“Ab morgen arbeiten wir, wann immer möglich, nur noch vom Home-Office aus.” – Diese oder ähnlich Gedanken gehen sicher vielen Verantwortlichen gerade durch den Kopf. Und dann ertönen die Alarmglocken, wie geht das denn für alle und dann kommt bestimmt wieder ein Hinweis vom Datenschutz, dass das so sowieso nicht gehe …
Viele Unternehmen sind nicht darauf vorbereitet, dass ihre Mitarbeiter vom Home-Office aus arbeiten können bzw. müssen. In der aktuellen Situation ist und wird dies aber zunehmend notwendig. Wir möchten Ihnen daher hier einige Informationen und Ideen zur Verfügung stellen, um Ihren Mitarbeiterinnen und Mitarbeitern, sofern nötig, das Arbeiten aus dem Home-Office schnell und unkompliziert zu ermöglichen.
Auch im Home-Office sind die Grundsätze des Datenschutzes zu beachten.
Da in den meisten Fällen nicht für alle Mitarbeitenden vom Unternehmen administrierte und abgesicherte Notebooks und/oder Tablet-Computer zur Verfügung stehen, wird sicher auch auf Hardware der Mitarbeitenden zurückgegriffen und diese für betriebliche Zwecke verwandt. In der aktuellen Situation hat derzeit niemand den Kopf, die Zeit oder Ressourcen das Thema Home-Office aus datenschutzrechtlicher Sicht oder aus der Perspektive der IT-Sicherheit gründlich zu durchdenken.
Für die Arbeitsfähigkeit des Unternehmens müssen daher jetzt pragmatische Ansätze gewählt und das Nötigste getan werden. Sollten Sie bereits einige Mitarbeiter im Home-Office haben, so können Sie auf bestehende Kapazitäten aufbauen und müssen diese „nur“ ausbauen und ggf. noch einige Regelungen treffen.
Haben Sie bisher kein Home-Office im Unternehmen angeboten und somit auch nicht die notwendige IT-Infrastruktur oder nicht genügend firmeneigene Geräte zur Verfügung, so kann es sein, dass Ihre Mitarbeiter derzeit mit Ihren privaten Geräten im Home-Office arbeiten (müssen).
Da es in der Regel nicht möglich ist ad hoc Geräte für die Mitarbeiterinnen und Mitarbeiter zu beschaffen, gehen wir im Folgenden davon aus, dass Ihre Mitarbeitenden mit dem privaten Notebook, Tablet und/oder Smartphone von zu Hause arbeiten (müssen).
Grundsätzlich (d.h. im “Normalfall”) sollte das Unternehmen die Nutzung privater Geräte für Unternehmenszwecke immer untersagen. Da wir derzeit aber keine normale Situation haben, hier unsere pragmatischen Vorschläge für die ausnahmsweise Nutzung privater Geräte:
1. Klare Regeln vereinbaren.
Die einfachste und schnell realisierbare Lösung hierfür sind Arbeitsanweisungen. Diese sind grundsätzlich (als Administrativrecht des Arbeitgebers) nicht mitbestimmungspflichtig, es empfiehlt sich aber sie einem möglicherweise vorhandenen Betriebsrat vorab zur Information zur Verfügung zu stellen.
Halten Sie diese so knapp wie irgend möglich, Vorschläge für Texte haben unsere Mandanten bereits erhalten. Bitte stimmen Sie die Texte unbedingt mit Ihrer Rechtsabteilung oder der/dem Sie beratenden Arbeitsrechtler/-in vor Weitergabe ab.
Entscheidend ist, dass die Regelungen den unter den gegebenen Umständen bestmöglichen Schutz personenbezogener Daten nach den allgemeinen Grundsätzen des Datenschutzes zu erreichen suchen.
Dazu haben wir Ihnen eine “Unternehmens Bestandsaufnahme Home-Office“ zusammengestellt und unseren Mandanten bereits zur Verfügung gestellt, die Sie zusammen mit den Arbeitsanweisungen zum Nachweis der datenschutzrechtlichen Dokumentationspflicht verwenden können.
