Mobiles Arbeiten kommt immer mehr in Mode. Längst sind fortschrittliche Konzepte gefragt, die das Arbeiten zeitlich und örtlich flexibel gestalten lassen und die Arbeitswelt in naher Zukunft nachhaltig verändern können. Und auch im Arbeitsrecht stehen Anpassungen an.

Diese Mobilität wirft sowohl rechtliche als auch technische bzw. organisatorische Fragen auf. Neben der Klärung von arbeitsrechtlichen Voraussetzungen und Risiken müssen insbesondere technisch-organisatorische Mindeststandards im Unternehmen für eine reibungslose Umsetzung der mobilen Arbeit erreicht werden. Dies hängt maßgeblich von der Art der betroffenen (personenbezogenen) Daten sowie auch von der IT-Infrastruktur des Arbeitgebers ab. Denn nicht in allen Arbeitsfeldern ist das mobile Arbeiten möglich oder gewünscht. Die technisch-organisatorischen Anforderungen richten sich daher primär nach der konkreten Aufgabe im Unternehmen und der betroffenen Kategorie der (personenbezogenen) Daten: Je sensibler die betroffenen Daten, desto höher sollte der notwendige Schutzstandard sein.

Die arbeitsvertragliche und technisch-organisatorische Grundlage muss indes geklärt und geprüft worden sein, ehe dem Arbeitnehmer die freie Arbeitsgestaltung angeboten werden kann. Jedoch bieten flexible Arbeitszeiten auch Risiken für den Arbeitnehmer und dessen persönlichen Freiraum. Doch smarte Workflows und neue Zeitmodelle können die Vorteile des mobilen Arbeitens aufzeigen und in dem Arbeitsalltag effektiv gestalten lassen.

Allgemeine Regeln der technisch-organisatorischen Maßnahmen

Zunächst sind einige Grundvoraussetzungen zu beachten, die je nach Unternehmen individuell variieren können. Die Mitarbeiter sollten arbeitsvertraglich sowie durch zusätzliche Verträge/Verpflichtungserklärungen unter anderem auf das Datenschutzgeheimnis nach § 5 BDSG hin verpflichtet werden. Durch eine allgemeine Security Policy im Unternehmen müssen unternehmensweite Schutzvorkehrungen getroffen werden. Diese sollten unter anderem eine Passwort-Richtlinie, die automatische Bildschirmsperrung beim Verlassen des Raumes und grundsätzliche Hinweise/Merkblätter zum sicheren Umgang mit dem Computer vorsehen. Zusätzliche und regelmäßige Schulungen der Mitarbeiter und Awareness-Kampagnen sind empfehlenswert, um alle Beteiligte auf das Thema Datenschutz und Datensicherheit zu sensibilisieren und auf aktuelle Entwicklungen und Gefahren hinzuweisen.

Es sollte vorausgesetzt werden, dass der Mitarbeiter nur vom Arbeitgeber ausgehändigte Hardware (Laptop, Smartphone) nutzt und die Daten auf keine privaten Endgeräte oder Speichermedien (oder E-Mail-Konten) verschoben/kopiert werden. Ebenso sollten private Speicherträger (USB-Sticks) ausgeschlossen oder gar deren möglicher Einsatz gesperrt werden.

Für das mobile Arbeiten außerhalb von Büro und Wohnung sind gesonderte organisatorische Vorkehrungen zu treffen: Immerhin sollte der Arbeitsplatz nicht an jedem öffentlichen Platz eingenommen werden, wie z.B. im stark frequentiertem Café – und wenn, nur abgeschirmt mit dem Bildschirm zur Wand gerichtet. Durch die Beschränkung des Sichtfeldes (z.B. durch Display-Folien) sollte der Einblick durch Dritte auf das Display verhindert werden. Telefonate sollten in öffentlichen Räumen vermieden werden, solange Dritte theoretisch zuhören können.

Die elektronischen Arbeitsgeräte sollten indes nicht unbewacht gelassen werden. Dokumente und sonstige Arbeitsunterlagen sollten allein elektronisch auf der lokalen Festplatte oder im Netzwerk gespeichert werden und nicht als Papierakte oder handschriftliche Notizen in der Öffentlichkeit bei sich getragen werden.

