Experteninterview: Sebastian Schulz

In unserem Interview mit Sebastian Schulz gehen wir der Frage nach der Kontrolle im Homeoffice auf den Grund. Insbesondere auf die sinnhaftigkeit von Kontrollmaßnahmen, aber auch den gängigsten Problemen der Kontrolle im Homeoffice.

JustHomeoffice: Was sind ihrer Ansicht nach sinnvolle Maßnahmen, um die Effizienz von Angestellten im Homeoffice zu kontrollieren?

Sebastian Schulz: Zunächst einmal ist gewiss nicht alles, was rechtlich gestattet ist, auch sinnvoll. Gerade Effizienz und Kontrolle müssen keineswegs Hand in Hand gehen. Ich beobachte im privaten wie auch im beruflichen Umfeld, dass in weitestgehend kontrollfreien Umgebungen sehr gute Arbeit geleistet werden kann. Eine lange Leine und Vertrauensarbeitszeit passen heute in vielen Fällen besser in die Unternehmenskultur als die Stechkartenmentalität vergangener Jahrzehnte. Soll Kontrolle im Homeoffice stattfinden, sollten Art und Umfang in groben Zügen in einer Vereinbarung mit den Beschäftigten geregelt werden. Das Direktionsrecht des Arbeitgebers eröffnet hier vielfältige individuelle Möglichkeiten, stets vorausgesetzt, die Maßnahmen erweisen sich im Einzelfall als erforderlich und verhältnismäßig. Ansatzpunkt für Kontrollmaßnahmen können entweder der Vorgang der Arbeit oder deren Ergebnis sein. Letzteres ist im Falle von Homeoffice typischerweise ohne oder mit nur geringfügigen Eingriffen in die Rechte der Beschäftigten realisierbar. Existiert ein Betriebsrat hat dieser ein Mitspracherecht.

Wo gibt es in der Praxis die größten Probleme?

Gegenstand streitiger Auseinandersetzungen ist immer wieder die Frage, ob und wenn ja, inwieweit Arbeitgeber die E-Mail- und Internetnutzung der Beschäftigten kontrollieren dürfen. Ob die Arbeit im Büro oder im Home/Mobile Office geleistet wird, ist dabei nur von nachrangiger Bedeutung. Für die rechtliche Bewertung der Reichweite von Kontrollrechten ist nach verbreiteter Rechtsauffassung vielmehr weiterhin maßgebend, ob den Beschäftigten auch die private Nutzung der betrieblichen IKT erlaubt ist. Gestatten Arbeitgeber etwa das dienstliche E-Mail-Postfach auch privat zu nutzen, bestehen nur sehr eingeschränkte Kontrollrechte. Hier sollten Details möglicher Kontrollen unbedingt durch eine individuelle oder kollektivrechtliche Nutzungsvereinbarung festgelegt werden. Komplex werden die rechtlichen Fragen im Zusammenhang mit Bring/Use your own Device. Dass diese Kultur weit verbreitet ist, ist nachvollziehbar. Unter rechtlichen Gesichtspunkten kann von BYOD hingegen nur dringend abgeraten werden. Neben arbeitsrechtlichen Fragestellungen sind hiermit vor allem zahlreiche datenschutz-, datensicherheits- und lizenzrechtliche Aspekte sowie Fragen des Eigentums verbunden, die in weiten Teilen praktisch nicht auflösbar sind. 

Wann sind Tabu-Themen / Welche Methoden sind unzulässig?

Sämtliche Maßnahmen, die eine lückenlosen Überwachung der Beschäftigten zum Gegenstand haben, sind problematisch. Das Bundesarbeitsgericht hat hier schon öfters rote Linien definiert. Selbst bei konkreten Anhaltspunkten für u.U. auch schwerwiegende Pflichtverletzungen des Beschäftigten sollten sich Arbeitgeber stets die Frage stellen, ob die zum Zwecke der Dokumentation des Fehlverhaltens eingesetzten Maßnahmen auch tatsächlich die mildesten Mittel sind. Der Zweck heiligt auch hier nicht die Mittel. Zwar zieht eine rechtswidrige Kontrollmaßnahme nicht zwingend ein Verwertungsverbot der hierüber gewonnenen Erkenntnisse nach sich. Unzulässige Datenverarbeitungen können für Arbeitgeber aber stets Sanktionen zur Folge haben, bis hin zu drakonischen Bußgeldern und kaum messbaren Reputationsschäden. 

