Die Arbeit aus dem Homeoffice erhöht das Risiko von Verletzungen von Geschäftsgeheimnissen und Datenschutzverstößen. Unternehmen müssen daher besondere Schutzmaßnahmen in einem Homeoffice-Schutzkonzept vorsehen, um Bußgelder und Haftungsfälle zu vermeiden.
Homeoffice-Pflicht in Deutschland
Mit der Corona-Arbeitsschutzverordnung wurde am 27.01.2021 in Deutschland auch eine Homeoffice-Pflicht eingeführt. Arbeitgeber müssen ihren Mitarbeitern seitdem die Möglichkeit bieten, statt am Arbeitsplatz im Unternehmen aus dem Homeoffice zu arbeiten. Ganz generell müssen Unternehmen auch für einen angemessenen Geschäftsgeheimnis- und Datenschutz sorgen. Tun sie das nicht, können sie haften, wenn Geschäftsgeheimnisse von Geschäftspartnern an Dritte gelangen. Ebenso besteht ein Haftungsrisiko und die Gefahr eines Bußgelds sowie Reputationsschäden, wenn es zu Datenschutzverstößen kommt. Auch im Homeoffice arbeiten Mitarbeiter mit sensiblen Daten und Geschäftsgeheimnissen. Im Homeoffice bestehen aber höhere Risiken, dass es zu den beschriebenen Vorfällen kommt. Telefonate können leichter von Dritten mitgehört werden. Vertrauliche Papierdokumente werden vielleicht nicht sicher verwahrt und auch nicht rechtskonform entsorgt. Um diese erhöhten Risiken aufzufangen, müssen Unternehmen besondere Schutzmaßnahmen bei der Arbeit aus dem Homeoffice vorsehen. Dies betrifft gerade auch technische Maßnahmen, wie z.B. die Sicherstellung der IT-Sicherheit. Wenn das unterbleibt, sind die Unternehmen dem beschriebenen Haftungs- und Bußgeldrisiko ausgesetzt. Zudem können auch nicht auseichend gesicherte Geschäftsgeheimnisse und damit Wettbewerbsvorteile verloren gehen.
Angemessene Schutzmaßnahmen
Die besonderen Schutzmaßnahmen, die Unternehmen ergreifen müssen, um Datenschutzverstöße und Geheimnisverletzungen im Homeoffice zu verhindern, sind auf die besonderen Risiken im Homeoffice abzustimmen.
Die auf technischer Ebene zu treffenden Schutzmaßnahmen sind ein wichtiger Teil des Maßnahmenbündels. Mitarbeiter sollten verpflichtend und ausschließlich vom Arbeitgeber zur Verfügung gestellte technische Betriebsmittel wie z.B. Mobiltelefone und Computer/Laptops einsetzen. Sinnvoll ist eine Remote-Wartung mit ständiger und automatischer Aktualisierung der IT-Systeme. Zudem sollte eine automatische Verschlüsselung von Datenträgern erfolgen, auf denen geschäftliche Informationen gespeichert werden. Sinnvoll ist, dass nicht vom Unternehmen gestellte Speichermittel systemseitig gesperrt werden und so nicht benutzt werden können. Auch der Zugriff auf und die Druckbarkeit von Dokumenten sollte beschränkt werden. Selbstverständlich ist – das gilt nicht nur für die Arbeit aus dem Homeoffice – die Vorgabe eines starken Passwortschutzes, ggfs. einer Zwei-Faktor-Authentifizierung, sinnvoll.
Neben Schutzmaßnahmen auf technischer Ebene ist aber auch an Schutzmaßnahmen auf zwei weiteren Ebenen – der rechtlichen und der organisatorischen – zu denken:
Beispiele für Schutzmaßnahmen auf rechtliche Ebene:
Arbeitsvertragliche Regelungen bzw. eine Betriebsvereinbarung sollten zu erhöhter Sorgfalt bei der Arbeit aus dem Homeoffice verpflichten. Konkrete Pflichten wie das Sperren des Computers beim Verlassen des Platzes sind dabei vorzusehen. Diese Pflichten sollten vertraglich auch an Dritte weitergegeben werden. Mit Dienstleistern sind erforderliche Datenschutzvereinbarungen abzuschließen. Die Einbindung des Betriebsrats bei rechtlichen, aber auch technischen und organisatorischen Maßnahmen, muss gemäß den gesetzlichen Anforderungen gewährleistet sein.
Beispiele für Schutzmaßnahmen auf organisatorischer Ebene:
Empfehlenswert ist die Erstellung konkreter Arbeitsanweisungen zum Verhalten im Homeoffice. Dabei sollte unter anderem vorgesehen werden, dass Mitarbeiter Dokumente nicht in den Hausmüll oder den Altpapiercontainer geben dürfen, sondern diese rechtskonform entsorgen müssen. Ein Konzept zur Entsorgung sollte dem Mitarbeiter an die Hand gegeben werden. Ähnliches gilt für Vorgaben bezüglich des Transports von Daten zwischen Büro und Homeoffice.
