Jahresbericht 1998
|
3.1 Wer nicht löschen will, muß büßen |
3.2 |
Trautes Heim - Job online |
Bei der Diskussion um rationelle Formen der Arbeitsorganisation spielt der Begriff der "Telearbeit" eine zunehmende Rolle. Vordergründig handelt sich dabei um eine neue Organisationsform, die erst durch die Informations- und Kommunikationstechnik möglich geworden ist. Sie erlaubt es, Arbeiten, die zuvor nur in Büroräumen der Dienststelle oder des Unternehmens möglich waren, an anderen Orten zu erbringen. Die Arbeitsaufträge werden online abgewickelt, das leidige Pendeln vom Wohnort zur Arbeitsstelle und zurück wird reduziert. Vorteilhaft für den Beschäftigten ist die Autonomie bei der Zeiteinteilung, die mit Vorteilen der Flexibilisierung von Arbeitszeit und -platz (einschließlich der Einsparung von Büroräumen) für den Arbeitgeber verbunden ist.
Die seit Jahrzehnten in vielen Forschungsprojekten und Publikationen theoretisch erörterten Ausgestaltungsmöglichkeiten werden mit zunehmender Geschwindigkeit realisiert. Während lange in der Forschungslandschaft der Spruch umging, es gebe mehr Forscher, die sich mit der Telearbeit beschäftigten, als Menschen, die Telearbeit verrichteten, eroberte die Telearbeit in den vergangenen Jahren mehr und mehr Terrain.
Auf globaler Ebene ist die fern vom Unternehmen stattfindende Softwareproduktion in Ländern mit hohem Ausbildungsstandard und gleichwohl günstigen Lohnkosten (wie Indien oder die baltischen Staaten), die weltweite Zusammenarbeit spezialisierter Firmen bei der Entwicklung moderner Technologie durch gemeinsame Produktentwicklung mit Hilfe moderner Designtechnologie oder die Ausnutzung der weltweiten Zeitzonen für das Angebot von Call-center-Diensten, die rund um die Uhr arbeiten, ohne dass Nachtschichten erforderlich wären, in aller Munde. Soweit personenbezogene Daten verarbeitet werden, sind zur Sicherstellung des Datenschutzes hier weltweite Abkommen erforderlich - das Problem ist erkannt, wenn auch noch eine Lösung nicht in Sicht ist.
Die globale Dimension des Problems überdeckt allerdings allzu leicht, dass sich die Tendenz, durch Arbeitsleistungen außerhalb Dienststelle zu einer Rationalisierung des Arbeitsablaufs zu kommen, auch in kleinerem Rahmen Bahn bricht. Auch im lokalen Rahmen wird das Bedürfnis stärker, Arbeit entfernt vom Büroplatz zu verrichten, sei es um kostengünstige Filialen zu errichten, auf Dienstreisen und bei anderen längeren Abwesenheiten gleichwohl arbeiten zu können oder trotz Kinderbetreuung oder anderer familiärer Umstände zumindest eine Teilzeitbeschäftigung wahrnehmen zu können.
Die Akzeptanz ist groß: 1998 haben sich nach Abschluss eines dreijährigen Pilotprojekts die Deutsche Telekom AG und die Deutsche Postgewerkschaft auf einen Tarifvertrag über Telearbeit [LINK] geeinigt. Von den Teilnehmern des Pilotprojektes hatten sich 97,8 % für eine Fortführung der Telearbeit ausgesprochen.
Auffallend, aber gleichwohl nicht überraschend ist bei alldem die überwiegende Behandlung sozialer Aspekte der Telearbeit, weniger jedoch die Beschäftigung mit datenschutzrechtlichen Problemen. Hier stellen sich jedoch Probleme, die gelöst werden müssen, damit die Telearbeit auch unter Aspekten des Datenschutzes akzeptabel ist. Diese Probleme sind nicht neu, sie haben sich schon immer ergeben, wenn Unterlagen aus dem Verfügungsbereich des Unternehmens oder der Behörde zur Bearbeitung herausgegeben oder -genommen wurden. Neu ist das Hinzukommen der Informations- und Kommunikationstechnik, sei es in der Form der isolierten Nutzung eines häuslichen PC oder gar der Vernetzung.
