Einleitung
Agile Arbeitsweisen halten mehr und mehr Einzug in Unternehmen. Fanden sich agile Methoden zunächst vor allem in IT-Bereichen, haben sich Kanban, Scrum und Design-Thinking-Ansätze inzwischen in vielen Unternehmensbereichen durchgesetzt. Die zunehmende Agilität verändert nicht nur Prozesse und Strukturen, sondern macht Arbeit auch immer mobiler. Doch was muss der Arbeitgeber im Hinblick auf die IT-Sicherheit und den Datenschutz beachten, wenn seine Arbeitnehmer nicht im eigenen Büro, sondern unterwegs etwa in Projekträumen, Innovation-Hubs oder von zuhause arbeiten?
Vertraulicher Umgang mit Informationen
Zunächst ist es wichtig, dass sich der Arbeitgeber bewusst ist, dass vertraulichen Informationen bei mobiler Arbeit ein besonderer Schutz zukommen muss. Dies muss er auch seinen Arbeitnehmern transparent kommunizieren, damit diese bei der Arbeit die nötige Vorsicht walten lassen. Dazu helfen – gegebenenfalls wiederholte – Informationen zu den Verhaltensregeln bei mobiler Arbeit, mittels Hand-outs oder im Intranet sowie durch Arbeitnehmerschulungen. Zu regeln sind in organisatorischer Hinsicht insbesondere die Verwendung von Displaysichtschutzfolien, das Führen von Telefonaten in Situationen, in denen unbeteiligte Dritte oder Familienmitglieder mithören könnten, sowie der sensible Umgang mit digitalen und analogen Dokumenten. Arbeitnehmer sollten vertrauliche Informationen zuhause grundsätzlich nicht ausdrucken und auch solche Informationen nicht auf privaten Speichermedien (USB-Sticks, aber auch Cloudspeichern) speichern.
Dieses Verständnis für den umsichtigen Umgang mit vertraulichen Informationen endet natürlich nicht beim Arbeitnehmer, insbesondere auch der Arbeitgeber hat dafür zu sorgen, dass der Arbeitnehmer die technischen Voraussetzungen hat, um vertrauliche Informationen zu schützen. Dazu gehört neben dem Bereitstellen von Sichtschutzfolien für den Dienst-Laptop etwa auch die Einrichtung eines VPNs, damit der Arbeitnehmer auch aus dem heimischen oder aus öffentlichen WLANs sicher auf die Unternehmens-IT zugreifen kann. Aber der Arbeitgeber kann auch weitere Sicherungsmaßnahmen vorsehen, zum Beispiel technisch verhindern, dass der Arbeitnehmer Dateien von den Dienstgeräten kopieren oder sorgen dafür, dass er Dokumente nur auf den Druckern im Unternehmen ausdrucken kann. Dabei empfiehlt sich jedoch eine ausgewogene Herangehensweise, denn in der Sache ist niemandem geholfen, wenn die Sicherheitsmaßnahmen des Arbeitgebers so restriktiv sind, dass sie bei den Arbeitnehmern zu Frust führen und damit vielleicht sogar zu einer bewussten Umgehung, weil die Mitarbeiter das Gefühl haben, dass sie durch die Sicherheitsmaßnahmen in der Erledigung ihrer Aufgaben behindert werden.
Besonderheiten bei „Bring your own Device“
Nutzt der Arbeitnehmer eigene Geräte (etwa PCs, Smartphones, Tablets) für die Erledigung seiner Arbeit (Bring your own Device, BYOD), sollte der Arbeitgeber darauf achten, dass die privaten und die geschäftlichen Daten getrennt gehalten und bearbeitet werden. Das kann dadurch erreicht werden, dass der Arbeitnehmer die Daten seines Arbeitgebers nicht auf seinem eigenen Computer bearbeitet, sondern dass er über einen Remote-Zugriff im System des Arbeitgebers arbeitet. Dabei würde der Arbeitnehmer Betriebssystem und Programme in einer virtuellen Umgebung auf dem Server seines Arbeitgebers ausführen, wo auch die Dateien abgelegt werden. Eine andere Möglichkeit ist der Einsatz von Clouddiensten, in denen die Daten gespeichert sind, ohne dass der Mitarbeiter diese auf sein lokales Endgerät kopieren muss. Voraussetzung für beides ist eine stabile und schnelle Internetverbindung. Außerdem ist an eine Absicherung gegen Viren und andere Malware zu denken. Beim Einsatz privater Smartphones sollten private Kontakte und E-Mails nicht mit den dienstlichen vermischt werden. Anderenfalls könnte etwa der privat genutzte Messenger-Dienst die dienstlichen Kontakte auf seine Server hochladen, um sie mit den angemeldeten Nutzern zu vergleichen. Gekapselte Lösungen für E-Mails, Kontakte etc. helfen hier.
Richtet der Arbeitgeber einen offiziellen Arbeitsplatz beim Arbeitnehmer zuhause ein, ist er dafür verantwortlich, dass neben den datenschutzrechtlichen und IT-Sicherheitsmaßnahmen auch der Arbeitsschutz eingehalten wird sowie der Arbeitsplatz zum Beispiel den ergonomischen Ansprüchen an Bildschirm- und Büroarbeitsplätze genügt.
