31.03.2020<\/p>\n\n\n\n
Die Covid-19-Pandemie besch\u00e4ftigt Unternehmen in arbeitsrechtlicher Hinsicht \u2013 nicht zuletzt aufgrund der Bestrebung, Ansteckungen am Arbeitsplatz zu vermeiden, ist Arbeit zu Hause (\u201eHome-Office\u201c oder \u201eTelearbeit\u201c[1]<\/a>) derzeit in aller Munde und wird von vielen Unternehmen quasi fl\u00e4chendeckend eingef\u00fchrt. Freilich: die Arbeit im Wege des \u201eHome-Office\u201c derzeit (noch) nicht gesetzlich angeordnet, und gibt es auch keine eindeutigen, allgemein anwendbaren gesetzlichen Rahmenbedingungen.<\/p>\n\n\n\n I.<\/strong> W\u00e4hrend urspr\u00fcnglich eine wesentlich strengere Formulierung geplant war (\u201e[\u2026] d\u00fcrfen Arbeitsst\u00e4tten lediglich dann betreten werden, wenn die berufliche T\u00e4tigkeit nicht auch au\u00dferhalb der Arbeitsst\u00e4tte durchgef\u00fchrt werden kann<\/em>\u201c[2]<\/sup><\/a>) sieht die am heutigen Tage (31. M\u00e4rz 2020) in Kraft stehende \u201eVerordnung des Bundesministers f\u00fcr Soziales, Gesundheit, Pflege und Konsumentenschutz gem\u00e4\u00df \u00a7 2 Z 1 des COVID-19-Ma\u00dfnahmengesetzes<\/em>\u201c[3]<\/sup><\/a> nur vor, dass darauf \u201ezu achten<\/em> [ist], dass eine berufliche T\u00e4tigkeit vorzugsweise<\/strong> au\u00dferhalb der Arbeitsst\u00e4tte<\/strong> erfolgen soll, sofern dies m\u00f6glich ist und Arbeitgeber und Arbeitnehmer dar\u00fcber ein Einvernehmen finden<\/em>.\u201c<\/p>\n\n\n\n Es bleibt daher (Stand 31. M\u00e4rz 2020) bei der allgemeinen Regel, dass die Arbeitserbringung im Wege des Home-Office grunds\u00e4tzlich (wobei f\u00fcr bestimmte Gruppen von Dienstnehmern Sonderregelungen bestehen[4]<\/a>) einer Vereinbarung zwischen Arbeitgeber und Arbeitnehmer bedarf. Einzelne Kollektivvertr\u00e4ge geben dabei teilweise Rahmenbestimmungen f\u00fcr die Vereinbarung von Telearbeit vor.<\/p>\n\n\n\n II.<\/strong> Weil es kein arbeitsrechtliches \u201eSonderregime\u201c f\u00fcr Telearbeit gibt, gelten die allgemeinen arbeitsrechtlichen Bestimmungen, soweit diese inhaltlich anwendbar sind \u2013 insbesondere die Regelungen zu Arbeitszeit, Urlaub sowie bestimmte Arbeitnehmerschutzbestimmungen. Sollen in Vereinbarungen \u00fcber Telearbeit etwa auch Regelungen betreffend Gleitzeit aufgenommen werden (was oft naheliegend erscheint), ist daf\u00fcr in Betrieben mit Betriebsrat gem\u00e4\u00df \u00a7 4b Abs 2 AZG[5]<\/a> eine Betriebsvereinbarung notwendig.<\/p>\n\n\n\n Grunds\u00e4tzlich hat der Arbeitgeber dem Arbeitnehmer daher f\u00fcr Telearbeit s\u00e4mtliche Arbeitsmittel (Computer, Software, Papier, Drucker, Strom) zur Verf\u00fcgung zu stellen; dies folgt schon aus der Natur eines Arbeitsvertrages, der ja gerade darin besteht, dass der Arbeitnehmer (nur) seine Arbeitsleistung, aber keine Betriebsmittel zur Verf\u00fcgung stellt.<\/p>\n\n\n\n In der Praxis wird es jedoch regelm\u00e4\u00dfig (auch) zu einer Verwendung von Infrastruktur des Arbeitnehmers kommen, f\u00fcr die er vom Arbeitgeber eine Abgeltung erh\u00e4lt (darunter fallen erh\u00f6hte Strom- und Internetkosten, aber etwa (nat\u00fcrlich) B\u00fcrom\u00f6bel, mit denen der Arbeitnehmer arbeitet, darunter) was ebenfalls einer vertraglichen Regelung bedarf, wobei eine Pauschalierung grunds\u00e4tzlich zul\u00e4ssig ist.