Ist es denkbar, Arbeitgebern zukünftig mehr Kontrollrechte einzuräumen, wenn sich Homeoffice als Arbeitsmodell durchsetzen sollte?

Das ist v.a. eine rechtspolitische Frage. Ich glaube nicht, dass weitere Kontrollrechte eine politische Mehrheit finden würden. Ohnehin müsste der Gesetzgeber jede neue Befugnis mit Grundrechten und -freiheiten der Beschäftigten abwägen und mit höherrangigem europäischem Recht in Einklang bringen. Das Datenschutzrecht etwa lässt hier nur sehr begrenzte Spielräume. Es gibt nicht wenige Stimmen, die beispielsweise verdeckte Kontrollmaßnahmen per se für rechtswidrig halten. Diese Sichtweise ist sicher zu holzschnittartig, zeigt aber, dass das europäische Recht manchmal zu große „Interpretationsspielräume“ eröffnet. Ob von mehr Befugnissen auch tatsächlich Gebrauch gemacht würde, stünde ohnehin auf einem anderen Blatt. Arbeitgeber mit einem ausgeprägten Kontrollfetisch werden im Ringen um die besten Köpfe meines Erachtens gewiss den Kürzeren ziehen.

Welche grundlegenden Voraussetzungen muss ein mobiler bzw. „Heim-“ Arbeitsplatz erfüllen?

Soweit dienstliche Aufgaben im Rahmen von mobiler bzw. „Tele-“Arbeit erledigt werden sollen, müssen durch Arbeitgeber und Arbeitnehmer gemeinschaftlich Maßnahmen ergriffen werden, die der Sicherheitssituation im Büro möglichst nahekommen. Die wesentlichen Schutzziele des Datensicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) sind auch bei der Verrichtung von Tätigkeiten außerhalb der Büroräume sicherzustellen. Folgende Maßnahmen sind nach Möglichkeit mindestens einzuhalten und sollten in einer „Richtlinie Mobile Office“ bzw. einem „Umsetzungskonzept“ festgelegt werden:

  • Einrichtung eines Arbeitsplatzes, der vom übrigen Wohnraum räumlich getrennt ist, möglichst ein abschließbares Arbeitszimmer
  • Wahrung der üblichen Arbeitsdisziplin, d.h. insbesondere Ordnung, eine sichere Aufbewahrung von Arbeitsmaterialien und gewissenhafte Entsorgung von Datenträgern unter Einhaltung der sonst im Betrieb üblichen Schutzstufen und -klassen
  • Vornahme technischer Maßnahmen am Client, z.B. aktuell gepatchte Software und End-Point-Protection, Abschaltung externer Schnittstellen
  • Ausdrückliche Untersagung der privaten Nutzung von betrieblicher IT
  • Einräumung von Kontrollrechten des Arbeitgebers sowie ggf. des Datenschutzbeauftragten
  • Definition von Meldewegen für den Fall von Datenschutzpannen
  • Definition von Vorgaben für den Transport von Unterlagen und Datenträgern (z.B. verschlossene Behältnisse, Verschlüsselung)
  • Definition von Übergabemodalitäten im Vertretungsfall und die Beendigung des Beschäftigungsverhältnisses bzw. der Mobile Office Genehmigung

Weitere Details und Anregungen können dem Baustein B 2.8 sowie der Maßnahme M 1.44 des BSI IT-Grundschutz-Kataloges entnommen werden.

Sebastian Schulz

Härting Rechtsanwälte

Rechtsanwalt
Schwerpunkte Datenschutzrecht, Beschäftigtendatenschutz, Data-Compliance
www.haerting.de

Leave a Comment