Homeoffice ist meist jedem recht, doch nicht immer ist es Recht!

14.01.2021

Homeoffice im Lichte von Datenschutz-, Arbeits- und Steuerrecht in Zeiten von Corona. Die Corona-Pandemie sorgt für tiefe Einschnitte in allen gesellschaftlichen Sparten. Kaum ein Unternehmen kommt ohne spürbare Konsequenzen davon. In Zeiten von durch Bundesländer flächendeckend angeordneter Ausgangsbeschränkungen, Kontaktverboten und dem Herunterfahren des öffentlichen und wirtschaftlichen Lebens, sind viele Betriebe gezwungen, auf Homeoffice auszuweichen – auch wenn technische und organisatorische Voraussetzungen noch gar nicht gegeben waren. Dieser Beitrag setzt sich mit den arbeits- und datenschutzrechtlichen Rahmenbedingungen und Anforderungen von Homeoffice auseinander und gibt einen Ausblick auf mögliche und notwendige Anpassungsbedarfe.

 

Bemerkung: Dieser Beitrag stellt eine auf das wichtigste beschränkte Kurzfassung des Hauptartikels: „Homeoffice ist meist jedem recht, doch nicht immer ist es Recht!“ (Lesezeit: ca. 20 min.) dar, der unter folgendem Link abgerufen werden kann:

Homeoffice ist meist jedem recht, doch nicht immer ist es Recht!

 

I. Arbeitsrecht beim Homeoffice

Der Arbeitsvertrag regelt üblicherweise die Rechte und Pflichten zwischen Arbeitgeber und Arbeitnehmer. Wohl kaum finden sich in derzeitigen Arbeitsverträgen aber Passagen mit Regelungen zur Ausgestaltung des Arbeitsverhältnisses in Zeiten von globalen Pandemien. Dabei bedarf auch die Arbeit im Homeoffice einer rechtlichen Grundlage.

1. Einführung von Homeoffice durch Rechtsgestaltung

a.) Homeoffice durch: Individuelle Vereinbarung im Einvernehmen

Diese rechtliche Grundlage kann im Idealfall eine individuelle arbeitsvertragliche Vereinbarung zwischen Arbeitgeber und Arbeitnehmer bieten, die sowohl in den bestehenden Arbeitsvertrag aufgenommen als auch mittels ergänzender Homeoffice-Vereinbarung geschlossen werden kann.

b.) Homeoffice durch: Betriebsvereinbarung

Ist eine individuelle Homeoffice-Vereinbarung aufgrund der Betriebsgröße nicht abzubilden, bieten sich Betriebsvereinbarungen an, die zwischen Arbeitgeber und dem Betriebsrat ausgehandelt werden, die unmittelbare und zwingende Wirkung entfalten. Dafür sind hier aber Grenzen der Gesetzes- und Tarifsperren gem. §§ 77 Abs. 3, 87 Abs. 1 BetrVG (Betriebsverfassungsgesetz) sowie die Grundsätze von Recht und Billigkeit gem. § 75 BetrVG und Persönlichkeitsrechte der Arbeitnehmer zu beachten. Da eine Homeoffice-Anordnung ohne Einverständnis aber einen (bedingten) Eingriff in die private Lebensführung und Art. 13 Abs. 1 GG (Unverletzlichkeit der Wohnung) darstellt, dürften generelle Betriebsvereinbarungen zum Homeoffice unwirksam sein.

c.) Anspruch des Arbeitnehmers: Ein Recht auf Homeoffice?

Fehlt eine solche Rechtsgrundlage hat der Arbeitnehmer auch keinen Rechtsanspruch auf Arbeit im Homeoffice. Eine eigenmächtige Verlagerung der Arbeit nach Hause ohne Zustimmung des Arbeitgebers ist daher unzulässig. Anderes gölte nur dann, wenn der Arbeitgeber möglicherweise seinen arbeitsschutzrechtlichen Obliegenheiten nicht nachkommt, z.B. wenn der Arbeitgeber die geltenden Hygienestandards nicht einhalten oder Mindestabstände nicht gewährleisten kann. Dann bestünde auf Seiten des Arbeitnehmers ein Leistungsverweigerungsrecht, sodass eine eigenmächtige Verlagerung ins Homeoffice durchaus denkbar wäre. Diese unter der Prämisse, dass die arbeitsvertragliche Leistung dort auch erbracht werden kann und die Geheimhaltung gewahrt ist.

 

II. Arbeitsschutz im Homeoffice

Dem Arbeitsschutz ist immanent, für die Schaffung und die Aufrechterhaltung sicherer und menschengerechter Arbeitsbedingungen zu sorgen. Nichts anderes gilt rechtlich beim Homeoffice.