Am häufigsten war das der Fall, wenn Arbeiten zu Hause erledigt werden sollten: Die traditionelle Heimarbeit ist Ausgangspunkt der modernen Telearbeit. Der Regelfall ist, dass gestattet wird, einen Teil der Arbeitszeit zu Hause zu verrichten (alternierende (Tele-) Heimarbeit). Für bestimmte Berufe sowohl im öffentlichen (Lehrer, Richter) als auch im privaten Bereich (Außendienstmitarbeiter) gehört es zum Berufsbild, dass ein mehr oder weniger großer Teil der Arbeit, für die der Umgang mit personenbezogenen Daten wesentlich ist, zu Hause verrichtet wird. Daneben gab es schon immer Betätigungen, die von vornherein ausschließlich zu Hause verrichtet wurden (Gerichtsvollzieher, selbständige Handelsvertreter), obwohl sie in einen dienstlichen Zusammenhang eingebettet waren.
Hinzu treten neue Organisationsformen wie Satellitenbüros (Zweigstellen eines Unternehmens in Wohnraumnähe) oder Nachbarschaftsbüros (Arbeitsmöglichkeit für verschiedene Unternehmen).
Unabhängig davon, ob Telearbeit in der öffentlichen Verwaltung oder in einem Privatunternehmen geleistet werden soll, kommen grundsätzlich zwei Vertragsformen in Betracht: Sie kann im Rahmen eines Dienst- oder Arbeitsverhältnisses vereinbart werden, das ganz oder teilweise aus der Ferne abgewickelt wird, oder sie ist Bestandteil eines Werkvertrags.
Aus datenschutzrechtlicher Sicht liegt der Unterschied in dem verschiedenen Verantwortungsumfang für die personenbezogenen Daten, die verarbeitet werden sollen. Bei einer arbeits- oder dienstrechtlichen Vereinbarung bleibt der Telearbeiter Teil der Dienststelle bzw. des Unternehmens, sein Zugriff auf die Daten stellt eine Nutzung dar, deren Zulässigkeit sich allein nach den materiellen, für den Arbeitgeber geltenden Bestimmungen richtet. So sind Lehrer und Richter in der gleichen Weise zum Umgang mit den Daten verpflichtet, wie dies in der Dienststelle der Fall wäre, Arbeitnehmer, die zu Hause arbeiten, in der gleichen Weise befugt wie im Betrieb.
Gestattet der Arbeitgeber Heimarbeit in einem bestimmten Umfang oder wird von vornherein Heimarbeit arbeitsvertraglich oder dienstrechtlich vereinbart, sind allerdings in die Vereinbarungen Datenschutzklauseln aufzunehmen, die den Umfang der zulässigen Verarbeitung personenbezogener Daten regeln. Sie müssen zwar nicht die Befugnis zur Verarbeitung der Daten selbst umfassen, da sich diese ja bereits aus dem Arbeits- bzw. Dienstverhältnis ergibt. Je nach der Arbeitssituation zu Hause muss aber bestimmt werden, welche Daten mitgenommen werden dürfen bzw. auf welche Daten online zugegriffen werden darf sowie welche Sicherungsvorkehrungen zu treffen sind.
Anders sieht es aus, wenn die Telearbeit verselbständigt wird. Wird die Verarbeitung von Daten, etwa zu Erstellung von Schriftstücken, im Rahmen eines Werkvertrages vereinbart, handelt es sich um Datenverarbeitung im Auftrag, bei der die Daten nur im Rahmen der Weisungen des Auftraggebers verarbeitet werden dürfen. Diese müssen vertraglich festgelegt werden. Noch weiter würde eine Funktionsübertragung[71] gehen, bei der der (selbständige) Telearbeiter über den Umfang der Verarbeitung der Daten selbst entscheiden kann. Die Verträge müssen hier sicherstellen, dass sich die Verwertung der Daten des Auftraggebers im Rahmen der Zweckbestimmung der Übermittlung hält.
Welche Form auch immer gewählt wird: Die Verantwortlichkeit der Stelle, in deren Bereich die personenbezogenen Daten verarbeitet werden, muss durch organisatorische Vorkehrungen abgesichert werden. Hierzu gehört, dass festgelegt wird, wer über den Umfang der Telearbeit in welcher Form auch immer zu entscheiden hat und wer im konkreten Einzelfall die Herausgabe personenbezogener Daten verantwortet.
Die Herausgabe personenbezogener Daten aus dem räumlichen Bereich der Dienststelle birgt immer Risiken: Bei herkömmlichen Unterlagen ist dies der Verlust durch mangelnde Aufmerksamkeit - Aktenfunde auf der Straße oder in der U-Bahn sind nach wie vor in der Presse beliebte Skandale -, aber auch die Möglichkeit der Einsichtnahme durch Familienangehörige oder andere Personen in der Wohnung. Bei der Nutzung der IuK-Technik kommen die Möglichkeiten der Einsichtnahme und - hier verstärkt - der Fälschung durch Personen in Betracht, die Zugang zu der Datenverarbeitung haben, sei es auf dem Übermittlungsweg, sei es am Telearbeitsplatz.