<\/p>\n\n\n\n III. <\/strong>Ein Bereich, der besonderes Augenmerk verdient, stellt der Schutz der (von den Arbeitnehmern im Rahmen der Home-Office-Arbeit verarbeiteten) Daten dar. Der Arbeitgeber unterliegt als Verantwortlicher der in seinem Unternehmen (wo auch immer!) verarbeiteten Daten den Bestimmungen der DSGVO[6]<\/a> und des DSG[7]<\/a>, sowie vielen weiteren Sondervorschriften.<\/p>\n\n\n\n III.1. <\/strong>Die DSGVO fordert von Verantwortlichen ganz allgemein angemessene Datensicherheitsma\u00dfnahmen. Einer der Grunds\u00e4tze der DSGVO ist n\u00e4mlich die Verarbeitung von personenbezogenen Daten \u201ein einer Weise <\/em>[\u2026], die eine angemessene Sicherheit der personenbezogenen Daten gew\u00e4hrleistet, einschlie\u00dflich Schutz vor unbefugter oder unrechtm\u00e4\u00dfiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerst\u00f6rung oder unbeabsichtigter Sch\u00e4digung durch geeignete technische und organisatorische Ma\u00dfnahmen<\/em>\u201c (Art 5 Abs 1 lit f DSGVO) wobei der Verantwortliche die Einhaltung dieser Bestimmung nachweisen k\u00f6nnen muss. Art 32 DSGVO fordert spiegelbildlich, dass geeignete Ma\u00dfnahmen ergriffen werden m\u00fcssen, um \u2013 unter Ber\u00fccksichtigung (unter anderem) des Risikos einer Datenverarbeitung \u2013 die Sicherheit der Verarbeitung von personenbezogenen Daten zu gew\u00e4hrleisten.<\/p>\n\n\n\n Die Arbeit im Home-Office schafft nun \u2013 im Vergleich zur Arbeit im Betrieb \u2013 meist ein wesentlich h\u00f6heres Risiko der Datenverarbeitung, etwa, wenn private Ger\u00e4te des Arbeitnehmers verwendet werden oder wenn sensible Papierunterlagen in der Wohnung des Arbeitnehmers nicht versperrt verwahrt werden. Es sind daher \u2013 als absolutes Mindestma\u00df \u2013 organisatorische Datensicherheitsma\u00dfnahmen geboten, bspw. Indem mittels pr\u00e4ziser Weisungen an den Arbeitnehmer sichergestellt wird, dass auch im Home-Office bestimmte Verhaltensregeln eingehalten werden, die das Risiko einer Datenschutzverletzung minimieren (kein Ausdruck von Unterlagen, Schutz der Unterlagen vor Einsichtnahme, etc.). Es ist weiters anzuraten, spezielle Softwarel\u00f6sungen zu verwenden, die etwa eine Verschl\u00fcsselung von auf Endger\u00e4ten (Laptops, Smartphones, etc.) gespeicherten Daten sicherstellen, und Arbeitnehmern den externen Zugriff auf Unternehmensnetzwerke nur soweit zu gew\u00e4hren, wie dies zur Erbringung der Arbeitsleistung unbedingt notwendig.