Organisations- und Hinweispflichten des Arbeitgebers bei Homeoffice

Trotz dessen, dass den Arbeitgeber auch bei Homeoffice-Tätigkeiten Arbeitsschutzpflichten treffen, sind Durchsetzung und Überwachung der arbeitsschutzrechtlichen Anforderungen faktisch und rechtlich nur sehr beschränkt möglich. Da es sich bei der Wohnung des Arbeitnehmers um seine höchstpersönliche Lebensführung handelt, hat der Arbeitgeber keinen Zutritt dazu (Art. 13 GG), wenn ein solches Recht nicht explizit vereinbart ist. Aber auch bei Gewährung hätte der Arbeitgeber keinen kontinuierlichen Einfluss auf sämtliche häusliche Gefahren. Die Arbeitsschutzpflichten des Arbeitgebers beschränken und verdichten sich in diesem Fall im Wesentlichen zu Organisations- und Hinweispflichten. Inhaltlich sollte der Arbeitgeber den Arbeitnehmer daher zumindest auf die typischen Gefahren und Gefährdungen bei der Homeoffice-Arbeit sowie die psychischen Belastungen im Zusammenhang mit der Entgrenzung von Arbeits- und Freizeit aufklären und auf die Vorgaben des Arbeitszeitrechts hinweisen. Damit dürfte zunächst zumindest alles offensichtlich Zumutbare abgegolten sein.

 

III. Versicherungsschutz im Homeoffice

Im Laufe der Corona-Krise hat das Virus die Präsenzkultur in deutschen Betrieben und Büros gepflegt hinweggefegt, sodass die Tätigkeit im Homeoffice von der Ausnahme zur Regel geworden ist. Dies hat auch äußerst beachtliche und kuriose Auswirkungen auf versicherungsrechtliche Aspekte: Die gesetzliche Unfallversicherung deckt nur Unfälle bei einer beruflichen Tätigkeit ab, doch verblassen gerade beim Homeoffice die Grenzen zwischen Privatem und Beruflichen bis ins Konturlose. Welche konkreten Konsequenzen sich daraus ergeben, erfahren Sie in der Langversion des Beitrages.

 

IV. Datenschutz im Homeoffice

Datenschutzrechtliche Regularien wie die DSGVO (Datenschutz-Grundverordnung) sehen für Pandemien keine Ausnahmen vor. Besteht also die Möglichkeit, im Homeoffice zu arbeiten, so müssen auch dort die einschlägigen datenschutzrechtlichen Vorgaben eingehalten werden.

1. Datenschutzrechtliche Rahmenbedingungen im Homeoffice

Die Arbeit im Homeoffice unterliegt einigen datenschutzrechtlichen Besonderheiten. Da Arbeitnehmer bei der Homeoffice-Arbeit dem räumlichen Kontroll- und Einflussbereich des Arbeitgebers entzogen sind, ist ein besonderer Fokus auf die erforderlichen technischen und organisatorischen Maßnahmen zu legen, um einem Haftungsrisiko bestmöglich zu entgehen. Der Arbeitgeber hat zu gewährleisten, dass auch bei der Datenverarbeitung im Homeoffice die Grundsätze der Informationssicherheit, der Datensicherheit, des Datenschutzes sowie der Vertraulichkeit, Integrität und Verfügbarkeit gewährleistet sind. Dies setzt u.a. voraus, dass die betroffenen Daten ausschließlich den zur Datenverarbeitung Befugten in zulässiger Weise und zulässigem Umfang zugänglich sind und vor unbefugter Kenntnisnahme geschützt sind.

2. Datenschutzrechtlich sichere Ausgestaltung des Homeoffice

Neben den oben erwähnten datenschutzrechtlichen Rahmenbedingungen bei der Homeoffice-Arbeit, gilt es einige weitere Besonderheiten zu beachten. Aufgrund der stark eingeschränkten Kontroll- und Einflussmöglichkeiten des Arbeitgebers ist es umso wichtiger, diesem Defizit mit zusätzlich erforderlichen, technischen und organisatorischen Maßnahmen entgegenzuwirken.

a.) Allgemeine datenschutzrechtliche Anforderungen

Da eine soziale Kontrolle durch Kollegen und Vorgesetzte fehlt, empfiehlt sich allem voran eine intensive Schulung zum Datenschutz. Idealerweise erfolgt neben der ohnehin schon regelmäßig durchzuführenden Datenschutzschulungen eine separate und eindringliche Sensibilisierung für den Datenschutz mit Blick auf die Risiken im Homeoffice und den Haftungsfolgen und Sanktionen im Falle eines Datenschutzverstoßes.