Daraus folgt vor allem, dass die Verarbeitung personenbezogener Daten im Rahmen von Telearbeit auf das erforderliche Minimum beschränkt werden, ja dass die Verarbeitung bestimmter Datenarten, etwa medizinischer Daten, grundsätzlich ausgeschlossen werden muss. Dies macht Heim- und Telearbeit nicht unmöglich: Vielmehr ist nach Wegen zu suchen, ohne Personenbezug auszukommen.
Eine Möglichkeit ist, die Telearbeit auf Bereiche zu beschränken, bei denen personenbezogene Daten nicht vorkommen. Dies wird allerdings häufig kein gangbarer Weg sein. Als nächste Möglichkeit bietet sich die Pseudonymisierung an: Die identifizierenden Daten (insbesondere Name, Geburtsdatum und Adresse) werden durch Merkmale (z.B. Ziffern) ersetzt, mit deren Hilfe nur der Arbeitgeber selbst, aber nicht der Telearbeiter auf die Betroffenen rückschließen kann.
Ein Krankenhaus bat um Auskunft, ob es statthaft sei, wegen der bestehenden Raumnot Schreibarbeiten an fest angestellte Mitarbeiterinnen des Klinikums in Heimarbeit zu vergeben.
Grundsätzlich dürfen personenbezogene Daten, die einem Berufs- und besonderen Amtsgeheimnis unterliegen, nicht in Heimarbeit verarbeitet werden. Um derartige hochsensible Daten handelt es sich jedoch in den von den Schreibkräften anzufertigenden Arztberichten. Dies ist jedoch nicht mehr der Fall, wenn die Unterlagen, die im Rahmen der Heimarbeit anfallen, nicht (mehr) personenbezogen sind. In diesem Fall wäre Heimarbeit möglich.
Denkbar ist z.B., dass die Ärzten ihre Berichte von vornherein in pseudonymer Form, also unter Ausschluss identifizierender Daten abfassen. Die einzelnen Berichte erhielten dabei in der Entwurfsphase lediglich spezielle Kennzahlen, die dem jeweiligen Patienten zugeordnet sind (evtl. die Patientennummer). Nach Fertigstellung der Berichte könnten diese dann in den Diensträumen um die Personalien des Patienten ergänzt werden.
Technisch-organisatorische Maßnahmen
Ist es nicht möglich, die Heimarbeit auf die Verarbeitung anonymer Unterlagen zu beschränken, sind besondere technische und organisatorische Maßnahmen zu ergreifen, um den Schutz der personenbezogenen Daten zu gewährleisten.
Werden im Rahmen der Heimarbeit Unterlagen transportiert, seien es Akten, Diktierbänder oder Datenträger, müssen Vorkehrungen gegen die unbefugte Wegnahme oder Kenntnisnahme Dritter getroffen werden. So sollte in den Telearbeitsvertrag die Verpflichtung des Telearbeiters aufgenommen werden, das Fahrzeug oder die Aktentasche mit den Unterlagen nicht unbeaufsichtigt stehen zu lassen.
Sichergestellt werden muss auch, dass die Unterlagen und Datenträger so untergebracht werden können, dass eine unbefugte Nutzung ausgeschlossen wird (abschließbarer Schreibtisch, Schrank etc.). Die Beschaffung bzw. Bereitstellung der erforderlichen IT-Ausstattung (Geräte, Betriebssysteme, verwendete Standard- und Anwenderprogramme, Einrichtungen zur Datenfernverarbeitung) ist grundsätzlich Aufgabe des Arbeitgebers, der damit die Art und Weise der Verarbeitung der Daten bestimmen kann. Änderungen und Ergänzungen dürfen dann natürlich nur mit ausdrücklicher Zustimmung des Arbeitgebers erfolgen.
Erfolgt die Heimarbeit in Form eines Werkvertrags, wird der Heimarbeiter die Arbeitsmittel in der Regel selbst beschaffen. Hier müssen klare Vorgaben gegeben werden, die eine vertragswidrige Nutzung der Daten mit Hilfe der verwendeten Technik ausschließen. So muss sichergestellt werden, dass die im Rahmen des Werkvertrags verarbeiteten Daten nicht auf Geräten vorgehalten werden, in die z.B. wegen eines auf dem Gerät realisierten Zugangs zum Internet von außen eingedrungen werden kann - die bei größeren Teleanwendungen selbstverständlich einzurichtenden Firewalls[72] dürften im Normalfall der Teleheimarbeit zu aufwendig sein.
