Die Arbeit im Homeoffice ist für viele Menschen in Deutschland in den letzten Tagen zur Normalität geworden. Ganz ohne Zweifel kann es für die Betroffenen ein großer Vorteil sein, wenn sie von zuhause arbeiten können. Die Betreuung von Kindern lässt sich besser gewährleisten und die Ansteckungsgefahr im Hinblick auf den Coronavirus wird gesenkt, wenn der Gang ins Büro gemieden wird.
Aufgrund der hohen Geschwindigkeit der Verbreitung des Virus und den geänderten Rahmenbedingungen werden viele Unternehmen dabei aus nachvollziehbaren Gründen nicht die Möglichkeit gehabt haben, die rechtlichen Voraussetzungen für die Arbeit im Homeoffice umfassend zu prüfen. Insbesondere für Unternehmen, die als Auftragnehmer in einer Auftragsverarbeitung gemäß Art. 28 DSGVO tätig sind, könnte die Arbeit der eigenen Mitarbeiter im Homeoffice datenschutzrechtliche Probleme mit sich bringen. Dies kann bspw. IT-Dienstleister und Anbieter im Bereich Kundenservice betreffen.
Welche Probleme bestehen?
In Verträgen zur Auftragsverarbeitung wird dem Auftragnehmer nicht selten die Arbeit im Homeoffice ausdrücklich untersagt. Wenn nun die Mitarbeiter dennoch ins Homeoffice geschickt wurden, kommt es folglich zu einem Verstoß gegen diese vertraglichen Verpflichtungen. Weiter können sich Auftragnehmer in ihren Verträgen zur Auftragsverarbeitung auf technische und organisatorische Sicherheitsmaßnahmen verpflichtet haben, die im Homeoffice nicht eingehalten werden können oder es wurden dem Auftraggeber weitreichend Auditrechte zugestanden, die ebenfalls im Homeoffice nicht eingehalten werden können.
Was kann getan werden?
Es lohnt sich für Auftragsverarbeiter daher auf jeden Fall, geschlossene Verträge zur Auftragsverarbeitung auf dahingehende Vorgaben zu prüfen und ggf. in Abstimmung mit den jeweiligen Vertragspartnern zu gehen. Ziel sollte für den Auftragsverarbeiter sein, temporär von allen Pflichten und Verboten befreit zu werden, die eine Arbeit im Homeoffice erschweren oder ausschließen. Die Arbeit im Homeoffice sollte für die Dauer der Corona-Pandemie durch den Auftraggeber explizit erlaubt werden. Die Vertragsparteien könnten zudem ergänzende Sicherheitsmaßnahmen vereinbaren, die von den Mitarbeitern des Auftragnehmers im Homeoffice einzuhalten sind.
Solche Sicherheitsmaßnahmen könnten etwa folgende Punkte umfassen:
- Der Zugriff auf Unternehmensnetzwerke erfolgt nur über eine gesicherte VPN-Verbindung.
- Die VPN-Verbindung wird bei längerer Untätigkeit automatisch getrennt.
- Während der Verarbeitung dürfen sich nach Möglichkeit nur für die Verarbeitung berechtigte Personen in den Räumlichkeiten der Verarbeitung aufhalten. Die Räumlichkeiten sind durch geeignete Maßnahmen wie geschlossene Türen so zu sichern, dass ein unberechtigter Zugriff auf die Daten ausgeschlossen wird.
- Passwörter sind vor unberechtigter Kenntnisnahme zu schützen.
- Die verwendeten Endgeräte im Homeoffice werden bei Abwesenheit des Mitarbeiters gesperrt.
- Die Datenverarbeitung erfolgt auch im Homeoffice nicht auf privaten Endgeräten der Mitarbeiter und die Mitarbeiter dürfen auch im Homeoffice keine privaten mobilen Datenträger (USB-Sticks, Festplatten) verwenden.
- Die Festplatten mobiler Endgeräte werden verschlüsselt.
Streng datenschutzrechtlich betrachtet kann für die Vertragsparteien auch bei einer expliziten Erlaubnis und der Vereinbarung ergänzender Maßnahmen ein rechtliches Risiko verbleiben. Nach Ansicht der bayerischen Aufsichtsbehörde muss zumindest der Auftragnehmer als Arbeitgeber ein Kontrollrecht bei den Mitarbeitern am Ort der Datenverarbeitung (also im Homeoffice) haben. Eine solche Kontrolle des Homeoffice-Arbeitsplatzes setzt allerdings eine vertragliche Vereinbarung zwischen Arbeitgeber und Mitarbeiter voraus, die genau ein solches Kontrollrecht regelt. Hintergrund ist hier Art. 13 Grundgesetz – das Recht auf Unverletzlichkeit der Wohnung. Solche Vereinbarungen werden sich jetzt auf die Schnelle u.U. aber nicht rechtskonform schließen lassen.
Fazit:
Im Ergebnis sollten beide Vertragsparteien bei einer Auftragsverarbeitung ein Interesse daran haben, dass der Auftragnehmer auch in der aktuellen Lage seine Dienstleistung weiter erbringen kann. Auftraggeber sollten daher eine Entscheidung mit Augenmaß treffen, wenn der Auftragnehmer um eine temporäre Anpassung des Vertrags zur Auftragsverarbeitung bittet. Ebenso sollten Aufsichtsbehörden Augenmaß walten lassen, wenn es um die Bewertung der Arbeit im Homeoffice durch einen Auftragsverarbeiter geht.