Der Arbeitsalltag im Homeoffice: Was darf ich, was muss ich und was nicht?

Ein Gastbeitrag der STBNH§CKR Peter Hense und Maria Fetzer / spiritlegal.com

In diesem Jahr war vieles anders: Mitarbeiter haben ihr Büro in die eigenen vier Wände verlagert, Arbeitgeber und Arbeitnehmer mussten gleichermaßen in Windeseile umdenken, Prozesse und Projekte auf die Arbeit aus dem heimischen Wohnzimmer umstellen sowie Kind und Kegel unter einen Hut bekommen. Der neue Alltag als permanente Stubenhocker stellt alle Beteiligten vor organisatorische Herausforderungen und zehrt an der Gelassenheit. 

Doch welche rechtlichen Vorgaben gelten im Hinblick auf die Arbeit im Homeoffice? Welche Regeln sind von Arbeitgebern und Arbeitnehmern beim Einsatz von Video-/Chat-Tools, BYOD etc. zu beachten? 

In diesem Blogbeitrag geben Rechtsanwalt Peter Hense und Rechtsanwältin Maria Fetzer Antworten auf diese Fragen, damit Sie im Dschungel der rechtlichen Regelungen den Durchblick behalten.

I. Homeoffice, mobiles Arbeiten & Co: Gibt es ein Recht auf Homeoffice und Remote Work?

Waren es früher das Gehalt, die Höhe der Bonuszahlungen oder die Menge der Urlaubstage, die Mitarbeiter bei der Auswahl ihrer Arbeitsstelle in die Waagschale warfen, so kommt mittlerweile der arbeitsorganisatorischen Flexibilität in Form von Homeoffice-Tagen entscheidende Bedeutung zu. Die Möglichkeit, von zu Hause oder einer beliebigen Traumdestination aus arbeiten zu können, bietet viele Vorteile für Arbeitnehmer – wenngleich nicht jeder Arbeitgeber von Remote Work überzeugt ist: Der Glaube, dass Arbeit effizient und profitabel nur lokal erbracht werden kann ist genauso verbreitet wie die Sorge vor dem Verlust der Kontrolle über die eigenen Mitarbeiter. 

Die Covid-Krise zwingt jedoch zur Entscheidung: Sicherstellung der Arbeitsfähigkeit sowie Eindämmung des Infektionsgeschehens haben Vorrang vor „cheflichen“ Befindlichkeiten. Ein Drahtseilakt. 

Doch kann man als Arbeitnehmer überhaupt ein Recht auf Remote Work gegenüber seinem Arbeitgeber einfordern und wenn ja, wie?

Die Antwort lautet: Ja, das geht schon. Vor nicht allzu langer Zeit im Oktober 2020 war ein Gesetzesentwurf des Bundesministeriums für Arbeit und Soziales (BMAS) zum „Mobile-Arbeit-Gesetz – MAG“ in aller Munde, der ein gesetzlich verankertes „Recht auf Homeoffice“ für Mitarbeiter zum Inhalt hatte. Dabei blieb es zunächst, da eine geplante Ressortabstimmung scheiterte: Zu weit waren die Positionen der unionsgeführten Ressorts und das sozialdemokratische BMAS voneinander entfernt. Der überarbeitete Entwurf verzichtet auf eine ausdrückliche gesetzliche Verankerung des Anspruchs. Es bleibt somit gesetzlich erst einmal beim puren Willen, mobiles Arbeiten zu fördern, ohne dass sich dieser Wille bisher in konkreten rechtlichen Verpflichtungen für Arbeitgeber niedergeschlagen hätte. 

Doch auch nach geltendem Recht haben Arbeitgeber und Arbeitnehmer bereits die Möglichkeit, die Tätigkeit im Homeoffice wirksam über eine entsprechende arbeitsvertragliche Vereinbarung zu regeln oder aber über eine entsprechende Betriebsvereinbarung zwischen dem Arbeitgeber und dem Betriebsrat. Auch Vorgaben des Arbeitsschutzes können mittelbar dazu führen, dass eine Tätigkeit nicht anders als remote erbracht werden kann. 