<\/p>\n\n\n\n III.2. <\/strong>Die explizite Regelung des \u00a7 6 Abs 3 DSG erfordert es (auch unabh\u00e4ngig von der Vereinbarung von Telearbeit), Arbeitnehmer \u00fcber f\u00fcr sie geltende \u00dcbermittlungsanordnungen (d.h. vereinfacht gesagt, dar\u00fcber, an welche Stellen personenbezogene Daten \u00fcbermittelt werden d\u00fcrfen) zu informieren. Nicht zuletzt ist es auch anzuraten, Arbeitnehmer ausdr\u00fccklich anzuweisen, Verletzungen des Schutzes personenbezogener Daten dem Arbeitgeber unverz\u00fcglich zu melden, weil unter Umst\u00e4nden eine Meldung an die Datenschutzbeh\u00f6rde und an \u201eBetroffene\u201c notwendig ist (Art 33 f DSGVO); jedenfalls sind derartige Vorf\u00e4lle vom Verantwortlichen zu dokumentieren. Alle diese Ma\u00dfnahmen sind im Verzeichnis von Verarbeitungst\u00e4tigkeiten (Art 30 DSGVO) zu dokumentieren.<\/p>\n\n\n\n III.3. <\/strong>Fehlen zum Datenschutz in Zusammenhang mit Home-Office selbst rudiment\u00e4re Ma\u00dfnahmen, kann dies einen Versto\u00df gegen die Grunds\u00e4tze f\u00fcr die Verarbeitung von personenbezogenen Daten darstellen (Art 83 Abs 5 lit a DSGVO) und hohe Geldstrafen nach sich ziehen. Dabei wird der Umstand, inwiefern \u2013 m\u00f6gliche und angemessene \u2013 technische und organisatorische Datensicherheitsma\u00dfnahmen ergriffen wurden, bei der Verh\u00e4ngung von Geldbu\u00dfen (Art 83 Abs 2 DSGVO) ber\u00fccksichtigt.<\/p>\n\n\n\n III.4. <\/strong>Weil den Arbeitgeber als Verantwortlichen auch Aufbewahrungs- und L\u00f6schverpflichtungen in Bezug auf vom Arbeitnehmer verarbeiteten Daten trifft, ist eine exakte Trennung zwischen beruflichen Daten und privaten Daten des Arbeitnehmers ohne Bezug zur dienstlichen T\u00e4tigkeit sicherzustellen. Landen berufliche Daten im Rahmen der Verwendung privater IT-Infrastruktur des Arbeitnehmers in einem privaten Ordner des Arbeitnehmers, auf den der Arbeitgeber nicht zugreifen kann, und von dessen Existenz der Arbeitgeber auch keine Kenntnis hat, ist es dem Arbeitgeber als Verantwortlichem unm\u00f6glich, seinen Verpflichtungen zur Speicherung, Berichtigung oder L\u00f6schung dieser Daten nachzukommen \u2013 auch wird es dem Verantwortlichen unm\u00f6glich, Auskunftsersuchen von Betroffenen (Art 15 DSGVO) vollst\u00e4ndig und richtig zu beantworten \u2013 der Arbeitgeber verliert die Kontrolle \u00fcber Datenbest\u00e4nde, die in seiner Verantwortung verarbeitet werden. Der Arbeitgeber wird sich bei beruflich veranlasster Datenspeicherung auf privaten Ger\u00e4ten des Arbeitnehmers auch nicht darauf berufen k\u00f6nnen, dass dies nicht mehr im Rahmen seiner datenschutzrechtlichen Verantwortung geschieht \u2013 er hat, durch die Erteilung von Arbeitsauftr\u00e4gen an den Arbeitnehmer, \u00fcber den Zweck der Datenverarbeitung entschieden. Mangelhafte Kontrolle \u00fcber die Mittel<\/em> der Datenverarbeitung entbindet einen Verantwortlichen dabei nicht von seiner Verantwortung; es bleibt der Arbeitnehmer, der die Datenverarbeitung vornimmt, in die betrieblichen Strukturen des Verantwortlichen eingebunden, dies auch dann, wenn er seine T\u00e4tigkeit zu Hause verrichtet.<\/p>\n\n\n\n Daher sind auch hinsichtlich der Speicherung von personenbezogenen Daten im Rahmen der Arbeitsleistung im Home-Office pr\u00e4zise Anweisungen an die Arbeitnehmer zu richten und es ist sicherzustellen, dass der Arbeitgeber seinen datenschutzrechtlichen Pflichten nachkommen kann.