Stellen Sie auch Ihren Mitarbeiterinnen und Mitarbeitern eine eigene “Checkliste Home Office” zur Verfügung, die die Arbeitsanweisungen berücksichtigt. Eine erweiterbare und auf Ihre Bedürfnisse anpassbare Liste zur Bestandsaufnahme haben wir unseren Mandanten bereits zur Verfügung gestellt.
2. Wenn möglich nur über ein virtuelles Netzwerk (“VPN”) auf den Unternehmensservern arbeiten.
Ideal wäre, wenn Ihre IT-Infrastruktur den Zugriff über ein virtuelles Netzwerk ermöglicht, so dass die Mitarbeitenden zwar die private Internetleitung verwenden (müssen), aber die Daten direkt auf dem Firmenserver speichern können.
Dabei ist zu beachten, dass für die Datenverarbeitung die Programme vom privaten (lokalen) Rechner benutzt werden, außer Sie nutzen einen Terminalserver im Unternehmen. Falls Ihre Mitarbeitenden selbst keine Microsoft-Office Programme besitzen, stellt Softmaker mit “Free-Office” https://www.freeoffice.com/de eine voll kompatible und kostenfreie Office-Suite für Windows, MacOS und Linux zum Download zur Verfügung.
3. Stellen Sie eine “Cloud-Speicher-Lösung” für den Datenaustausch zur Verfügung, falls Sie keinen VPN-Zugang bereitstellen können.
Damit Ihre Mitarbeiterinnen und Mitarbeiter arbeiten können, müssen diese auf Arbeitsdokumente zugreifen können. Es gibt einige Anbieter, die Ihnen Cloud Lösungen zur Speicherung von Daten, zum kollaborativen Zugriff auf diese Daten inkl. Berechtigungskonzepten, Versionierungen und dem sicheren Versand an externe Dritte zur Verfügung stellen.
Wir empfehlen Ihnen den Einsatz der Cloud Software „NextCloud“ (www.nextcloud.org), diese können Sie auf Ihrem eigenen Server betreiben oder aber sehr günstig (und fertig eingerichtet) bei Hetzner (https://www.hetzner.de/storage/storage-share) mieten.
Die Installation und Nutzung für die Mitarbeiterinnen und Mitarbeiter ist ebenfalls sehr einfach und für jeden machbar.
4. E-Mail-Kommunikation nur über “Web-Access”.
Falls Ihre Mitarbeiterinnen und Mitarbeiter schon jetzt die Möglichkeit haben, auf Ihr Postfach per Weboberfläche zuzugreifen, weisen Sie sie einfach an, ausschließlich diesen Webaccess zu nutzen.
Verbieten Sie per Arbeitsanweisung und unterbinden Sie wenn möglich auch technisch den Download der E-Mails auf private Rechner und/oder andere mobile Endgeräte (z.B. in dem die Mitarbeitenden sich den E-Mail-Account im eigenen Outlook einrichten), denn in diesem Fall haben Sie keine Kontrolle mehr über die bereits heruntergeladenen E-Mails. Gleiches gilt auch für die Kontakt- und Kalenderdaten.
Sollte die Möglichkeit des Webaccess derzeit noch nicht bestehen, so aktivieren Sie diese für Ihre Mitarbeitenden. Diese Funktionalität steht bei allen Hosting-Anbietern oder z.B. Exchange zur Verfügung.
5. Telefonkommunikation über “IP-Telefonie”.
Zur Vermeidung der Veröffentlichung der privaten Telefonnummern Ihrer Mitarbeiterinnen und Mitarbeiter im Home-Office, sollten Sie, falls Sie bereits IP-Telefonie einsetzen, Ihren Mitarbeitenden einen Software-Client zur Verfügung stellen, damit diese unter der Bürorufnummer erreichbar sind und auch Anrufe unter Firmenrufnummer führen können.
Die benötigten Voice-over-IP-Clients (VoIP) stellen die Anbieter der Telefonanlagen zur Verfügung, darüber hinaus gibt es eine große Anzahl von Drittanbietern, die die Software in den jeweiligen App-Stores zur Verfügung stellen. Achten Sie bei der Softwareinstallation darauf, dass keine Zugriffsrechte auf das Kontaktverzeichnis und Telefonbuch freigegeben werden.
Fall Sie weitere Fragen haben, stehen wir Ihnen gern zur Verfügung.