Bei der Nutzung der IuK-Technik sind alle datenschutzrechtlichen Anforderungen an Technik und Organisation umzusetzen. Besondere Bedeutung für die Sicherung der Integrität und Vertraulichkeit hat die Zugriffskontrolle. Bei der Heimarbeit kommt der Absicherung des Telearbeitsplatzes gegen die unbefugte Nutzung Dritter (Familienangehöriger, Nachbarn, Freunde etc.) besondere Bedeutung zu. Die Verschlüsselung der auf dem Telearbeitsplatz gespeicherten personenbezogenen Daten ist neben gängigen Authentifizierungsverfahren (Pin-Code, Chipkarte u. Ä.) das geeignetste Instrument gegen Missbrauch.
Unter den "zehn Geboten" zur Datensicherung befindet sich auch die Verpflichtung zur Eingabekontrolle, d.h. es muss möglich sein, nachträglich festzustellen, welche personenbezogenen Daten zu welcher Zeit von wem in das Datenverarbeitungssystem eingegeben wurden. Es sind daher Maßnahmen zu treffen, um die Authentizität des Telearbeiters, etwa mit Hilfe der digitalen Signatur, zu gewährleisten.
Schutz der Privatsphäre des Teleheimarbeiters
Mit jeder Form der Heimarbeit ist ein Eindringen in die Privatsphäre verbunden. Da keine unmittelbare Arbeitszeitkontrolle möglich ist, muss Heimarbeit jedenfalls dann in besonderer Weise protokolliert werden, wenn sie im Rahmen eines Arbeitsvertrags oder Dienstverhältnisses erfolgt - nur bei einer werkvertraglichen Lösung ist eine solche Kontrolle nicht erforderlich. Nahe liegt, die aus datenschutzrechtlichen Gründen erforderlichen Protokollierung auch zur Arbeitszeiterfassung zu nutzen. Dem steht allerdings die Zweckbindung der für die Datensicherung erhobenen Daten entgegen; diese dürfen für keine anderen Zwecke, mithin auch nicht zur Leistungs- und Verhaltenskontrolle genutzt werden (§§ 14 Abs.4, 31 BDSG, 11 Abs.5 BlnDSG). Für die Heimarbeitsvereinbarung ist ein Weg zu finden, der eine Protokollierung der Arbeitszeit unter möglichst hoher Wahrung der Privatsphäre ermöglicht. Dies ist gerade in den Fällen bedeutsam, in denen Heimarbeit wegen der familiären Verhältnisse vereinbart wird - es wäre inakzeptabel, wenn aus den Telearbeitsprotokollen die Stillzeiten junger Mütter ableitbar wären.
Gravierender ist ein anderes Problem: Die Kontrollierbarkeit der Datenverarbeitung ist ein wesentlicher Grundsatz des Datenschutzes. Sie muss auf zwei Ebenen gewährleistet sein: Zum einen gegenüber dem Arbeitgeber und Dienstherrn, die diese Kontrolle in der Regel durch die betrieblichen bzw. behördlichen Datenschutzbeauftragten ausüben, zum anderen gegenüber den externen Kontrollinstanzen, der Aufsichtsbehörde bzw. dem Datenschutzbeauftragten (die in Berlin in einer Hand liegen). Wird Heimarbeit geleistet, setzt die Kontrollierbarkeit den Zugang der Kontrollstellen zum Arbeitsplatz in der Privatwohnung voraus.
Für betriebliche und behördliche Datenschutzbeauftragte sehen die Datenschutzgesetze hierfür keine besonderen Befugnisse vor. Damit haben diese keine gesetzliche Möglichkeit zum Betreten der Privatwohnung, die ja in besonderem Maße grundrechtlich geschützt ist (Art.13 GG). Da aber das Unternehmen oder die Behörde für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich ist (§§ 18, 36 BDSG, 19 Abs.1 BlnDSG), muss auch hier die Kontrolle gewährleistet bleiben. Dies bedeutet, dass in die Vereinbarungen über die Heimarbeit entsprechende Zutrittrechte aufzunehmen sind, die allerdings dem Grundrechtsgehalt des Art.13 GG Rechnung zu tragen haben. Entsprechendes muss auch gelten, wenn die Telearbeit im Wege der Auftragsdatenverarbeitung vereinbart wurde.
