Auch mit abflauender Corona-Pandemie ist Homeoffice in vielen Betrieben fester Bestandteil des Arbeitsalltags geworden. Doch die Arbeit von Zuhause aus kann Probleme nach sich ziehen: Der Firmenlaptop kann herunterfallen, Bedienfehler können zu einem Datenverlust führen – und Hacker können sich über die schlechter geschützte private Internetverbindung Zugriff auf das Firmennetzwerk und damit sensible Daten verschaffen. Wie sich Heimarbeiterinnen und -arbeiter und ihre Arbeitgebende schützen können – und wer haftet, wenn doch etwas passiert.
Was passiert, wenn mir ein Firmengerät kaputt geht? Was hat es dabei mit der Haftungsprivilegierung für Arbeitnehmer auf sich?
Egal, ob das Büroequipment im Betrieb steht oder ob im Homeoffice ein Dienstlaptop zum Einsatz kommt – ein Schaden kann immer entstehen. Da reicht es schon, wenn das Diensthandy herunterfällt, sich eine Teetasse über den Laptop ergießt oder ein Kurzschluss den Computer lahmlegt und wichtige Daten löscht. Die Haftung des Mitarbeiters gegenüber seinem Arbeitgeber ist in solchen Fällen allerdings eingeschränkt – man spricht hier von der sogenannten Haftungsprivilegierung bei betrieblich veranlassten Tätigkeiten.
In der Praxis bedeutet das konkret, dass bei leichter Fahrlässigkeit – etwa der über den Laptop vergossenen Teetasse – der Arbeitgeber komplett für den Schaden aufkommt. Bei grober Fahrlässigkeit ist die Höhe des Schadensersatzes gedeckelt, um die Mitarbeiter vor finanzieller Überforderung zu schützen. „Das bedeutet für Arbeitgeber, dass sie bei Schäden in jedem Fall mit Kosten rechnen müssen“, sagt Christina Müller, Rechtsexpertin bei der Nürnberger Versicherung. Allein bei vorsätzlich durch den Mitarbeiter verursachten Schäden kann der Mitarbeiter gegenüber seinem Arbeitgeber schadenersatzpflichtig sein.
Darf das Firmenequipment auch privat genutzt werden?
Zunächst einmal gilt, dass dienstlich zur Verfügung gestellte Geräte auch nur dienstlich genutzt werden dürfen. Möchten Arbeitnehmer sie auch privat nutzen, ist dafür eine ausdrückliche Erlaubnis durch den Arbeitgeber notwendig. In der Praxis wird die private Nutzung häufig gestattet.
Ob allerdings die Haftungsprivilegierung greift, hängt davon ab, ob der Mitarbeiter das beschädigte Gerät gerade dienstlich oder privat genutzt hat. Bei einem privaten Videocall oder beim Tippen einer privaten Mail liegt keine betriebliche Tätigkeit vor – und wer dann einen Schaden verursacht, muss im Regelfall selbst dafür aufkommen. „Entscheidend ist, dass der Arbeitgeber nachweisen muss, dass der Schaden während der privaten Nutzung passiert ist – und dass er auf Vorsatz, grobe oder mittlere Fahrlässigkeit des Mitarbeiters zurückzuführen ist“, erklärt Müller.
Wie kann man die Firmen-IT vor Hackerangriffen schützen?
In jedem Fall sollte das elektronische Firmennetzwerk für Arbeitnehmer nur über ein sicheres Passwort zugänglich sein, ebenso wie die Kommunikation per E-Mail nur über den Server der Firma und damit verschlüsselt ablaufen darf. Um die Sicherheit des Netzwerkes auch außerhalb des Büros zu gewährleisten, empfiehlt es sich, grundsätzlich virtuelle private Netzwerke, sogenannte VPNs, zu nutzen, rät Haye Hösel, Geschäftsführer und Gründer des Datenschutz- und IT-Sicherheitsspezialisten HUBIT Datenschutz. „Bei der Nutzung des Diensthandys sollten Mitarbeiter Messengerdienste wie WhatsApp, die laut DSGVO als nicht datenschutzkonform gelten, meiden“, rät Hösel. „Vielmehr sollten Unternehmen auf alternative Apps oder SMS setzen.“ Und wenn Videokonferenzen die herkömmlichen Meetings ersetzen, gilt es natürlich auch hier, für eine professionelle Verschlüsselung zu sorgen, damit keine vertraulichen Informationen nach außen dringen können.
Wichtig sei es zudem, die Mitarbeiter zu sensibilisieren, betont Christian Alt, Produktmanager Cyber bei der Gothaer Versicherung. „Die Belegschaft muss entsprechend geschult werden. Der Mensch bleibt einer der zentralen Angriffspunkte für Cyberkriminelle und ist – sofern keine dauerhafte und wiederkehrende Sensibilisierung gegeben ist – auch ein maßgeblicher Schwachpunkt im System.“
Wie lassen sich Datenschutzverstöße vermeiden?
Gerade in Sachen Datenschutz müssen Unternehmen und ihre Mitarbeiter bei der Arbeit im Homeoffice gut aufpassen, denn die Datenschutzgrundverordnung (DSGVO) gilt natürlich auch in Corona-Zeiten. „Auch in der aktuellen Situation sollten Unternehmer ihre Mitarbeiter weiterhin für den Datenschutz sensibilisieren“, betont Datenschutzexperte Hösel. In jedem Fall müssten Unternehmer Regelungen treffen, wie Mitarbeiter im Homeoffice zu arbeiten haben. Diese sollten idealerweise in einer Richtlinie dokumentiert und direkt an die Mitarbeiter verschickt werden.
Aus rechtlicher Sicht ist es in Bezug auf den Datenschutz zunächst einmal relevant, ob Arbeitnehmer mit personenbezogenen Daten arbeiten. „Dies trifft jedoch auf nahezu jeden Arbeitsplatz zu, denn zu den personenbezogenen oder personenbeziehbaren Daten zählen nicht nur Namen, sondern beispielsweise auch Telefonnummern, E-Mail-Adressen, Kontodaten, Personalnummern oder IP-Adressen“, sagt Hösel. Dementsprechend sollten Unternehmen ihre Mitarbeiter dazu anhalten, gewisse Maßnahmen zu befolgen. So gilt zunächst, dass das Arbeitszimmer abschließbar sein muss und Unterlagen in einem abschließbaren Schrank aufbewahrt werden müssen. „Auch Laptops, PCs sowie externe Datenträger wie zum Beispiel USB-Sticks gilt es zu verschlüsseln oder einzuschließen“, so Hösel.
In welchem Umfang schützen Elektronik- und Cyberversicherungen?
Eine Elektronikversicherung bietet einen finanziellen Schutz bei technischem und menschlichem Versagen – auch im Homeoffice. Abgedeckt sind etwa Schäden durch Kurzschluss, Nässe oder Bedienungsfehler, optional können auch Schäden durch Feuer, Blitzschlag oder Explosionen abgesichert werden. Da meistens eine Pauschalversicherung für den gesamten Betrieb abgeschlossen wird, sind sämtliche Geräte und Anlagen mitversichert und müssen nicht einzeln aufgeführt werden. Auch verlorene Daten oder Schäden an Datenträgern sind mitversichert.
Cyberversicherungen schützen insbesondere bei Schäden durch Hackerangriffe wie Ransomware-Attacken, bei denen die Firmencomputer verschlüsselt und erst gegen eine Lösegeldzahlung freigegeben werden. Sie umfassen außerdem auch Leistungen wie die Datenwiederherstellung und eine Krisenberatung.