Der Arbeitnehmer ist nach geltendem Recht jedoch nicht berechtigt, die Arbeitstätigkeit selbst nach eigenem Ermessen und ohne Zustimmung des Arbeitgebers in die eigenen vier Wände zu verlagern, da der Arbeitgeber Inhalt, Durchführung, Zeit und Ort der Tätigkeit durch sein Weisungsrecht festlegen kann. Die gesetzlichen Regelungen der §§ 611 a BGB, 106 GewO bleiben im Kern unangetastet. 

Wer Remote Work als Arbeitgeber oder Arbeitnehmer übergangsweise vereinbaren möchte, sollte entsprechende Absprachen schriftlich dokumentieren. Beide Seiten gewinnen so Planungssicherheit und Arbeitgeber können bei einem freiwilligen Entgegenkommen den Folgen einer „betrieblichen Übung“ vorbeugen. Denn wenn bestimmte Verhaltensweisen regelmäßig angewandt und wiederholt werden, so sieht das Recht vor, dass aus dieser Handlungspraxis Rechtsansprüche der Arbeitnehmer erwachsen können, ohne dass es z. B. auf die pandemische Notlage ankäme.

II. Datenschutzrechtliche Grenzen

Bei der Arbeit im Homeoffice bzw. Remote Work wird der Arbeitgeber nicht durch die unsichtbare Hand des Marktes von den rechtlichen Vorgaben befreit, die das Arbeitsleben im Büro üblicherweise begleiten. „Verantwortlicher“ für die Einhaltung aller datenschutzrechtlichen Vorgaben ist und bleibt der Arbeitgeber, ganz egal, wo sich seine Arbeitnehmer zur Arbeit einfinden. Datenschutzrechtlichen Organisations- und Dokumentationspflichten greifen uneingeschränkt auch für die Zeit, die Mitarbeiter im im Café, im Hotel oder in der heimischen Stubenecke verbringen. Das heißt: Verschuldet der Mitarbeiter zu Hause eine Datenpanne, z. B. weil Dokumente mit sensiblen personenbezogenen Daten gestohlen werden oder fängt sich der Arbeitnehmer auf seinem Rechner zuhause Malware ein, die das Firmennetzwerk infiltriert, bedeutet dies nicht nur einen unangenehmen Imageschaden für das Unternehmen sondern hat rechtliche Konsequenzen. Die Pflicht zur Meldung von Datenlecks gilt auch für den privaten Laptop, wenn dieser für betriebliche Aufgaben genutzt wird. Versicherungen zahlen nicht, wenn die IT-Sicherheit der Mitarbeiter im Homeoffice missachtet wird und wenn darüber hinaus auch Kunden- oder Mitarbeiterdaten abhandenkommen, so stehen Schadensersatzansprüche im Raum. 

Zur Einhaltung von Compliance ist es daher unabdingbar, entsprechende technische und rechtliche Vorkehrungen für Remote Work zu treffen.

Das Datenschutzrecht, wie z. B. das deutsche Bundesdatenschutzgesetz (BDSG) und die Datenschutzgrundverordnung (DSGVO) liefern hilfreiche Anhaltspunkte für die Do´s and Dont´s beim Thema Homeoffice, sofern der Mitarbeiter von zu Hause aus auf personenbezogene Daten von Kunden, Patienten oder Firmenpartnern zugreift, E-Mails verfasst oder Dokumente öffnet. Dabei sollten nicht nur die hierfür eingesetzten IT-Systeme auf den aktuellen Stand gebracht werden, saubere VPNs und Firewalls eingesetzt werden sowie sonstige informationstechnische Schutzmaßnahmen ergriffen werden – zu einer umfassenden datenschutzrechtlichen Absicherung gehört weit mehr.

Den Ton in Bezug auf die datenschutzrechtlichen Anforderungen geben insbesondere die Artikel 24 bis 32 DSGVO an. Hier sind die Vorgaben für die „technischen und organisatorischen Maßnahmen“ definiert, die vom Verantwortlichen, d. h. vom Arbeitgeber und diesem unterstellten Mitarbeiter, sicherzustellen und zu dokumentieren sind. 

Auch wenn nicht jeder Remote Worker haupt- oder nebenberuflich als versierter IT-Profi arbeitet, sollten dennoch die folgenden grundsätzlichen Maßnahmen beachtet werden, um Cyberangriffen, datenschutzrechtlichen Sicherheitsrisiken sowie Datenpannen vorzubeugen:

• Gewährleistung der Vertraulichkeit und Verfügbarkeit der Daten (z. B. durch abschließbare Schränke, Sperrung der Notebooks bei Verlassen des Arbeitszimmers, Anbringen von Sichtschutzfolien, Clean-Desk-Policy etc.;
• Trennung zwischen dienstlichen und privat genutzten Geräten, Dokumenten und Ordnern (z. B. Einrichtung verschlüsselter VPN Zugänge, Remoteverbindungen, keine Privatnutzung dienstlicher Kommunikationskanäle/-geräte, es sei denn, dies ist explizit seitens des Arbeitgebers gestattet);
• Geeignete Entsorgung / Vernichtung von Dokumenten (keine Entsorgung von vertraulichen / datenschutzrechtlich relevanten Dokumenten, USB-Sticks etc. im Hausmüll, ggf. Erwerb von Aktenvernichtern mit entsprechender Sicherheitsstufe etc.);
• Konfiguration automatischer Sicherheitsupdates / regelmäßiges Patch Management, insbesondere auf Homeoffice-Geräten;
• Nutzung von Verschlüsselungstechniken nach Stand der Technik auf mobilen Speichermedien (USB-Sticks, externe Festplatten etc., z. B. BitLocker, Veracrypt);
• Starke Passwortvergabe (insb. bei Nutzung des heimischen Wi-Fi sowie mobilen Hotspots); 
• Implementierung von Zwei-Faktor-Authentifizierung für alle Accounts, die das ermöglichen;
• Sensibilisierung und Schulung der Mitarbeiter, insbesondere zu den Risiken durch Cyberangriffe, Phishing Attacken etc., denn die letzten Monate haben gezeigt, dass E-Mail-basierte Phishing-Attacken in Unternehmen immer schwerer durch Mitarbeiter zu erkennen sind. Wie weit man bei der Awareness-Schulung geht, muss jedes Unternehmen selbst entscheiden.
• Vermeidung der Kommunikation über unsichere Messenger-Dienste oder privat installierte Apps, wie z. B. WhatsApp; ggf. Umstellung auf andere Anbieter, wie z. B. Threema;
• Implementierung eines Mobile-Device-Managements; Erstellung von Übersichten zu dienstlich genutzten Endgeräten der Mitarbeiter / Mitarbeiter im Homeoffice;
• Nutzung pseudonymer Zugangskennungen, um Brute-Force-Attacken auf Logins sowie die Zuordnung von Accounts bei Phishing-Attacken zu erschweren;
• Etablierung von vertrauenswürdigen und kommunikativen zentralen Ansprechpartnern im Unternehmen, die Mitarbeiter bei datenschutzrechtlichen/informationstechnischen Fragen und Problemen unterstützen

u. v. m.

Im Übrigen können auch der Arbeitsvertrag, Unternehmensrichtlinien sowie Betriebsvereinbarungen individuelle Regelungen zum Umgang mit dienstlichen Dokumenten, Geräten und der betrieblichen Kommunikation im Allgemeinen beinhalten. Entsprechende Dokumente sollten daher ebenfalls geprüft und auf den aktuellsten Stand gebracht werden.