<\/p>\n\n\n\n IV.<\/strong> Unabh\u00e4ngig vom Schutz der vom<\/em><\/strong> Arbeitnehmer verarbeiteten personenbezogenen Daten ist zu beachten, dass der Schutz der Privatsph\u00e4re des Arbeitnehmers (sohin der Schutz der personenbezogenen Daten des<\/em><\/strong> Arbeitnehmers) am Telearbeitsplatz genau so viel Bedeutung verdient, wie unter normalen Bedingungen. Die (auch blo\u00df m\u00f6gliche) \u00dcberwachung der Aktivit\u00e4t von Mitarbeitern ist dabei immer am Recht auf Achtung des Privat- und Familienlebens des Arbeitnehmers (Art 8 EMRK) zu messen, und setzt demzufolge jeder Einsatz bestimmter technischer Systeme eine Betriebsvereinbarung (\u00a7 96 Abs 1 Z 3 ArbVG[8]<\/a>) oder Einzelvereinbarung (\u00a7 10 AVRAG[9]<\/a>) mit dem Arbeitnehmer voraus; dies ist relevant beispielsweise beim Einsatz von Software, die eine \u00dcberwachung von Aktivit\u00e4ten des Arbeitnehmers \u2013 auch nur theoretisch \u2013 erm\u00f6glicht.[10]<\/a><\/p>\n\n\n\n V.<\/strong> Zusammengefasst muss in Zusammenhang mit der Vereinbarung von Home-Office eine spezifische Regelung f\u00fcr den Datenschutz am Heimarbeitsplatz getroffen werden. An die Mitarbeiter sind pr\u00e4zise Weisungen zu richten, wie Datenschutzverletzungen am Telearbeitsplatz vermieden werden k\u00f6nnen. Nach M\u00f6glichkeit ist den Mitarbeitern vom Arbeitgeber die IT-Infrastruktur zur Verf\u00fcgung zu stellen und ist durch den Einsatz geeigneter Software der technische Datenschutz sicherzustellen. Schlie\u00dflich sind Regelungen betreffend den Speicherort von personenbezogenen Daten zu treffen, eine strikte Trennung von privaten Daten des Arbeitnehmers und betrieblichen Daten ist sicherzustellen.<\/p>\n\n\n\n Bitte beachten Sie den Haftungsausschluss<\/a><\/p>\n\n\n\n [1]<\/a> Nicht zu verwechseln mit der gesondert geregelten und kaum praxisrelevanten \u201eHeimarbeit\u201c nach dem Heimarbeitsgesetz 1960, BGBl. Nr. 105\/1961<\/a> idF BGBl. I Nr. 61\/2018<\/a>.<\/p>\n\n\n\n [2]<\/a> BGBl II 107\/2020.<\/p>\n\n\n\n [3]<\/a> BGBl II 98\/2020, in der Form BGBl II 108\/2020.<\/p>\n\n\n\n [4]<\/a> Etwa im Beamtendienstrecht, vgl \u00a7 36a Beamten-Dienstrechtsgesetz 1979.<\/p>\n\n\n\n [5]<\/a> Bundesgesetz vom 11. Dezember 1969 \u00fcber die Regelung der Arbeitszeit (Arbeitszeitgesetz) (AZG), BGBl. Nr. 461\/1969<\/a> idF BGBl. I Nr. 100\/2018<\/a>.<\/p>\n\n\n\n [6]<\/a> Verordnung (EU) 2016\/679 des Europ\u00e4ischen Parlaments und des Rates vom 27. April 2016 zum Schutz nat\u00fcrlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95\/46\/EG (Datenschutz-Grundverordnung).<\/p>\n\n\n\n [7]<\/a> Bundesgesetz zum Schutz nat\u00fcrlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz \u2013 DSG).<\/p>\n\n\n\n [8]<\/a> Arbeitsverfassungsgesetz. Bundesgesetz vom 14. Dezember 1973 betreffend die Arbeitsverfassung (ArbVG) BGBl. Nr. 22\/1974<\/a> idF BGBl. I Nr. 16\/2020<\/a>.<\/p>\n\n\n\n [9]<\/a> Arbeitsvertragsrechts-Anpassungsgesetz \u2013 AVRAG, BGBl. Nr. 459\/1993<\/a> idF BGBl. I Nr. 16\/2020<\/a>.<\/p>\n\n\n\n
>> Anfrage stellen<\/a><\/p>\n\n\n\n