Notfallplan & Home Office Regelung

Erstellt am von hlenz

KEIN NOTFALLPLAN & KEINE REGELUNGEN FÜR HOME OFFICE / MOBILES ARBEITEN?

Was kann und sollte nachträglich noch geregelt werden?

Unternehmen und sonstige größere Organisationen sollten generell über eine Planung verfügen, die Maßnahmen in Notfällen wie Feuer, Einbruch / Vandalismus, Terror- oder Cyberangriffe etc. verbindlich regeln. Vorgenannte Maßnahmen wurden von vielen Unternehmen berücksichtigt, womit die meisten jedoch nicht gerechnet haben ist das mögliche Ausmaß von Pandemiemaßnahmen wie COVID-19!

Allen Notfällen gemein ist die Tatsache, dass die Geschäftsräume nicht oder nur in Teilen genutzt werden können und es letztlich auf eine „Home Office Tätigkeit“ oder „Mobiles Arbeiten“ hinausläuft und das bedarf einer Regelung, die in Teilen auch noch nachträglich erfolgen kann und sollte.

Der Vorteil eines Notfallplans ist die sofortige Verfügbarkeit aller wichtigen Kontaktdaten und die unverzügliche Anwendbarkeit der jeweils nötigen Maßnahmen. Sollten Sie, wie derzeit doch einige Unternehmen, weder über einen Notfallplan noch über Regelungen zu Home Office bzw. zum mobilen Arbeiten verfügen, zeigen wir Ihnen in Kapitel III., wie Sie sich zwischenzeitlich behelfen können.

Nachfolgende Ausführung deckt die wichtigsten Ansätze ab, erhebt jedoch keinen Anspruch auf Vollständigkeit und übernimmt hierfür auch keine Gewähr.

I.         Was sollte ein Notfallplan beinhalten?

So individuell die Unternehmen sind, so individuell sind auch die Anforderungen an einen Notfallplan!
Nachfolgender „10 Punkte Plan“ sollte nach seiner Realisierung auf einem separaten Medium (z.B. USB-Stick) gespeichert und den einzelnen Mitgliedern des Notfallteams übergeben werden.

1. Benennung des Notfallteams

Das Notfallteam sollte aus mindestens folgenden Mitgliedern bestehen:

  • Verantwortliche (meist die Geschäftsleitung)
  • „Notfallbeauftragte“ oder „Risikomanager*innen“ und  Vertretungen, zuständig für die Kommunikation zwischen Geschäftsleitung und Beschäftigten
  • IT Verantwortliche (Festlegung auf datenschutzkonforme Kommunikationstools,  Einrichtung von Betriebsmitteln, Gewährleistung der Wiederherstellung des Datenbestandes und Einrichtung der Telearbeitsplätze etc.) / Datenschutzbeauftragte

2. Aufgabenzuweisung an die jeweiligen Notfallteammitglieder
Festlegung,
welches Notfallteammitglied (WER),
welche Aufgaben (WAS),in welchem Bereich erfüllt (WO),
und wie diese Maßnahmen im Notfall (WIE)
und an wen kommuniziert werden (WEN).

3. Erfassung der Kontaktdaten aller Beschäftigten inklusive privaten Anschriften,  E-Mail Adressen bzw. Telefonnummern, da z.B. bei einem Cyberangriff nicht auf die Unternehmenskontakte zugegriffen werden kann und die Beschäftigten ggf. unter ihrer Privatadresse erreicht werden müssen.

4. Relevante Beschäftigte für einen Notbetrieb
Festlegung der jeweiligen Abteilungen und Beschäftigten, die die wichtigsten Bereiche abdecken und einen Notbetrieb aufrechterhalten können.