Zu diesen Maßnahmen verpflichtet übrigens nicht allein das Gesetz, sie ergeben sich in der Regel aus den Versicherungsbedingungen einer Betriebshaftpflicht-, IT-Sicherheits- oder Cybersecurityversicherung. Wer also Versicherungsschutz in Anspruch nehmen will, muss seinen Obliegenheitspflichten nachkommen, ansonsten hat das Unternehmen die Prämien an die Versicherung umsonst gezahlt, denn diese kann bei Obliegenheitspflichtverletzungen durch schlampige IT-Sicherheit und nachlässigen Datenschutz ihre Leistung auf null herabsetzen.

Unternehmen, die als Dienstleister für externe Dritte tätig sind und hierbei auch personenbezogene Daten der Auftraggeber verarbeiten, z. B. als IT-Dienstleister im Rahmen der Fernwartung, sollten zusätzlich die abgeschlossenen datenschutzrechtlichen Verträge prüfen. Diese enthalten häufig Klauseln, die Dienstleistern eine Tätigkeit im Homeoffice bzw. eine Verarbeitung personenbezogener Daten des Auftraggebers in den privaten Räumlichkeiten der Mitarbeiter sogar verbieten bzw. der vorherigen Zustimmung des Auftraggebers unterwerfen. Sollte dies der Fall sein und Sie als Unternehmen hiergegen verstoßen, besteht die Gefahr des Vertragsbruchs und Sie könnten sich ggf. sogar schadensersatzpflichtig machen. Wenn der Entry Point eines Verschlüsselungstrojaners dann auch noch ein solcher Remote-Work-Arbeitsplatz des Dienstleisters war, können Regressansprüche aus den weiterfressenden Schäden jeden Dienstleister ruinieren. Neben einem effektiven Contract Management und der Mitarbeiterschulung ist auch der Abschluss einer Vertraulichkeitsverpflichtung mit den eigenen Mitarbeitern erforderlich, um als Dienstleister die Verpflichtung zur Gewährleistung der Sicherheit der Verarbeitung (Art. 28 und 32 DSGVO) nachweislich zu erfüllen.

III. Compliance – Organisation

Zusätzlich zu den bisher dargestellten Szenarien und gesetzlichen Pflichten bestehen für Arbeitgeber im Hinblick auf die Gewährung von Homeoffice weitere Risiken, die aus Compliance-Gesichtspunkten in Unternehmen einer besonderen Prüfung bedürfen:

1. Prüfung von Software-Lizenzbedingungen

Zum einen sollte beachtet werden, dass die im Unternehmen eingesetzte Software ggf. nicht für den Einsatz außerhalb der Betriebsstätte (Geschäftssitz des Unternehmens) lizenziert ist. Hier hilft ein Blick in die Software-Lizenzbedingungen, um unangenehme Überraschungen wie z. B. Vertragsstrafen, Zwangsaudits und erweiterte Lizenzgebühren zu vermeiden. 

2. Mitteilungspflichten

Darüber hinaus sollten Arbeitgeber auch an ihre vertraglichen Mitteilungspflichten gegenüber ggf. abgeschlossenen Betriebshaftpflicht- und/oder Cybersecurityversicherungen denken, sofern Mitarbeiter nunmehr z. B. über VPN-Zugänge arbeiten oder mittels verschiedenster Soft- und Hardware auf die Unternehmensinfrastruktur zugreifen. Dies hat unter Umständen auch Auswirkungen auf bestehende Versicherungspolicen.

