgeber daneben auch weitere gesetzliche Pflichten zu beachten hat (z.B. die Einhaltung der Arbeitszeit oder der Arbeitsschutzvorschriften, vgl. Blogbeitrag vom 25. Februar 2021), können die Datenschutzregelungen ggf. in eine umfassende Vereinbarung zum mobilen Arbeiten oder zur Nutzung des Home-Office eingebunden werden, deren Inhalt auch als Anlage im Rahmen einer Betriebsvereinbarung festgelegt werden kann. Denn Mitbestimmungsrechte des Betriebsrates sind selbstverständlich zu beachten.

Dr. Oliver Vollstädt 

Rechtsanwalt
Fachanwalt für Arbeitsrecht
Partner
Oliver Vollstädt berät Arbeitgeber und Top-Füh­rungs­kräfte in allen Fragen des Arbeits­rechts. Sein besonderes Know-how liegt bei kol­lek­tiv­recht­li­chen Themengebieten mit den Schwer­punkten Restruk­tu­rie­rungsberatung, Ver­hand­lung von Sozi­al­plä­nen und haustariflichen Gestal­tun­gen. Ferner ist Oliver Vollstädt anerkannter Experte in arbeits- und daten­schutz­recht­li­chen Fragen zum Einsatz von IT-Systemen und neuen Medien am Arbeits­platz.
Verwandte Beiträge
Digitalisierung in Unternehmen Neueste Beiträge

Tipps für die Einführung komplexer IT-Systeme – Teil 1: Workday

Bei der Einführung komplexer IT-Systeme mit umfangreichen Beständen an personenbezogenen Daten ist die Wahrung der betrieblichen Mitbestimmung ein wichtiger Zeit- und Kostenfaktor. Dies gilt regelmäßig auch dann, wenn bereits eine IT-Rahmen-Betriebsvereinbarung vorhanden ist. Die Nutzungszwecke und der Umfang der Verhaltens- und Leistungskontrolle müssen hier von den Betriebsparteien regelmäßig konkret (ggf. in Abweichung von der Rahmenvereinbarung) justiert werden. Wir stellen in einer neuen Reihe von Beiträgen…
Individualarbeitsrecht Mobile Working Neueste Beiträge

Homeoffice, Telearbeit oder mobile Arbeit? – eine Abgrenzung

Flexible Arbeitsformen sind aus der heutigen Arbeitswelt kaum noch wegzudenken – und das erst recht seit der Corona-Pandemie. Trotz der Allgegenwärtigkeit dieses Themas gibt es nach wie vor Fallstricke, die es zu vermeiden gilt. Besonderes Augenmerk sollte beispielsweise auf die korrekte Differenzierung zwischen den – häufig synonym verwendeten – Begriffen mobiler Arbeit, Homeoffice und Telearbeit gelegt werden. Dabei handelt es sich um Begriffe, die nahezu…
Datenschutz Digitalisierung in Unternehmen Neueste Beiträge Video

Politisches Hin und Her um den Beschäftigtendatenschutz

Seit Oktober letzten Jahres hat es diverse Stellungnahmen für und gegen spezielle Regelungen für den Beschäftigtendatenschutz gegeben, die über die jetzige, sehr knapp gefasste Norm des § 26 BDSG hinausgehen sollen. Für solche Regelungen stimmen u.a. die Koalitionsvereinbarung der Regierungsparteien, ein vom BMAS eingesetzter Beirat und der DGB. Gegen weitere Regelungen stimmen die vom BMI durchgeführte Evaluierung des BDSG sowie jüngst ein Antrag des Freistaat…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert