Rechtliche Zulässigkeit von Datenschutzkontrollen im Homeoffice

Dr. Carlo Piltz

Viele Unternehmen lassen ihre Mitarbeiter derzeit im Homeoffice arbeiten. Die datenschutzrechtlichen Voraussetzungen dafür wurden in den vergangenen Wochen aufgrund von Corona abgesenkt. Die Frage, ob und inwieweit Kontrollen der umzusetzenden technischen und organisatorischen Schutzmaßnahmen durch den Verantwortlichen, den Auftraggeber einer Auftragsverarbeitung oder die Datenschutzaufsicht in privaten Räumlichkeiten notwendig und zulässig sind, ist jedoch bisher wenig thematisiert worden.

Dies ist angesichts der Relevanz der Fragestellung für Unternehmen zunächst verwunderlich. Ein Arbeitnehmer, der im Homeoffice mit personenbezogenen Daten arbeitet, ist zwar physisch nicht im Unternehmen und damit räumlich außerhalb des Verantwortlichen. Dies ändert jedoch nichts daran, dass das Unternehmen datenschutzrechtlich verantwortlich bleibt. Das Handeln des Arbeitnehmers wird dem Unternehmen insoweit zugerechnet. Der Arbeitnehmer agiert als verlängerter Arm bei der Verarbeitung durch das Unternehmen und nicht etwa als Auftragsverarbeiter des Arbeitgebers.

Soweit im Homeoffice personenbezogene Daten verarbeitet werden sind auch dort die Anforderungen des Art. 32 DSGVO zu beachten. Dieser verlangt vom Verantwortlichen und Auftragsverarbeiter die Umsetzung technischer und organisatorischer Maßnahmen zum Schutz der Daten. Die Maßnahmen müssen dem Risiko der Verarbeitung angepasst sein und dem Stand der Technik entsprechen. Geeignete Maßnahmen können beispielsweise darin bestehen, dass für das Homeoffice ein verschließbarer Raum genutzt wird, abschließbare Behältnisse zur Verfügung gestellt werden oder gewährleistet wird, dass Unterlagen und Bildschirme vor einer Einsicht durch Dritte insbesondere durch Fenster geschützt sind. Weitere Informationen dazu liefert das reuschlaw Whitepaper zu Datenschutz im Homeoffice.

Grundsätzlich muss die Umsetzung von Maßnahmen, die nach Art. 32 DSGVO notwendig sind, vom Verantwortlichen kontrolliert werden. Die DSGVO sieht keine Ausnahme für Kontrollpflichten im Homeoffice vor. Folglich besteht auch für das Homeoffice diese Kontrollpflicht. Während also inhaltlich unterschiedliche Anforderungen an die erforderlichen Schutzmaßnahmen zu stellen sind, besteht bei der Pflicht diese zu kontrollieren kein Unterschied. Es kommt nicht darauf an, ob eine Verarbeitung von personenbezogenen Daten am Firmensitz, am Wohnsitz eines Arbeitnehmers oder an einem mobilen Arbeitsplatz stattfindet. Zu den Kontrollrechten des Verantwortlichen hat sich der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) in seinem Faltblatt "Telearbeit und Mobiles Arbeit" im Jahr 2019 geäußert und festgehalten, dass "der Arbeitgeber darüber hinaus die Möglichkeit des Zugangs zur Wohnung des Beschäftigten haben" muss. Kontrollen vor Ort hat auch der Berliner Beauftragte für Datenschutz und Informationsfreiheit (bereits vor Geltung der DSGVO) in seinem Jahresbericht für das Jahr 2016 verlangt. Problematisch im Hinblick auf die Möglichkeit des Zugangs zur Wohnung des Arbeitnehmers ist jedoch Art. 13 des Grundgesetzes (GG). Dieser garantiert die Unverletzlichkeit der Wohnung und entfaltet, obwohl Grundrechte zwischen Privaten nicht unmittelbar gelten, eine gewisse Drittwirkung auf die Beziehung zwischen Privaten, wie etwa Arbeitgeber und Arbeitnehmer. Ein Zutritt zur Wohnung des Arbeitnehmers durch den verantwortlichen Arbeitgeber erfordert daher das Einverständnis des Beschäftigten sowie ggfs. auch weiterer Personen, welche im Haushalt des Arbeitnehmers leben, sofern in deren Grundrecht aus Art. 13 GG ebenfalls eingegriffen wird. Eine derartige Zustimmung ergibt sich, so die Auffassung des BfDI im bereits erwähnten Faltblatt, nicht schon stillschweigend aus der Vereinbarung zum Homeoffice an sich. Unternehmen ist daher zu raten, Kontrollrechte für Homeoffice-Arbeitsplätze explizit in Arbeitsverträgen zu regeln.

Neben Kontrollen des Verantwortlichen kommen auch Kontrollen des Homeoffice-Arbeitsplatzes durch die Datenschutzaufsicht in Betracht. Eine solche Befugnis der Behörde nimmt beispielsweise die hessische Datenschutzaufsicht in ihrem Jahresbericht aus dem Jahr 2003 (jedenfalls für die Rechtslage vor der DSGVO) an. Mit Blick auf den mit der Kontrolle verbundenen Grundrechtseingriff (denn für die Behörden gelten die Grundrechte unmittelbar) werden die Aufsichtsbehörden sich dabei jedoch nicht ohne Weiteres auf ihre Befugnisse in der DSGVO berufen können. Verantwortlichen ist daher zu raten zur Vermeidung von Unklarheiten im Rahmen der Vereinbarung von Kontrollrechten im Homeoffice auch Kontrollmöglichkeiten für die Datenschutzaufsicht vorzusehen. Von der Notwendigkeit einer derartigen Vereinbarung geht auch der BfDI in seinem Faltblatt (siehe oben) aus.

Schließlich ist auch an Kontrollrechte des Homeoffice-Arbeitsplatzes durch den Auftraggeber einer Auftragsverarbeitung zu denken, wenn der Arbeitgeber als Auftragsverarbeiter für seine Kunden agiert. Eine Vor-Ort-Kontrolle durch den Auftraggeber ist im Rahmen der Auswahl und Überwachung des Auftragnehmers einer Auftragsverarbeitung nach Art. 28 DSGVO nicht zwingend erforderlich. Gleichwohl ist ein Recht zur Vor-Ort-Kontrolle gelegentlich Bestandteil von Verträgen zur Auftragsverarbeitung. Ein derartiges Recht des Auftraggebers auf Vor-Ort-Kontrolle muss, sofern es nicht vertraglich ausgeschlossen ist, grundsätzlich auch im Homeoffice gewährleistet werden. Unternehmen, die personenbezogene Daten im Auftrag verarbeiten und Mitarbeiter im Homeoffice beschäftigen, sollten daher ihre Verträge, nicht nur im Hinblick auf das Homeoffice allgemein, sondern auch auf etwaige Kontrollrechte Dritter prüfen.

Unabhängig von den grundsätzlich bestehenden Kontrollrechten müssen Kontrollen aufgrund der aktuellen Situation derzeit unter Gewährleistung der Hygieneregeln stattfinden.

[Mai 2020]