3. Kostenerstattung für Mehraufwendungen

Die Einrichtung eines Homeoffice-Arbeitsplatzes kann schnell ins Geld gehen, sofern Arbeitgeber und Mitarbeiter nicht optimal auf die neue Situation vorbereitet sind. Es entstehen häufig Mehraufwendungen, z. B infolge erhöhter (Mobil-)Telefon- oder Internetkosten. Diese beruflich angefallenen Kosten werden seitens zahlreicher Arbeitgeber bereits über gezahlte Kostenerstattungen ausgeglichen. Hierbei ist zu beachten, dass gezahlte Kostenerstattungen an Arbeitnehmer wohl als sozialversicherungspflichtiges Entgelt zu werten sind, sofern seitens des Arbeitgebers eine Pauschale gezahlt wird. Dies sollte bei der Lohnabrechnung entsprechend ausgewiesen und berücksichtigt werden, da die unrichtige bzw. unvollständige Abrechnung ggf. zu einer Vorenthaltung sozialversicherungsrechtlich erheblicher Tatsachen führen kann, die strafbar ist, vgl. § 266 a Strafgesetzbuch (StGB). 

IV. Videokonferenzsysteme /-tools

Beim Thema Videokonferenzsysteme kochen die Gemüter hoch. Als im Frühjahr von einem auf den anderen Tag Meetings plötzlich nur noch online laufen konnten, war ein persönlicher Austausch nicht mehr möglich. Durch die neue Arbeitswelt getrieben schwemmten zahlreiche neue Anbieter auf den Markt und insbesondere Tools wie Zoom, Big Blue Button, Jitsi, MS Teams, Webex, GoToMeeting, erfreuten sich sehr großer Beliebtheit. Erst nach und nach kamen Zweifel und Kritik an jenen Tools und deren datenschutzrechtlicher Zulässigkeit auf. 

Bei der Nutzung von Videokonferenzsystemen externer IT-Dienstleister ist aus datenschutzrechtlicher Sicht zunächst zu berücksichtigen, dass die Anbieter in der Regel als Auftragsverarbeiter oder Joint Controller im Sinne von Art. 26 und 28 DSGVO agieren und ein entsprechender datenschutzrechtlicher Begleitvertrag abzuschließen ist. Dadurch, dass von den Anbietern ein vertraglicher „one size fits all“-Ansatz gelebt wird, entsprechen viele datenschutzrechtliche Vereinbarungen leider nicht europäischen Standards und lassen die gewerblichen Nutzer im Regen stehen. Hat das Unternehmen einen Betriebsrat und besteht keine gesetzliche oder tarifliche Regelung, so sollte auch ein Blick in die Regelung aus § 87 Absatz 1 Nr. 6 des Betriebsverfassungsgesetzes (BetrVG) geworfen werden, da es sich bei Videokonferenztools um technische Einrichtungen handelt, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Jetzt werden Sie sich fragen: „Moment, Überwachung ist doch gar nicht meine Absicht!“ – aber eben hierauf kommt es bei der Anwendung der gesetzlichen Vorschrift nicht an. Bereits die Geeignetheit des Tools für die Überwachung der Mitarbeiter ist ausreichend, um ein Mitbestimmungsrecht des Betriebsrats auszulösen.

Auch das Thema der Datenübermittlung in Länder außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraumes, sogenannte Drittländer, ist Gegenstand erbitterter Debatten. Ob der Einsatz von Videokonferenzanbietern aus Drittländern (USA, China, Russland etc.) im Rahmen eines Arbeitsverhältnisses überhaupt möglich ist, kann nur im Einzelfall beantwortet werden. Vor dem Einsatz von Videokonferenzsystemen  sollten Unternehmen vor allem die Datenschutzinformationen des jeweiligen Anbieters unter die Lupe nehmen, denn meist finden sich hier Informationen zu ggf. eingesetzten Drittanbietern aus Übersee bzw. der jeweiligen Verarbeitung personenbezogener Daten, z. B. von IP-Adressen, Browserinformationen, Inhaltsfiltern, Telemetrie- und Nutzungsdaten. Die Prüfung der Datenflüsse ist deshalb so wichtig, da Datenübermittlungen an Drittländer gemäß Art. 44 ff. DSGVO an gesteigerte Voraussetzungen geknüpft werden, vgl. Urteil des Europäischen Gerichtshofs in der Rechtssache C-311/18 („Schrems II“) vom 16.07.2020. Demnach ist eine Datenübermittlung nur zulässig, wenn entweder

