Fürsorgepflicht von Arbeitgebern

Mitarbeiterschutz auf Datenbasis

Kommentar  von Götz Reinhardt  IDG ExpertenNetzwerk
Arbeitgeber müssen die Sicherheit ihrer Mitarbeiter gewährleisten. Das gilt im Büro, im Homeoffice und auch auf Geschäftsreisen. Hierbei können Anwendungen unterstützen, die vorhandene Datenpools nutzen. Aber bitte DSGVO-konform.
Auch auf Geschäftsreisen gilt die Fürsorgepflicht des Arbeitgebers für seine Mitarbeiter.
Foto: Hananeko_Studio - shutterstock.com

Politische Unruhen, Kriminalität oder gesundheitliche Risikofaktoren wie die aktuelle Corona-Pandemie zwingen Organisationen zu besonderen Maßnahmen, um den Schutz ihrer Mitarbeiter zu gewährleisten. Flexible Arbeitsmodelle und ein dynamischerer Umgang mit der Präsenzkultur im Büro erschweren Unternehmen diese Aufgabe. Zudem erfordern die fortschreitende Globalisierung und die Erschließung neuer Märkte, dass Unternehmen ihre Mitarbeiter ins Ausland entsenden. Virtuelle Meetings können den persönlichen Kontakt nicht gänzlich ersetzen.

Lesetip: Datenschutz in der COVID-19-Krise

Arbeitnehmerschutz - eine Verpflichtung für Unternehmen

Seit 1989 legt eine europäische Richtlinie die Pflicht von Arbeitgebern fest, ihre Mitarbeiter zu schützen. In Deutschland ist die sogenannte allgemeine Fürsorgepflicht des Arbeitgebers nicht ausdrücklich gesetzlich geregelt. Sie ergibt sich vielmehr als Nebenpflicht des Arbeitgebers aus dem Arbeitsverhältnis und gründet sich auf die Paragrafen 241, Absatz 2 und 618 des Bürgerlichen Gesetzbuches. Dabei sind sowohl öffentlich-rechtliche als auch privatrechtliche Arbeitsschutzbestimmungen zu beachten, unter die neben dem Gesundheitsschutz beispielsweise auch die Ausstattung des Arbeitsplatzes fällt. Die Fürsorgepflicht endet aber nicht, sobald der Mitarbeiter das Büro oder Werkgelände verlässt, sondern greift auch bei flexiblen Arbeitsmodellen wie dem Arbeiten von zu Hause oder auf Geschäftsreisen.

Schicken Arbeitgeber ihre Mitarbeiter auf Geschäftsreise oder entsenden sie für einen längeren Zeitraum an eine ausländische Niederlassung, müssen sie vor der Abreise über die Gesundheits- und Sicherheitsbedingungen im Zielland informieren. Die Verpflichtungen von Arbeitgebern beschränken sich jedoch nicht auf Vorabinformationen. Auch während ihrer Abwesenheit vom Büro müssen sie ihren Mitarbeitern unterstützend zur Seite stehen - beispielsweise mit Informationen zu alternativen Reisemöglichkeiten bei Streiks oder mit schneller Hilfestellung bei politischen Unruhen. Im Krankheitsfall gilt es, angemessene Standards bei der medizinischen Versorgung oder einen Rücktransport ins Heimatland zu garantieren.

Arbeitsrecht im Homeoffice
Rechte und Pflichten im Home-Office
Auch im Home-Office gilt das Arbeitsrecht. Welche Rechte und Pflichten Arbeitnehmer und Arbeitgeber haben, erklärt Claudia Knuth, Fachanwältin für Arbeitsrecht im Hamburger Büro der Kanzlei Lutz Abel.
Der Arbeitgeber entscheidet
Der Arbeitnehmer hat keinen Anspruch auf einen mobilen oder häuslichen Arbeitsplatz. Letztlich entscheidet der Arbeitgeber, dem die Gestaltungsfreiheit der betrieblichen Organisation zusteht.
Rechtslage beachten
Wer Ausdrucke, Dateien oder weitergeleitete E-Mails mit nach Hause nimmt, riskiert arbeitsrechtliche Sanktionen, je nach Sensibilität der Informationen sogar bis hin zur Kündigung. Mitarbeiter sollten sich daher vorher mit dem Arbeitgeber genau abstimmen, ob und welche Firmenunterlagen sie mit nach Hause nehmen dürfen.
Voraussetzungen prüfen
Grundsätzlich muss die Tätigkeit des Mitarbeiters dafür überhaupt geeignet sein. Betriebliche Termine, Kundentermine und Besprechungen sollten Vorrang haben. Wenn die Mobilarbeit ohne Störung in die betrieblichen Abläufe eingefügt werden kann, sollte außerdem die gleiche Effizienz der Arbeitsleistung wie bei Präsenzarbeit sichergestellt werden.
Arbeitszeiterfassung klären
Anstatt zum Arbeitsbeginn und -ende ein- und auszustempeln, sollte im Home-Office notiert werden, wie lange der Arbeitnehmer am Tag in der Woche gearbeitet hat. Voraussetzung dafür ist eine vertrauens- und ergebnisorientierte Arbeitskultur, da die Zeiterfassung schwerer kontrolliert werden kann. Das Arbeitszeitgesetz gilt auch außerhalb des Büros: Die Höchstarbeitszeit pro Tag (maximal zehn Stunden), die Ruhezeiten (mindestens elf Stunden) sowie das Sonn- und Feiertagsverbot müssen eingehalten werden.
Datenschutz sicherstellen
Der Arbeitgeber muss die nötigen Schutzvorkehrungen treffen. Zum Beispiel kann über die Nutzung von VPN-Verbindungen ein sicherer Datentransfer garantiert werden. Wichtig ist, dass nur vom Arbeitgeber freigegebene Software und Dateien verwendet werden. Der Mitarbeiter muss sicherstellen, dass außer ihm niemand, auch keine Familienangehörigen, Zugang zu den verwendeten mobilen Endgeräten erhält. Außerdem dürfen Passwörter nicht an Dritte weitergegeben werden oder fahrlässig leicht zugänglich aufbewahrt werden.
Mitspracherechte des Betriebsrats
Der Betriebsrat hat bei der Entscheidung für oder gegen mobiles Arbeiten kein Mitspracherecht. Bei manchen Änderungen allerdings schon, zum Beispiel bei Änderung der Arbeitszeiten, der Nutzung von noch nicht mitbestimmten technischen Einrichtungen, der Verhütung von Arbeitsunfällen oder bei Versetzungen. Durch den neu eingeführten Paragrafen 87, Absatz 1, Nummer 14 des Betriebsverfassungsgesetzes (BetrVG) wurden die Mitbestimmungsrechte ergänzt, sodass der Betriebsrart auch in den Planungsprozess einbezogen werden sollte.
Kostenübernahme
Wenn der Arbeitgeber Home-Office gewährt, muss er auch die erforderlichen Kosten übernehmen. Das schließt die Büroausstattung, die technische Ausstattung und die Telekommunikationskosten mit ein. Entweder wird der Arbeitnehmer mit allem Notwendigen ausgestattet oder er nutzt seine eigenen Endgeräte ("Bring your own Devices"). Für welche Variante oder Mischkonstellation man sich auch entscheidet, eine vertragliche Grundlage ist unverzichtbar.

Spätestens an dieser Stelle dürfte klar sein: Besonders in der heutigen Zeit sehen sich Unternehmen bei der Einhaltung ihrer Fürsorgepflicht mit einigen Herausforderungen konfrontiert. Um ihrer Schutz- und Hilfspflicht ordnungsgemäß nachzukommen, ist es essenziell, dass sie schnell in Erfahrung bringen können, wo sich ihre Mitarbeiter gerade aufhalten. Dafür müssen sie die Möglichkeit haben, den Standort ihrer Mitarbeiter möglichst in Echtzeit nachvollziehen zu können. Hier stoßen sie allerdings zunehmend an Grenzen: Flexible Präsenzmodelle erschweren die Standortbestimmung und sich dynamisch ändernde Ein- und Ausreisebestimmungen erfordern eine hohe Flexibilität und Umbuchungen.

Zudem buchen Mitarbeiter ihre Reisen heute oft selbst und nicht immer über unternehmenseigene Kanäle. Das macht es schwieriger, vollständige Reservierungsdaten zu erfassen, den Aufenthaltsort der Mitarbeiter zu bestimmen, mit ihnen in Verbindung zu bleiben und sie im Notfall schnell nach Hause zu bringen. Eine weitere Herausforderung stellt die Kommunikation mit den Mitarbeitern dar, wenn sie geschäftlich viel unterwegs sind. Im Ernstfall müssen Arbeitgeber, wie auch Arbeitnehmer auf zuverlässige und robuste Kommunikationsmittel und -wege zurückgreifen können.