5. Kontaktdaten von Unternehmen und Institutionen, die im Notfall ggf. informiert werden müssen:

  • Übersicht aller Kontaktdaten, die im Notfall erforderlich sind, z.B.
  • Polizei , Feuerwehr
  • alle relevanten Versicherungen inkl. Versicherungsnummern (z.B. Haftpflicht- bzw. Inhaltsversicherung etc.)
  • Betriebsnummer / Steuer-IDs etc.
  • Vermieter
  • Steuerberater / Bundesagentur für Arbeit
  • zuständiges Gesundheitsamt, z. B. im Epidemie- oder Pandemiefall
  • Landesamt für Datenschutzaufsicht
  • Verwaltungs-Berufsgenossenschaft (VBG), Mitgliedsnummer der gesetzl. Unfallversicherung inkl.
  • Webadresse für (zwischenzeitliche) Postnachsendeaufträge
  • Webadresse für (zwischenzeitliche) Paketdienste-Nachsendeaufträge
  • Adressen von Gebäudereinigungsunternehmen (ggf. auch qualifiziert für Hygienemaßnahmen)

6. Feststellung von Gefahrenlagen und erforderliche Maßnahmen
Neben den Auswirkungen für die Beschäftigten, sind die Maßnahmen festzulegen, die in folgenden Fällen getroffen werden.

  • Feuer
  • Wasserschäden
  • Einbruch / Diebstahl
  • Cyberangriffe
  • Terrorangriffe
  • Pandemie / Quarantäne

7. Festlegung Ersatzstandorte

  • Abwägung von welchen Ersatzstandorten übergangsweise gearbeitet werden könnte, z.B. Mietbüros, Hotels, Home Office vs. Mobiles Arbeiten
  • Eruierung von Adressen für Ersatzstandorte

8. Arbeitsvertragliche Regelungen oder Vereinbarungen zum Home Office / Mobilen Arbeiten
Achtung: Hier gibt es unterschiedlichen Regelungsbedarf, siehe Kapitel II.

9. Schulung der Beschäftigten für den Notfall (inkl. Handout mit den wichtigsten Inhalten für die Beschäftigten):
Verhalten bei Feuer, Wasserschäden, Einbruch / Diebstahl, Cyberangriff oder im  Pandemiefall / Quarantäne:

  • Benennung von Ansprechpartnern
  • Benennung von Ersatzstandorten
  • Erläuterung der Voraussetzung für Tätigkeiten im Home Office  / Mobiles Arbeiten in Form einer arbeitsvertragliche Regelung oder einer Unternehmensanweisung
  • Informationen zum geplantem Wiederanlauf

10. Wiederanlaufplan und regelmäßige Evaluierung
Es sollte ein fester Zeitraum festgelegt werden, in dem alle Verantwortlichen die vorgenannten Maßnahmen überprüfen und aktualisieren (Beschäftigtenbestand, Kontaktdaten, Ersatzstandorte, Zuständigkeiten etc.).

II.        Arbeitsvertragliche Regelungen oder Vereinbarungen bzw.
           Anweisungen zum Home Office bzw. Mobilen Arbeiten

Das Thema „Home Office“ ist zwar in aller Munde, gemeint aber ist wohl eher das „Mobile Arbeiten“, da die Tätigkeit im Home Office gemäß § 2 Abs. 7 Arbeitsstättenverordnung (ArbStättV)unterworfen ist und dort unter „Telearbeitsplätze“ mit klaren gesetzlichen Vorgaben fällt.
Home Office Arbeitsplätze oder Telearbeitsplätze „sind vom Arbeitgeber fest eingerichtete Arbeitsplätze im Privatbereich des Arbeitnehmers“ inkl. arbeitsvertraglichen und datenschutzrechtlichen Regelungen zu Arbeits- und Pausenzeiten, Beschaffenheit der Arbeitsumgebung (Mobiliar, Betriebsmittel)  etc.

Die Praxis:

Unserer Erfahrung nach hat die Mehrheit der Unternehmen den Home Office Arbeitsplatz ihrer Beschäftigten weder komplett eingerichtet, noch wird die Einhaltung der Vorgaben vor Ort kontrolliert (wozu sie jedoch verpflichtet sind).
Deshalb findet in den meisten Fällen und insbesondere in Zeiten von Pandemie Maßnahmen, eher das „Mobile Arbeiten“  Anwendung.
Für die Tätigkeit im „Home Office“ bzw. für das „Mobile Arbeiten“ sollten folgende Faktoren berücksichtigt werden:

1. Arbeitsrechtliche Regelung, Vereinbarung oder Unternehmensanweisung mit folgenden Mindestinhalten:

  • Tätigkeit außerhalb der Geschäftsräume nur auf Anordnung der Geschäftsleitung
  • Verhalten während der Tätigkeit außerhalb der Geschäftsräume zzgl. Verschwiegenheitsverpflichtung (Wahrung von Geschäftsgeheimnissen)
  • Tätigkeit nur an Orten, die aus datenschutzrechtlicher Sicht geeignet sind, z.B. Schutz des Betriebsmittels vor Zugriff bzw. des Bildschirm durch Dritte (Dritte sind alle Personen, die nicht zum Unternehmen gehören, auch engste Angehörige!), dienstliche Telefonate nicht im Beisein Dritter, sichere Aufbewahrung des Betriebsmittels und der Geschäftsunterlagen etc.
  • Arbeits- und Pausenzeitregelungen (ggf. flexible Arbeitszeiten, Berücksichtigung der Erreichbarkeit in Abhängigkeit der häuslichen Situation etc.)
  • Vereinbarung zur datenschutzkonformen Nutzung der Betriebsmittel (lizensierte Software, keine Downloads etc.)
  • Kontrollmöglichkeiten des heimischen Arbeitsplatzes durch den Arbeitgebers oder  eines Bevollmächtigten
  • Kostenübernahmeregelung (z.B. anteilige Kosten an den Nebenkosten)

2. Dienstliche Betriebsmittel versus Privatrechner
Zu bevorzugen ist der Einsatz von dienstlichen Betriebsmitteln inkl. lizenzierter Software und installierter VPN Anbindung.
Zu den Nutzungsbedingungen der Betriebsmittel ist eine Vereinbarung zu schließen, die u. a. eine private Nutzung untersagt, da nur dies einen ungehinderten Zugriff auf die Betriebsmittel zulässt.
Die Konfiguration der Betriebsmittel sollte von den IT- Verantwortlichen vorgenommen und überwacht werden.

Das derzeitige rasche Fortschreiten der Maßnahmen zur Pandemieeindämmung und damit verbundene hohe Finanzaufwendung sowie Beschaffungsschwierigkeiten, führten dazu, dass viele Beschäftigte ihre Privatrechner nutzen.
Diese sollten jedoch auch zwingend über eine VPN Anbindung verfügen, um eine sichere Kommunikation zu gewährleisten und entsprechenden Schutz aufweisen. Ohne diese interne Verbindung entspricht eine Tätigkeit außerhalb der Geschäftsräume nicht den datenschutzrechtlichen Vorgaben!
Auch ist ein Kontrollrecht des Privatrechners durch den Arbeitgeber ausgeschlossen und nur  bei  dienstlichen Betriebsmitteln zulässig.
Zu klären ist u.a. auch, ob mehrere Personen einen Privatrechner nutzen oder ob dieser allein den Beschäftigten zur Verfügung steht. Nutzen mehrere Personen einen Privatrechner sollte von der Ausübung einer Home Office Tätigkeit bzw. vom Mobilem Arbeiten abgesehen  und die Anschaffung eines dienstlichen Betriebsmittels in Erwägung gezogen werden.

3. Abstimmungen zu Zusammenarbeit und Kommunikation in Home Office Zeiten
Für die Tätigkeit im Home Office oder das Mobile Arbeiten sollten klare Regeln in einer Unternehmensanweisung oder Vereinbarung getroffen werden, insbesondere was Kommunikationszeiten und Feedback betrifft. Je nach häuslicher Situation sollten auch flexiblere Arbeitszeitmodelle in Erwägung gezogen werden. 

4. Datenschutz
Die Beschäftigten sollten im Umgang datenschutzrechtlicher Voraussetzungen zur Tätigkeit im Home Office bzw. beim Mobilen Arbeiten geschult und sensibilisiert werden, u. a. dass die gleichen Regeln zur Verschwiegenheit gelten wie am Geschäftssitz auch.


III.             Was tun, eine Vereinbarung zur Tätigkeit im Home Office im Arbeitsvertrag fehlt?

1. Nachträgliche Unternehmensanweisung Home Office / Mobiles Arbeiten

Sollten die Beschäftigten die Tätigkeit im Home Office oder das Mobile Arbeitens bereits aufgenommen haben und die damit verbundenen Verpflichtungen noch nicht geregelt sein, kann z.B. auch nachträglich eine Unternehmensanweisung durch den Arbeitgeber erlassen werden.
Die Mindestanforderungen entsprechen dem v. g. Kapitel II Ziffer 1 bis 4 und sollten u.a. das Verhalten außerhalb der Geschäftsräume, Arbeits- und Pausenzeiten, Datenschutzbelange u.v.m. regeln. Die Beschäftigten sollten den Erhalt der Anweisung bestätigen, damit  etwaige Verstöße geahndet werden können.