• ein Angemessenheitsbeschluss der EU-Kommission vorliegt (Art. 45 DSGVO), oder
• geeignete Garantien vorgesehen werden (vgl. Art. 46 DSGVO), oder
• verbindliche interne Datenschutzvorschriften festgelegt worden sind (Art. 47 DSGVO), oder
• eine Ausnahme aus Art. 49 DSGVO (z. B. Vertragsdurchführung, informierte Einwilligung) eingreift.

Wie umfangreich diese Prüfverpflichtung und die für eine Datenübermittlung zu treffenden technischen und organisatorischen Maßnahmen sind, zeigt der 6-Phasen-Plan des Europäischen Datenschutzausschusses vom 10.11.2020. Da dies eher einer Mammutaufgabe gleicht, sollten sich Unternehmen über vergleichbare Anbieter auf europäischem Boden informieren, die ohne eine Datenübermittlung in Drittländer auskommen.

V. Arbeitsrechtliche Grenzen

Es gibt unzählige Vorgaben, die es im Zusammenhang mit der Entsendung der Mitarbeiter ins heimische Wohn-/Arbeitszimmer bzw. der Telearbeit zu beachten gilt. Uns ist jedoch bewusst, dass nicht jede Vorgabe auch für KMUs anwendbar und umsetzbar ist. Wir möchten daher für einige besonders wichtige Punkte sensibilisieren: 

1. Arbeitszeiterfassung 

Gerade in Zeiten der Pandemie kommt bei allen Berufstätigen organisatorisch viel zusammen: Kinder müssen nebenbei im Homeschooling unterrichtet werden, das eigene Zuhause wird zum Arbeitsplatz und der gewohnte Alltag ist auf einmal ein anderer. Die Arbeitszeiterfassung wird daneben aus der Erfahrung heraus eher stiefmütterlich behandelt – in vielen Unternehmen ist die „Vertrauensarbeitszeit“ das Wort der Stunde. 

Wie wichtig die Erfassung der tatsächlichen Arbeitszeit für Arbeitgeber und Arbeitnehmer ist, lässt sich insbesondere dem Umstand entnehmen, dass viele Arbeitnehmer im Homeoffice länger bzw. unregelmäßiger arbeiten oder die ggf. liegen gebliebene Arbeit an Sonn- oder Feiertagen nachholen. Nicht selten werden zudem nach 0 Uhr noch E-Mails beantwortet oder schnell noch Dokumente in der unternehmenseigenen Cloudumgebung hochgeladen. Dies kann sich jedoch nachteilig auf die Ruhezeit der Arbeitnehmer sowie die Sonn- und Feiertagsruhe (§ 9 ArbZG) auswirken:

Beispiel: Mitarbeiter X beantwortet um 2 Uhr morgens noch eine E-Mail. Da Arbeitnehmern nach Beendigung der täglichen Arbeitszeit eine ununterbrochene Ruhezeit von mindestens elf Stunden zu gewähren ist (vgl. § 5 Abs. 1 ArbZG), dürfte Mitarbeiter X am nächsten Tag erst ab 13 Uhr wieder tätig werden, sofern keine Ausnahmen nach § 5 Abs. 2 oder 3 ArbZG greifen.