Ein IT-Sicherheitskonzept ist zu entwickeln

Die Erwägungen führen unweigerlich zu einem allgemeinen IT-Sicherheitskonzept. Dies sollte mindestens folgende Maßnahmen vorsehen:

  • Die Festplatten des Laptops sind zu verschlüsseln.
  • Betriebssysteme und Anwendungen sind mit individuellen Logins zu versehen. Diese sollten sich nach einer Passwort-Richtlinie richten, die z.B. die regelmäßige Änderung des Passworts sowie Mindestvorgaben beinhaltet.
  • Rollenkonzepte sind zu entwickeln; der Benutzer auf dem Firmenrechner darf kein Admin sein. Auch sollte das 4-Augen-Prinzip bei der Rechtevergabe gelten.
  • Das Update-Management von Virenscanner, Spam-Filter und sonstigen Anwendungen sind zu regeln und klar zu definieren.
  • Sofern die Daten nicht ausschließlich lokal bearbeitet oder gespeichert werden sollen, bietet sich die Möglichkeit, dass sich der Mitarbeiter mit dem Firmennetzwerk verbindet. So kann er die Daten auf den Servern bzw. im Netzwerk speichern und auf interne Dokumente zugreifen. Hierfür ist jedoch eine sichere Verbindung (z.B. verschlüsselte VPN-Verbindung) zum Firmennetzwerk erforderlich. Idealerweise wird eine 2-Faktor-Authentifizierung (z.B. Passwort und Daumenabdruck / SMS-Code) bei dem LogIn zum Netzwerk oder bei einer Terminal-Lösung eingesetzt.
  • Das Arbeiten über Online-Anwendungen (z.B. Terminal-Lösung) bzw. im Firmennetzwerk setzt allerdings die ständige und schnelle Verbindung über das Internet voraus, hat aber auch den Vorteil des besseren Schutzes der Daten bei Verlust und der gemeinschaftlichen Bearbeitung und Einsichtnahme durch andere Mitarbeiter.
  • Notfallkonzepte (Backups, Zugriffe deaktivieren, Geräte löschen/sperren) sollten vorhanden sein und ständig aktualisiert bzw. geprüft werden.
  • Optional können die Endgeräte ferngesteuert und auf diese Weise Zugänge oder Daten gesperrt werden.

Arbeitsrechtliche Rahmenbedingungen

Die Grenzen des mobilen Arbeitens finden sich hierzulande unter anderem im Arbeitsrecht. So werden zwangsläufig folgende Fragen aufgeworfen:

  • Finden das Arbeitsschutzgesetz (ArbSchG) und die Arbeitsstättenverordnung (ArbStättV) auch im Homeoffice oder beim mobilen Arbeiten im Café oder Park ihrerseits Anwendung und was heißt das in der Konsequenz? Die ArbeitStättV setzt einen zuvor festgelegten, regelmäßigen Ort als Betriebsstätte voraus, was in der Regel bei ständig wechselnden Plätzen im Café, am See oder in der Bahn fehlt. Hingegen greift das ArbSchG auf Grund des weiten räumlichen Anwendungsfeldes in jedem Fall. Der Arbeitgeber hat sich daher um die erforderlichen Maßnahmen des Arbeitsschutzes beim Arbeitnehmer zu bemühen, was z.B. auch arbeitsmedizinische Vorsorgeuntersuchungen ermöglicht.
  • Welche Maßnahmen hat der Arbeitgeber zum Schutz der Sicherheit und Gesundheit des Angestellten zu treffen? Wie ist z.B. die Ausstattung mit angemessenen Arbeitsmitteln zu regeln, wie lautet aber auch eine „arbeitsplatzbezogene“ Gefährdungsbeurteilung? Dies ergibt sich aus spezialgesetzlichen Regelungen (wie z.B. das ArbSchG, BildschArbV usw.) und hängt von der konkreten Tätigkeit ab, die jeweilige Anforderungen an die Bildschirme oder technische Standards erzwingen.
  • Wie ist es mit Haftungsfragen und der Unfallversicherung? Das Arbeiten im Außeneinsatz sowie bei freier Wahl von Arbeitsort und -Zeit ist erheblich risikobehaftet, so dass in vielen Fällen die Unfallversicherungen nicht zahlen (z.B. beim Beinbruch im Homeoffice) oder entsprechende Policen erheblich teurer sind. Können Regelungen im Arbeitsvertrag flexible Arbeitszeiten (ein Arbeitszeitenkonto) vorsehen, so dass der Arbeitnehmer im rechtlich zulässigem Rahmen seine Tätigkeiten zu individuellen Zeiten erledigen kann und die aufwendeten Zeiten in der Summe der wöchentlichen /monatlichen Arbeitszeiten der klassischen Arbeit entspricht? Schließlich ergeben sich aus dem Arbeitszeitgesetz (ArbZG) strenge Vorgaben hinsichtlich der Ruhepausen, Ruhezeit und Höchstarbeitszeiten, auf deren Einhaltung der Arbeitgeber pochen sollte. Diese Vorgaben könnten allerdings bald aufweichen, zumindest wenn es nach den derzeitigen Plänen von der Bundesarbeitsministerin Andrea Nahles geht, die mit Arbeitszeitkonten flexiblere Arbeitszeiten zu erreichen versucht[1].