Für Aufsichtsbehörden und Datenschutzbeauftragte ist die Situation scheinbar einfacher: Die Aufsichtsbehörden können bei Privatunternehmen, so weit dies für Prüfungen erforderlich ist, "während der Betriebs- und Geschäftszeiten Grundstücke und Geschäftsräume" betreten und "dort Prüfungen und Besichtigungen" vornehmen (§ 38 Abs.4 BDSG). Dem Berliner Datenschutzbeauftragten ist von öffentlichen Stellen des Landes "jederzeit Zutritt in alle Diensträume" zu gewähren (§ 28 Abs.1 Satz 1 Ziff.3 BlnDSG). Diese Befugnisse gelten in den Fällen unbeschränkt, in denen die Telearbeitsplätze als Geschäfts- oder Diensträume betrachtet werden können. Dies ist allerdings nur dann der Fall, in denen Daten auf werkvertraglicher Basis im Auftrag verarbeitet werden oder der häusliche Arbeitsplatz als Dienstraum gewertet wird (wie dies z.B. bei Gerichtsvollziehern der Fall ist).
In allen anderen Fällen gebietet das Grundrecht auf Unverletzlichkeit der Wohnung, dass eine ausdrückliche Einwilligung in das Betretungsrecht des Datenschutzbeauftragten abgegeben wird. Sie ist die Voraussetzung für eine rechtmäßige Vereinbarung von Heimarbeit.
Telearbeit hat in den letzten Jahren im Rahmen der europäischer Wirtschaftspolitik Aufmerksamkeit gewonnen. An zentraler Stelle des den europäischen Binnenmarkt prägenden Weißbuchs für Wachstum, Wettbewerbsfähigkeit und Beschäftigung[73] finden sich bereits Hinweise des ehemaligen Präsidenten der Europäischen Kommission, Jaques Delors, auf die Möglichkeiten der Telearbeit. Inzwischen ist anerkannt, dass nationale gesetzliche Rahmenbedingungen für die Telearbeit nicht ausreichend sind. Bereits im Juli 1995 hat der Bundesrat für den Bereich der EU europaweite Mindeststandards für Heim- und Telearbeit durch den Gesetzgeber gefordert und den Erlass einer entsprechenden EU-Richtlinie für notwendig erklärt[74]. Dies ist jedoch bis zum heutigen Tag nicht umgesetzt worden.
Dass dann, wenn Telearbeit über die nationalen Grenzen hinaus vereinbart wird, schwierige Probleme auftreten, zeigt ein Fall aus der Berliner Landesverwaltung.
Ein Beamter einer Landesbehörde wollte einen Teil seiner Arbeit in seiner Wohung in einer niederländischen Stadt verrichten. Da die Behörde daran interessiert war, den Mitarbeiter nicht zu verlieren, fragte sie nach den den datenschutzrechtlichen Voraussetzungen insbesondere vor dem Hintergrund der Bestimmungen der europäischen Datenschutzrichtlinie zum Datenexport.
Die entscheidende Frage war, ob diese Form der Heimarbeit nach Berliner Landesrecht abgewickelt werden konnte, so wie dies in anderen Fällen geschah, oder ob mit dem Transport bzw. der Übermittlung der Daten in die Niederlande nicht zusätzliche Vorschriften z.B. niederländisches Datenschutzrecht zu beachten sein würden.
In der Tat legt die europäische Datenschutzrichtlinie fest, dass dann, wenn in einem Mitgliedsstaat eine Betriebsstätte eines Unternehmens besteht, das in einem anderen Staat seinen Sitz hat, das Recht des Mitgliedstaates gilt (Art.4 EU-Richtlinie) - das würde bei entsprechender Anwendung im vorliegenden Fall bedeuten, dass der Arbeitsplatz des Mitarbeiters niederländischem Recht unterliegen würde, was jedenfalls im öffentlichen Bereich zu erheblichen Schwierigkeiten geführt hätte.
Wir haben die Auffassung vertreten, dass im vorliegenden Fall diese Regelung nicht gilt; der Heimarbeitsplatz, jedenfalls so weit er im Rahmen eines Dienstverhältnisses besteht, stellt keine eigene "Betriebsstätte" dar, sondern einen Annex der Berliner Dienststelle ohne Auswirkung auf das Rechtsregime. In Anlehnung an die "Käseglockentheorie" des Internationalen Privatrechts gilt hier ausschließlich deutsches Recht, natürlich einschließlich aller damit verbundenen Kontrollrechte.
Die niederländische Datenschutzbehörde Registratiekamer hat unsere Rechtsauffassung bestätigt, allerdings darauf hingewiesen, dass hinsichtlich der Datensicherungsvorschriften niederländisches Recht gilt - kein Schaden, da dieses eher strengere Anforderungen stellt als das deutsche.
3.3 Die ungeahnten Folgen eines fehlenden Fahrscheins |