Der Arbeitgeber sollte sich jedoch immer versichern, dass die Voraussetzungen einer  datenschutzkonformen Tätigkeit auch außerhalb der Geschäftsräume eingehalten werden kann, zumal ihm eine Kontrollpflicht obliegt, z.B. sollte im Falle von Kundentelefonaten ein separater abschließbarer Raum vorhanden sein. Im Notfall kann auch von den üblichen Geschäftszeiten abgewichen werden, um den Beschäftigten zumindest stundenweise ungestörte Kommunikation zu ermöglichen.

Auch eine anteilige Übernahme der entstehenden Mehrkosten, die durch die Tätigkeit im Home Office oder durch das Mobile Arbeiten entstehen, sollte berücksichtigt werden, insbesondere wenn es sich um eine längerfristige Tätigkeit außerhalb der Geschäftsräume handelt.  

Von einer einseitigen Anordnung von Home-Office Tätigkeiten bzw. mobilem Arbeiten ohne Rücksprache zu den häuslichen Verhältnissen der Beschäftigten und ohne entsprechende Ausstattung mit Betriebsmitteln raten wir dringend ab. Eine einvernehmliche Lösung mit den Beschäftigten erhöht die Sicherheit und auch die Akzeptanz!

2. Arbeitsvertragliche Vereinbarung
Auch eine einvernehmliche arbeitsvertragliche Vereinbarung zum Home Office bzw. Mobilen Arbeiten kann nachträglich geschlossen werden und Anlage des Arbeitsvertrages sein.
Zu berücksichtigen ist u.a.,

  • Tätigkeit im Home Office bzw. des Mobilen Arbeitens sollte nur auf Antrag der Beschäftigten gestattet werden, z.B. um personelle Engpässe am Geschäftssitz oder Datenschutzverstöße zu vermeiden.
  • Einhaltung von Arbeits- und Pausenzeiten (ggf. Nachweis),
  • Gewährleistung einer datenschutzkonformen Tätigkeit außerhalb der Geschäftsräume, d.h. abschließbare Räume, die vertrauliche Telefonate zulassen und Bildschirm und Geschäftsunterlagen vor Zugriffen und Einblicken Dritter (auch Familienangehörige!) schützen etc.
  • Einsatz gesicherter Betriebsmittel: VPN-Anbindung, geheime Zugangspasswörter,  Firewall / Virenscanner, aktuelle Browserversionen, Einsatz lizenzierter Software,  etc.
  • Möglichkeit der jederzeitige Kontrolle des Betriebsmittels (von privaten Betriebsmitteln ist abzusehen, da hier kein Kontrollrecht besteht)
  • Zugangsberechtigung des Arbeitgebers zum Home Office (Einverständnis aller Bewohner muss vorliegen) / alternativ eine Versicherung der Beschäftigten
  • u.v.m.

Sollte v. g. Punkte nicht erfüllt werden können, so ist eine Tätigkeit im Home Office aus datenschutzrechtlichen Erwägungen eher nicht zu genehmigen.

Fazit

COVID-19 bedingte Einschränkungen haben dazu geführt, dass in vielen Fällen die erforderlichen Maßnahmen in einem Notfallplan nicht berücksichtigt werden konnten und häufig auch arbeitsvertragliche Vereinbarungen zum „Home Office“ oder zum „Mobilen Arbeiten“ fehlen. Deshalb sollten Arbeitgeber von einer nachträglichen „Vereinbarung“ oder einer „Unternehmensanweisung“ Gebrauch machen und die  wichtigsten arbeitsschutz- und datenschutzrechtlichen Regelungen berücksichtigen.
Die Vereinbarung als Anlage zum Arbeitsvertrag ist von Unternehmen und Beschäftigten unterzeichnet werden.
Die Unternehmensanweisung ist genauso bindend und kann vom Arbeitgeber an die Beschäftigten gesendet werden, der Erhalt der Anweisung sollte jedoch von den Beschäftigten bestätigt werden, um sicherzugehen, dass die Inhalte auch zur Kenntnis genommen wurden.

©Dipl.-Ing. Heike Lenz, Datenschutz Serviceteam Augsburg