Zwar sind im Hinblick auf die zu wahrende Sonn- und Feiertagsruhe gemäß § 10 ArbZG Ausnahmen möglich, sofern die Arbeiten nicht an Werktagen (dazu zählt auch der Samstag!) ausgeführt werden können, z. B. bei Tätigkeiten in Not- und Rettungsdiensten, im Gaststättengewerbe oder in Verkehrsbetrieben. Der normale „Schreibtischtäter“, der regulär im Homeoffice arbeitet, dürfte jedoch nicht unter diese Ausnahme fallen – deshalb ist hier Vorsicht geboten. Im Übrigen ist der Arbeitgeber rechtlich dazu verpflichtet, die Arbeitszeit der Mitarbeiter inkl. Überstunden zu erfassen (vgl. § 16 Abs. 2 Arbeitszeitgesetz; Urteil des Europäischen Gerichtshofs vom 14.05.2019 in der Rechtssache C-55/18) und für einen Zeitraum von mindestens zwei Jahren aufzubewahren. 

Sollten Arbeitgeber vorsätzlich oder fahrlässig gegen die zuvor genannten Pflichten verstoßen, stellt dies eine Ordnungswidrigkeit dar, die gemäß § 22 Absatz 1 Nr. 9 ArbZG mit einer Geldbuße von bis zu EUR 15.000,00 geahndet werden kann. 

2. Gefährdungsbeurteilung

Arbeitgeber haben darüber hinaus vor Aufnahme der Tätigkeiten durch den Mitarbeiter eine Beurteilung der Arbeitsbedingungen durchzuführen, sofern es sich beim Arbeitsplatz des Mitarbeiters um eine „häusliche Telearbeit“ nach § 1 Abs. 3 Arbeitsstättenverordnung (ArbStättV) handelt. Hierfür müsste der Arbeitgeber dem Mitarbeiter einen „Telearbeitsplatz“ eingerichtet haben (inkl. Zurverfügungstellung von Laptop, Smartphone, Mobiliar etc.) und eine entsprechende Vereinbarung mit dem Mitarbeiter abgeschlossen haben. Sollte dies der Fall sein, hat der Arbeitgeber festzustellen, ob Mitarbeiter Gefährdungen der Sicherheit und der Gesundheit beim Einrichten und Betreiben von Arbeitsstätten ausgesetzt sind und dabei auch die Arbeitsorganisation und Arbeitsabläufe berücksichtigen (§ 3 ArbStättV, §§ 3, 5 Arbeitsschutzgesetz). Da zahlreiche Mitarbeiter ihre Arbeitsplätze ins Homeoffice verlagert haben, ist nunmehr oft der heimische Arbeitsplatz die primäre Arbeitsstätte. Somit sollten Arbeitgeber genau prüfen, ob die Voraussetzungen für eine „häusliche Telearbeit“ (nicht identisch mit einem regulären Heimarbeitsplatz) vorliegen und die entsprechenden Maßnahmen ergreifen. 

Streng genommen könnte der Arbeitgeber diese Beurteilung somit nur zu gewährleisten, wenn ihm Zutrittsrechte in die eigenen vier Wände der Mitarbeiter eingeräumt werden. Allerdings ist hier das Grundrecht der Unverletzlichkeit der Wohnung aus Art. 13 Abs. 1 GG zu berücksichtigen, das Kontrollen durch den Arbeitgeber stark einschränkt. Daher ist zu empfehlen, den Mitarbeiter jedenfalls zu den Gegebenheiten des heimischen Arbeitsplatzes zu befragen und die geforderte Gefährdungsbeurteilung auf Basis dieser Informationsgrundlage zu erstellen.

3. Kontrollmechanismen des Arbeitgebers?

Häufig besteht im Zusammenhang mit der Arbeit im Homeoffice auch Verunsicherung, ob der Arbeitgeber z. B. die von ihm an die Mitarbeiter bereitgestellten Devices (Smartphone, Tablet, Laptop etc.) kontrollieren bzw. überwachen darf, z. B. aus Gründen der Leistungs- oder Missbrauchskontrolle. Dies ist jedoch aus datenschutz- und arbeitsrechtlichen Gesichtspunkten nur begrenzt möglich:

Werden Mitarbeiter bzw. die von ihnen genutzten IT-Systeme aus der Ferne „kontrolliert“, liegt hierin meist eine rechtfertigungsbedürftige Verarbeitung personenbezogener Daten. Zusätzlich spielen auch das allgemeine Persönlichkeitsrecht sowie das Grundrecht auf informationelle Selbstbestimmung des Arbeitnehmers eine Rolle, die vom Arbeitgeber bei der Durchführung von Kontrollmaßnahmen beachtet werden müssen. Generell gilt: Eine dauerhafte Überwachung unzulässig. Die heimliche Überwachung der Arbeitnehmer, z. B. durch den Einsatz eines Software-Keyloggers oder durch andere Verfahren, die z. B. das Surfverhalten der Arbeitnehmer kontrollieren, muss sich insbesondere an § 26 Abs. 1 S. 1, 2 BDSG messen lassen. Demnach sind nur solche Maßnahmen datenschutzrechtlich zulässig, die insbesondere für die Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich sind bzw. sofern ein durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung vorliegt. Es kommt somit hier auf eine Abwägung im Einzelfall an.

Auch die Einsichtnahme in (private) E-Mails, Browserverläufe oder Dokumente auf Dienstrechnern des Mitarbeiters ist nicht ohne weiteres möglich. Die Zulässigkeit arbeitgeberseitiger Kontrollbefugnisse hängt entscheidend davon ab, ob der Arbeitgeber die Privatnutzung der dienstlichen Endgeräte und/oder der dienstlichen E-Mailaccounts gestattet bzw. geduldet oder verboten hat. Sofern der Arbeitgeber die Privatnutzung der dienstlichen IT bzw. Accounts nicht verboten und die Mitarbeiter z. B. in einer IT-Richtlinie nicht auf die Trennung zwischen dienstlicher und privater Nutzung hingewiesen hat, gelten zudem nach Auffassung von Behörden und einigen Gerichten die Vorgaben aus dem Telekommunikationsrecht und die E-Mails unterfallen dem Schutz des Fernmeldegeheimnisses nach Art. 10 Grundgesetz (GG). Dies hätte zur Folge, dass der Arbeitgeber weder auf dienstliche noch private E-Mails zugreifen dürfte, da diese mangels Trennung nicht voneinander unterschieden werden können und das Verbot aus Art. 10 GG auch auf die dienstlichen E-Mails „durchschlägt“.

Um dies zu vermeiden ist es zu empfehlen, sich als Unternehmen möglichst frühzeitig mit der Regelung und den Folgen der Privatnutzung dienstlicher IT auseinandersetzen. Der Teufel steckt hier im Detail und auch der ggf. im Unternehmen eingerichtete Betriebsrat ist bei konkreten Nutzungsregelungen im Falle der erlaubten Privatnutzung oder technischen Kontrolleinrichtungen beizuziehen, vgl. § 87 Abs. 1 Nr. 1, Nr. 6 BetrVG.

VI. Fazit

Man darf gespannt sein, welche Blüten die Remote Work von Millionen Beschäftigten und die neuen Routinen innerhalb von Unternehmen in der kommenden Zeit tragen werden. Arbeitgeber sind gut beraten, sich die Regelung von Homeoffice-Vorgaben sowie der Privatnutzung dienstlicher IT durch Mitarbeiter so früh wie möglich aufs Tableau zu schreiben, um unangenehme Überraschungen sowie Haftungsrisiken zu vermeiden. Generell gilt: Arbeitnehmer sollten gemeinsam mit ihrem Arbeitgeber nach tragbaren Lösungen suchen, um arbeitspraktische Bedürfnisse und rechtliche Pflichten angemessen in Ausgleich zu bringen. Dies bietet nicht nur die Chance, als Team gestärkt aus der neuen Situation hervorzugehen, sondern sollte auch Anreiz sein, um bestehende, ggf. antiquierte Arbeitsprozesse zu verschlanken, zu aktualisieren und, wo dies mit Gewinn verbunden ist, zu digitalisieren.