Corona XIV: „Stay@home & Work@home“
27. März 2020 | Unternehmensrecht, Compliance, Arbeitsrecht, IT- und Datenschutzrecht
Der Schutz vor viraler Ausbreitung und epidemischen Gefahren: Mobile Arbeitsprozesse, Homeoffice und die Sicherung von Know-how und Daten
Der Fokus der Unternehmen ist in der derzeitigen Krisensituation verständlicher Weise auf die schnellstmögliche Umsetzung von „Erstehilfe-Maßnahmen“ und häufig sogar auf die eigene Existenzsicherung gerichtet. Gerade beim Einsatz unternehmensweiter, mobiler Arbeitsmethoden ist es wichtig, auch den Schutz von Geschäftsgeheimnissen und Daten im Blick zu behalten. Dabei existiert aktuell infolge von Notbesetzungen und massiver Arbeitsverdichtung sowie nicht zuletzt aufgrund der häufig noch nicht „geübten“ mobilen Arbeitspraxis ein gesteigertes Risiko von Missbrauchsfällen und Cyberkriminalität (wie z.B. Ransomewareangriffe).
Unternehmen ist dringend zu raten, im Rahmen ihres Risikomanagements verlässliche und vor allem verbindliche Regelungen für die mobile Arbeit der Mitarbeiter (m/w/d) und vor allem ein Bewusstsein für den Schutz von Geschäftsgeheimnissen und Daten zu schaffen.
So verlangt das Gesetz zum Schutz von Geschäftsgeheimnissen von Unternehmen angemessene – technische, organisatorische und rechtliche – Schutzmaßnahmen, sodass nur das geheim ist, was geheim gemacht wird (siehe hierzu auch unsere Blog-Beiträge vom 26.04.2019 unter: https://www.ksb-intax.de/blog/das-neue-geschaeftsgeheimnisgesetz-unternehmen-muessen-know-how-durch-angemessene-geheimhaltungsschutzmassnahmen-schuetzen/ und vom 22.11.2019 unter: https://www.ksb-intax.de/blog/neueeu-richtliniestaerktdenschutzvonwhistleblowernmiterheblichenauswirkungenfuercompliance-management-systemeunddenknow-how-schutzinunternehmen/.
Vereinbarungen, Richtlinien und sonstige Modelle sollten den mobilen Arbeitsprozess insbesondere hinsichtlich bestehender Risikoszenarien möglichst individuell bezogen auf das jeweilige Unternehmensinteresse abbilden und den „Rechte- und Pflichtenkatalog“ der Mitarbeiter (m/w/d) angemessen ausgestalten.
Die Gestaltung von mobiler Arbeit, Homeoffice & Co. betrifft natürlich u.a. die Erfassung und Einhaltung von Arbeitszeiten, Gefährdungsbeurteilungen, Anzeige-, Melde- und Nachweispflichten, Flexibilisierungsmöglichkeiten bei organisatorischen Veränderungen (wie z.B. durch sog. Versetzungsklauseln) sowie praktikable Herausgabemodalitäten im Fall der Beendigung und ist mit anderen Worten sehr facettenreich. Exemplarisch ist insoweit u.a. auch abzuwägen, ob das Ausdrucken von Daten und Informationen im Homeoffice erlaubt sein soll und wie die ausgedruckten Unterlagen dann ggf. zu behandeln /entsorgen sind. Zudem ist das Thema „Bring-Your-Own-Device“ („BYOD“) festzulegen, mithin, ob Mitarbeitern (m/w/d) eigene Gegenstände/Geräte, wie Drucker und die sonstige IT-Infrastruktur, bei der Erbringung der Arbeitsleistung nutzen dürfen. Der Regelungsinhalt kann sich auch hier relevant auf die Haftung des Arbeitgebers z.B. bei Verlust und Beschädigungen und ggf. auf den (bestehenden) Versicherungsschutz auswirken. Ggf. kann mitunter auch die Regelung angemessener Sanktionen/Vertragsstrafen im Einzelfall zielführend sein. In der heutigen Zeit sollten des Weiteren für den Umgang mit sozialen Medien und die Kommunikation über (definierte) Messenger-Dienste im beruflichen Kontext rechtliche „Leitplanken“ gesetzt werden, um zu verhindern, dass Informationen/Daten (ungewollt) aus dem „Büroalltag“ herausgetragen werden und ggf. sogar Geschäftsgeheimnisse verloren gehen.