Vor diesem Hintergrund sollten die Gefahren der flexiblen Arbeitszeiteinteilung zu Lasten der Arbeitnehmer erörtert und im Arbeitsvertrag festgelegt bzw. beschränkt werden (Ausschluss der ständigen Bereitschaft rund um die Uhr), schließlich können die ständige Erreichbarkeit und flexible Arbeiten dem Arbeitnehmer auch unter einen psychischen Zwang setzen und im Widerspruch zu den vermeintlichen Ruhezeiten stehen.

Vorteile erkennen und nutzen

Die Vorteile der zeitlich und örtlich flexiblen Arbeit können in die Unternehmensstruktur integriert werden, was auch die Mitarbeiterzufriedenheit und Produktivität steigern kann.

Es bietet sich daher an, den Workflow an die mobile und zeitlich flexible Arbeit anzupassen, beispielsweise durch Workflow-Modelle mit „Status“-System im Intranet. Die arbeitsteiligen Schritte müssten transparent und intern kommuniziert werden. Dies setzt zentrale Einsatz-Tools, interne Kalender und Status-Pläne nebst Teambesprechungen voraus.

So kann beispielsweise der verbesserte Kundensupport elektronisch (nicht telefonisch) unter Berücksichtigung von einer erweiterten Erreichbarkeit /Abdeckung der Beratungsfelder oder Dienstleistungen erreicht werden. Projekte oder Dienstleistungen können an die individuellen Arbeitszeiten der Mitarbeiter angepasst und dadurch die agile Entwicklung oder Dienstleistung optimiert (beschleunigt) werden. Durch derartige Workflow-Systeme, ein Intranet und regelmäßige Team-Meetings (z.B. per Skype-Konferenz) sollte die Isolation des Einzelnen verhindert und die Teamarbeit gestärkt werden.

Das Unternehmen kann hierauf aufbauend – soweit rechtlich zulässig – Zeitkonten, Schichtpläne und eine Projektorganisation zur allgemeinen Kontrolle der Arbeitsleistung / Projektarbeit etablieren.

Fazit

Unter Abwägung der möglichen Risiken und unter Berücksichtigung der individuellen Gegebenheiten des einzelnen Aufgabenfeldes können die Vorteile des mobilen Arbeitens genutzt und in rechtlich zulässiger Weise umgesetzt werden. Der Datenschutz muss dabei kein Bremsklotz sein, sondern kann zu einem verbesserten Schutzstandard führen, der sich auf das gesamte Unternehmen ausweiten lässt.

[1] Vgl. „Weißbuch Arbeiten 4.0“, http://www.arbeitenviernull.de/dialogprozess/weissbuch.html (Stand: Nov. 2016).