Verfügbare Daten für den Mitarbeiterschutz nutzen

Mit modernen Technologien können sich Unternehmen zumindest teilweise auf das Unerwartete vorbereiten und sich selbst Handlungsspielraum schaffen. Ein Beispiel dafür sind Cloud-Lösungen im Reisemanagement, die die digitale Abbildung von Reiserichtlinien ermöglichen. Auf Basis von Echtzeitdaten wie Reisebuchungen und Abrechnungen, der Analyse von Reiseplänen und der Ermittlung von Routenänderungen sowie die Lokalisierung der Mitarbeiter können solchen Tools eine genaue Einschätzung der Risikoexposition ermöglichen.

Plant ein Unternehmen den Einsatz einer Risikomanagement-Lösung, sollten alle Mitarbeiter zu den Tools und Anwendungen geschult werden. Indem sich Mitarbeiter unter Anleitung mit den digitalen Lösungen vertraut machen, können Nutzungsbarrieren gleich zu Beginn abgebaut werden. Die Beschäftigung mit den Anwendungen trägt zudem zum Verständnis der erfassten Daten und deren Weiterverarbeitung bei. Haben Mitarbeiter einmal verinnerlicht, dass die Datenverarbeitung zu ihrem Schutz erfolgt und sie nicht mehr als Eindringen in ihre Privatsphäre empfinden, können Unternehmen dem derzeit vorherrschenden Vertrauensmangel aktiv entgegenwirken. Laut einer von Innofact AG und SAP Concur durchgeführten Umfrage vertrauen nur 65 Prozent der Arbeitnehmer und Arbeitnehmerinnen darauf, dass ihr Arbeitgeber ihnen auch in einer Krisensituation schnell und zuverlässig helfen kann.

IT-Sicherheit: Menschliche Datenschutz-Fails
Großbritannien: Cabinet Office
In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert.
Frankreich: TV5 Monde
Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“).
USA: Department of Veterans Affairs
Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten.
Norwegen: Steuerbehörde
Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem".
Belgien: Gesellschaft der Belgischen Eisenbahnen
Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.

Die angeführten Technologien sind jedoch nutzlos, wenn das Unternehmen nicht über die notwendigen HR-, Reise- und Spesendaten verfügt, die Teil der benötigten Informationen für die entsprechenden Analysen sind. Dies wirft wiederum Fragen zum Schutz der Privatsphäre und der Vertraulichkeit persönlicher Daten auf, die zu den Schlüsselthemen der Datenschutzgrundverordnung (DSGVO) gehören. Hier bedarf es zunächst einer umfassenden Aufklärung der Mitarbeiter darüber, welche Daten mitgelesen werden und welchem Zweck deren Auswertung letztlich dient. Haben Mitarbeiter erst einmal verstanden, dass ihnen dadurch im Ernstfall schneller geholfen werden kann, können sie datenbasierten Lösungen offener gegenüberstehen. 89 Prozent der deutschen Berufstätigen wären laut besagter Umfrage bereit, personenbezogene Daten zu teilen, wenn sie damit zu einem verlässlichen Sicherheitsprogramm beitragen können.

Ohne Kommunikation und Schulung keine Akzeptanz

Auch in diesem Fall ist eine offene Kommunikation oft der Schlüssel zu mehr Akzeptanz neuer Technologien. Unternehmen sollten umfassend über die von ihnen ergriffenen Datenschutzmaßnahmen informieren. So können sie sich nicht nur vor einer Geldbuße schützen, sondern ihre Mitarbeiter außerdem ermutigen, wichtige Informationen zur Gewährleistung ihrer Sicherheit zu teilen.

Eine Standortbestimmung in Echtzeit ist nur mit Zustimmung des Mitarbeiters erlaubt.
Foto: Andrii Yalanskyi - shutterstock.com

Aus Respekt vor der Privatsphäre ihrer Mitarbeiter sollten Unternehmen immer deren vorherige Zustimmung zur Registrierung und damit zur Nutzung ihrer Position (Breiten- und Längengrad) einholen. Letztlich sollte garantiert werden, dass die Daten nicht gespeichert werden und dass eine Ortung nur im Falle einer aktuellen Gefährdung vorgenommen wird. Schaffen Unternehmen in diesen Punkten Transparenz, können sie Unsicherheiten und Zweifel seitens der Mitarbeiter häufig bereits zu Beginn abschwächen oder sogar gänzlich ausräumen.

Lesetipp: GDPR-Verstöße werden teurer

Die Pandemie wird den bisherigen Arbeitsalltag verändern - und das vielleicht dynamischer und unberechenbarer als je zuvor. Innerhalb dieses Anpassungsprozesses, den Unternehmen jetzt durchlaufen, können datenbasierte Technologien die notwendige Flexibilität und Reaktionsgeschwindigkeit bieten, die statische Prozesse nicht vollumfänglich zulassen. (bw)