So spielen insbesondere auch Regelungen zur Datensicherheit und allgemein technische Aspekte, die dem Schutz aller möglichen Arten von Daten dienen, eine entscheidende Rolle. Zentrales Ziel muss es dabei sein, die Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu schützen. Damit umfasst die Datensicherheit auch den „klassischen“ Datenschutz, d.h. den Schutz personenbezogener Daten. Unternehmen haben daher vor der Umsetzung mobiler Arbeitsmodelle (einschließlich Homeoffice) technische und organisatorische Maßnahmen (sog. „TOMs“) zu treffen, um den Zugriff unberechtigter Dritter auf (personenbezogene) Daten zu verhindern. Die TOMs sollen Datenrisiken – auch im Hinblick auf Art. 32 DSGVO und § 64 BDSG – möglichst ausschließen bzw. zumindest minimieren und müssen dazu für die Mitarbeiter (m/w/d) auch im Rahmen eines geeigneten IT-Sicherheitskonzepts verbindlich geregelt werden (d.h. die Grundsätze der Nutzung von IT-Systemen, VPN-Zugang, Nutzung der Hard- und Software, Verschlüsselung von Datenträgern und Umgang mit Passwörtern). Es ist vertraglich also „sicherzustellen“, dass keine unbefugten Personen (u.a. Familienmitglieder!) oder technische Einrichtungen bzw. automatisierte Sprachassistenten im Homeoffice „mithören“ und Zugriff auf Daten erhalten (z.B. durch das unachtsame „Herumliegenlassen“ mobiler End- und Kommunikationsgeräte“, falsches Entsorgen von Dokumenten oder durch den telefonischen Austausch im Beisein Dritter).
Verstoßen Mitarbeiter (m/w/d) gegen (verbindliche) Regelungen/Guidelines, kann dies arbeitsvertragliche Konsequenzen bis hin zur Kündigung und Schadensersatzansprüche nach sich ziehen, aber auch datenschutzrechtliche Implikationen haben und im Falle einer Datenpanne im Sinne des Art. 33 DSGVO Meldepflichten bei der Datenschutzaufsichtsbehörde und/oder den Betroffenen auslösen (siehe hierzu auch unsere Blogbeiträge vom 12.12.2019 unter: https://www.ksb-intax.de/blog/meldepflichtige-datenpannen-im-unternehmen/ und vom 20.01.2020 unter: https://www.ksb-intax.de/blog/datenschutz-check-fuer-arztpraxen/).
Auch der „klassische“ Datenschutz ist bei mobiler Arbeit daher nicht zu vernachlässigen. Wenngleich ggf. das „Bedürfnis“ für Überwachungsmaßnahmen im Rahmen mobiler Arbeit für den Arbeitgeber größer ist, da eine direkte „Kontrolle“ anders als bei Tätigkeiten im Unternehmen ausscheidet, bleibt eine (technische) Überwachung nur in bestimmten Ausnahmefällen und unter Berücksichtigung des allgemeinen Persönlichkeitsrechts der Mitarbeiter (m/w/d) sowie der gesetzlichen Grenzen (z.B. § 26 BDSG) zulässig.
Existiert im Unternehmen ein Betriebsrat, sind bei der Einführung mobiler Arbeitsmethoden und der Regelung des Ordnungsverhaltens stets auch dessen Beteiligungs- bzw. Mitbestimmungsrechte zu beachten. In diesem Kontext ist aufgrund häufig zeitkritischer Umsetzungserfordernisse sehr zu begrüßen, dass Bundesarbeitsminister Hubertus Heil gemäß seiner Ministererklärung vom 23.03.2020 die Zulässigkeit von Betriebsratssitzungen z.B. als Videokonferenz „freigeben“ würde, um die Arbeitsfähigkeit der Betriebsräte sicherzustellen. Auch für den Betriebsrat und dessen „mobile Arbeit“ gelten insoweit dann ebenfalls die „besonderen“ Herausforderungen für den Schutz von Know-how und Daten.
Bei rechtlichen Fragen rund um diese Themen stehen wir Ihnen gerne zur Verfügung. KSB INTAX ist der Ansprechpartner für den Mittelstand in Niedersachsen. Wir unterstützen Sie gerne.