Kontrollwunsch und Kontrollpflicht
Arbeiten Arbeitnehmer mobil oder von zuhause aus, entziehen sie sich damit der unmittelbaren Kontrolle durch ihre Vorgesetzten. Um dem Kontrollverlust entgegenzuwirken, kann der Wunsch aufkommen, zu kontrollieren, ob und wie die Arbeitnehmer außerhalb des Unternehmens arbeiten. Teilweise ist der Arbeitgeber auch verpflichtet, zu kontrollieren, ob die Arbeitnehmer im Home-Office bestimmte gesetzliche Vorgaben einhalten, etwa die Arbeitszeiten oder den Datenschutz. Der Arbeitgeber steht damit zwischen Kontrollwunsch und Kontrollpflicht. Gleichzeitig kann der Arbeitgeber mit einer Kontrolle intensiv in die Privatsphäre seiner Arbeitnehmer eingreifen, denn diese erledigen schließlich ihre Aufgaben aus ihrer privaten Wohnung. Der Arbeitgeber hat aber kein Recht, die private Wohnung eines Arbeitnehmers zu betreten.
Möchte der Arbeitgeber Kontrollmaßnahmen ergreifen, muss er die Vorgaben des Datenschutzrechts einhalten. Denn für derartige Kontrollen verarbeitet der Arbeitgeber üblicherweise personenbezogene Daten seiner Arbeitnehmer. Inwieweit Kontrollen datenschutzrechtlich zulässig sind, ist stets im konkreten Einzelfall zu beurteilen. Dabei kommt es insbesondere darauf an, zu welchem Zweck die Kontrolle durchgeführt wird, ob die Datenverarbeitung zu diesem Zweck erforderlich und verhältnismäßig ist.
Um zu kontrollieren, ob die Arbeitnehmer die vereinbarte Arbeitszeit auch im Home-Office einhalten, sind verschiedene Möglichkeiten denkbar: Zunächst könnte der Arbeitgeber überprüfen, wann sich ein Arbeitnehmer mit seinem Computer im Unternehmensnetz an- oder abgemeldet hat. Diese Zeit sollte dann der vereinbarten Arbeitszeit entsprechen. Da diese Maßnahme relativ geringfügig in die Rechte der Arbeitnehmer eingreift, wird eine solche Form der Überwachung eher zulässig sein. Man muss allerdings berücksichtigen, dass der Arbeitgeber darüber nicht kontrollieren kann, ob der Arbeitnehmer tatsächlich gearbeitet hat oder ob der Computer nur eingeschaltet wurde, ohne dass der Arbeitnehmer gearbeitet hat.
Deshalb kann der Arbeitgeber versucht sein, neben den Log-in-Daten etwa den Browserverlauf auszulesen oder E-Mails zu kontrollieren. Ob und inwieweit eine solche Kontrolle zulässig ist, ist deutlich schwerer zu beurteilen. Es kann jedenfalls festgehalten werden, dass eine Kontrolle dieser Daten nicht zulässig ist, wenn der Arbeitnehmer die Unternehmens-IT auch für private Zwecke nutzen darf. Die Informationen über das private Surfverhalten sind nicht nur durch das Datenschutzrecht, sondern auch durch das Telekommunikationsgeheimnis geschützt. Jedenfalls dann, wenn der Arbeitgeber keinen Verdacht einer Straftat hat, wird er die geschützten Informationen nicht auslesen dürfen.
Da die meisten Laptops mit einer Webcam ausgestattet sind, könnte der Arbeitgeber auf die Idee kommen, über die Webcam zu kontrollieren, ob der Arbeitnehmer tatsächlich während der vereinbarten Arbeitszeit arbeitet. Allerdings ist eine permanente und offene Videoüberwachung in aller Regel unzulässig. Hinzu kommt, dass der Arbeitgeber damit in den privaten Raum seiner Arbeitnehmer eingreift. Schließlich könnte dem Arbeitgeber einfallen, das Verhalten seiner Arbeitnehmer mit Hilfe von Keyloggern oder anderer Spionagesoftware zu überwachen. Doch auch diese Mittel dürften in aller Regel nicht zulässig sein, da sie einen permanenten Überwachungsdruck erzeugen. Denkbar erscheint der Einsatz derartiger Mittel erst, wenn der Verdacht einer Straftat im Raum steht.
Schließlich ist zu beachten, dass der Arbeitgeber, wenn er Kontrollmaßnahmen einsetzen möchte, weitere gesetzliche Vorgaben beachten muss. Die Arbeitnehmer müssen darüber informiert werden, dass ihre personenbezogenen Daten für Zwecke der Überwachung eingesetzt werden. Zudem muss der Betriebsrat beteiligt werden.
Fazit
Im Ergebnis erscheint es daher sinnvoller für den Arbeitgeber, seinen Arbeitnehmern weitgehend zu vertrauen. Die Arbeitsleistung kann anhand weniger invasiver Maßnahmen kontrolliert werden: Zum Beispiel kann die Arbeitszeit in Form von Tätigkeitsberichten niedergeschrieben und regelmäßig an den Vorgesetzten geschickt werden, oder der Arbeitgeber kann die Arbeitszeit auch anhand der Arbeitsergebnisse und seiner einschlägigen Erfahrung einschätzen, ob solche Arbeitsergebnisse der dafür verwandten Arbeitszeit entsprechen. Schließlich können auch neue Regeln zur Organisation der Zusammenarbeit (etwa regelmäßiger Austausch im Team, engere Kontakte per Telefon und Video-Call etc.) dafür sorgen, dass der Kontakt zum Arbeitnehmer nicht abreißt und die oben besprochenen Überwachungsmaßnahmen gar nicht erforderlich sind.
Um agiles Arbeiten in Organisationen zu ermöglichen, ist es sinnvoll, einen geregelten Rahmen zu schaffen – und die Netzwerkstrukturen der Methoden auch proaktiv einzusetzen, um im engen Austausch mit allen Beteiligten zu bleiben. Denn hier gilt: Kontrolle ist gut – Vertrauen ist besser!
Christian.kuss@luther-lawfirm.com
Adrian.freidank@luther-lawfirm.com