Zu beachten ist, dass es keine Allgemeinlösung dafür gibt, welche konkreten Schutzmaßnahmen zu treffen sind. Vielmehr kommt es auf die Geschäftstätigkeit des Unternehmens, die Umstände der Arbeit im Allgemeinen und die Gegebenheiten im Homeoffice an. Da diese Faktoren von Unternehmen zu Unternehmen unterschiedlich sind, sind die konkret zu treffenden Schutzmaßnahmen auch individuell. Unternehmen sollten daher ein spezifisches Homeoffice-Schutzkonzept entwickeln und implementieren.
Individuelles Homeoffice-Schutzkonzept
Wenn man es genau nimmt, müssten Unternehmen für jedes sensible Datum und jedes Geschäftsgeheimnis individuell passende Schutzmaßnahmen vorsehen. Bei der Vielzahl an sensiblen Daten und Geschäftsgeheimnissen in einem Unternehmen wäre dies aber mit Blick auf den Aufwand nicht praktikabel.
Vor diesem Hintergrund ist Unternehmen zu empfehlen, mit einer Kategorisierung und einem Homeoffice-Schutzkonzept zu arbeiten. Die Umsetzung des Konzepts erfolgt in drei Schritten:
-
Bestandsaufnahme: Im ersten Schritt sind die im Unternehmen vorhandenen sensiblen (insbesondere personenbezogenen) Daten und Geschäftsgeheimnisse möglichst komplett zu identifizieren. Die identifizierten Daten und Geschäftsgeheimnisse sind nach Wichtigkeit und bestehender Risikolage zu kategorisieren. Bereits bestehende Schutzmaßnahmen sind auf Defizite zu überprüfen.
-
Schutzkonzept: Für jede Kategorie von sensiblen Daten und Geschäftsgeheimnissen ist – gemessen an der bestehenden Wichtigkeit und Risikolage – ein individuelles und passendes Bündel an Schutzmaßnahmen auszuarbeiten. Die Kategorisierung bildet zusammen mit der Gesamtheit der vorgesehenen Maßnahmenbündel das Homeoffice-Schutzkonzept. Dieses ist bestmöglich im Unternehmen zu implementieren.
-
Check-up: Gerade technische Anforderungen ändern sich ständig. Seien es Verschlüsselungstechnologien oder Standards zur sicheren Übertragung von Dateien. Aber auch rechtliche Anforderungen sind – durch Gerichtsentscheidungen und neue Gesetze und Vorschriften – im stetigen Wandel. Das Homeoffice-Schutzkonzept ist ein dynamisches System. Eine regelmäßige Überprüfung und Aktualisierung des Schutzkonzepts ist zwingend. Ansonsten wäre das Schutzkonzept in Kürze schon wieder überholt. Die Überprüfungszeiträume sollten angemessen gewählt werden und keine zu großen Zeitabstände vorsehen.
Awareness
Zur Vermeidung von Bußgeldern und Haftungsfällen ist die frühzeitige Ausarbeitung und Implementierung eines Homeoffice-Schutzkonzepts essenziell. Mindestens genauso, wenn nicht gar noch wichtiger, ist aber die Schaffung des Bewusstseins bei den Mitarbeitern zu den erhöhten Risiken bei der Arbeit aus dem Homeoffice. Durch Schulungen, Informationsschreiben und individuelle Hinweise kann eine „Awareness“ geschaffen werden, die den Mitarbeitern dabei hilft, Risiken zu erkennen und eigenständig und verantwortungsbewusst abzuwenden.
Autoren:
Dr. Michael Kraus ist Rechtsanwalt und Partner der Wirtschaftskanzlei CMS Deutschland am Standort Stuttgart. https://cms.law/de/deu/
Er berät und vertritt Unternehmen im IT- und Datenschutzrecht. Schwerpunkt seiner Beratung sind neue Geschäftsmodelle im Bereich Digital Business. Sein Fokus liegt auf den IT-rechtlichen Aspekten von Zukunftstechnologien, etwa Industrie 4.0, FinTech, Internet of Things, Connected Cars und Big Data. Er hat sich zudem auf die Vertragsgestaltung bei IT- und Outsourcing-Projekten spezialisiert und ist hier vor allem für Unternehmen der Finanz- und Versicherungswirtschaft sowie der Automobilindustrie tätig.
Alexander Leister ist Rechtsanwalt und Counsel der Wirtschaftskanzlei CMS Deutschland am Standort Suttgart. https://cms.law/de/deu/
Alexander Leister berät umfassend im gewerblichen Rechtsschutz und Wettbewerbsrecht. Schwerpunkte seiner Tätigkeit sind dabei unter anderem die strategische Beratung und Prozessführung zu technischen Fragestellungen, insbesondere Patentstreitigkeiten und Arbeitnehmererfindungen. Er unterstützt Unternehmen bei der Verhandlung von Lizenzverträgen, Forschungs- und Entwicklungsverträgen sowie Kooperationsverträgen im technischen Bereich ebenso wie bei der Sicherstellung ihrer technischen Compliance.