b.) Einsatz von Konferenz- und Videotelefonie-Software

Datenschutzrechtliche Risiken ergeben sich insbesondere, wenn es um Konferenzsoftware geht. Sind neben klassischen Videokonferenzlösungen auch neuere Dienste verfügbar, die bspw. das Teilen von Bildschirminhalten, eine Integration von Kalenderinhalten oder den gemeinsamen Zugriff der Anwender auf Dokumente erlauben, kann der Einsatz ein eigenständiges Sicherheitsrisiko darstellen. Dadurch werden nämlich neben den jeweiligen Teilnehmerdaten auch die sonstigen übertragenen Daten auf Servern der jeweiligen Diensteanbieter verarbeitet. Datenschutzrechtlich handelt es sich bei der Einbindung eines Konferenzdienstes um einen Fall von Art. 28 DSGVO und damit um eine Auftragsdatenverarbeitung. Daher muss der Verantwortliche nicht nur einen entsprechenden Auftragsverarbeitungsvertrag (AVV) mit dem Provider schließen, sondern auch sicherstellen, dass die Datenverarbeitung durch den Anbieter DSGVO-konform ist, Art. 28 Abs. 1 DSGVO. Diese Voraussetzungen sind vom Verantwortlichen zu prüfen und zu kontrollieren. Daher scheidet eine Beauftragung in der Regel aus, wenn es tatsächliche Hinweise auf datenschutzrechtswidrige Datenverarbeitungen vorliegen. Wer sich dennoch sehenden Auges ins Risiko bringt, der wird sich bei der Sanktionierung grobe Fahrlässigkeit, wenn nicht Vorsatz, anlasten lassen müssen. Derzeit stellt sich die datenschutzkonforme Auswahl eines Konferenzanbieters als schwierig dar. Bei einem erst kürzlich erfolgten Test der Berliner Beauftragten für Datenschutz und Informationssicherheit sind insbesondere populäre Dienste wie Zoom, Skype for Business und Microsoft Teams durchgefallen. Auch wenn die Einschätzung der Berliner Datenschutzaufsicht nicht rechtsverbindlich ist, ist insoweit Vorsicht geboten.

c.) Besonderheiten bei „Bring your own device“

Sollte krisenbedingt auf eine bring your own device policy unter Verwendung von arbeitnehmerischen Fremdgeräten zurückgegriffen werden, birgt dies zusätzliche Gefahren. Der Arbeitgeber wird regelmäßig keine Kontrolle über das Gerät, das genutzte Betriebssystem oder die installierte Software haben. Ohne technische Sondermaßnahmen bestünde die Gefahr einer unzureichenden Trennung von privaten und betrieblichen Daten, ebenso die Möglichkeit, einer unkontrollierten Speicherung und Vervielfältigung der Daten. Der Kontrollverlust wäre datenschutzrechtlich grob fahrlässig. Doch sind auch diese Risiken durch den Einsatz spezieller Tools und IT-Systeme beherrschbar. Durch sog. Container-Applikationen können zwei voneinander getrennte Nutzeroberflächen geschaffen werden. Die Betriebsoberfläche kann durch eine Verbindung mit dem Firmennetzwerk via VPN-Tunnel erfolgen, sodass betriebliche Daten lediglich mittels Terminalserver oder Citrix-Umgebung verarbeitet werden. Damit entsteht eine technisch vermittelte physische Trennung von Privatem und Beruflichem. Die Betriebsoberfläche kann dabei vollständig durch die arbeitgeberische IT-Einheit administriert werden, sodass im Rahmen eines in sich geschlossenen IT-Systems eine nahezu gleichwertige Kontrolle zu Betriebshardware abgebildet werden kann.

 

V. Steuerrecht im Homeoffice

Corona muss beim Homeoffice aber rechtlich nicht nur Unliebsames mit sich bringen, möglicherweise hat die Pandemie auch positive Auswirkungen, z.B. auf die steuerrechtliche Beurteilung. Gerade im Zusammenhang mit der Homeoffice-Tätigkeit werden beidseits weitere unvorhergesehen Ausgaben eingetreten sein. Es fragt sich, wie es um die steuerliche Erstattungs- und Abzugsfähigkeit, die Auslegung des häuslichen Arbeitszimmers als Abzugsposten sowie die Zahlung von Corona-Sonderprämien und Zuschüssen bestellt ist. All dies erfahren Sie in der Langversion des Beitrages.

 

Fazit

Die Corona-Pandemie stellt alle Beteiligten vor noch nie zuvor geahnte Hürden. Trotz allem ist der rechtliche Rahmen gegeben, auch wenn dieser zurzeit genauso dynamisch und lebhaft wie die Pandemie selbst ist. Das Recht kennt für Pandemien keine Ausnahmen und wird dadurch erst recht nicht ausgehebelt. Daher sollte sich bestmöglich darangehalten und die aktuelle Gesetzgebung und Rechtsprechung im Blick behalten werden, um keine bösen Überraschungen fürchten zu müssen. Wer sein Bestmögliches aller Erschwernisse zum Trotz tut, der wird in der Regel mit Milde belohnt werden. Denn dem Recht bleibt immanent, dass es keinem ein Unmögliches aufbürdet und das Unzumutbare nicht verlangt.

Der Autor: Erfan Khorasani ist Sachverständiger für Datenschutz, DS-Experte sowie Auditor und DSB bei der Blue Mountain Consulting GmbH. Neben seiner Gutachter- u. Beratertätigkeit ist er für den Bereich Datenschutz & Compliance verantwortlich.