Der Mix aus der Arbeit im Betrieb und im Homeoffice bzw. mobil stellt besondere Anforderungen an Unternehmen. KMUs müssen sowohl arbeitsrechtliche Fragen klären als auch die IT-Sicherheit gewährleisten. In diesem Artikel finden Sie Antworten auf die wichtigsten Fragen.

Im ersten Artikel zur Hybridarbeit beschäftigten wir uns mit grundsätzlichen Aspekten der Hybridarbeit. Welche Vorteile und welche Risiken birgt sie? Und was können mittelständische Unternehmen sowohl auf technischer Ebene als auch bezüglich ihrer Unternehmenskultur tun, damit hybride Arbeitsmodelle gelingen?

Hier soll es nun stärker um die „harten Fakten“ gehen: Welche Implikationen hat das deutsche Arbeitsrecht für Homeoffice, mobile Arbeit und Hybridarbeit? Welche Verantwortung haben Unternehmen bezüglich Arbeitsschutz? Und schließlich: Was sollte hinsichtlich der IT-Sicherheit unbedingt beachtet werden?

Arbeitsrechtliche Regelungen für Hybridarbeit

Wenn wir über Hybridarbeit sprechen, ist ein Mix aus Arbeit im Betrieb und der Arbeit an einem anderen Ort gemeint. Der andere Ort kann entweder das „Homeoffice“ sein, oder es kann sich um „mobile Arbeit“ handeln. Und genau hier ist eine Abgrenzung nötig, denn es gibt durchaus Unterschiede. Die Begriffe werden oft fälschlicherweise synonym verwendet und das, was viele Unternehmen als Homeoffice bezeichnen, ist eigentlich mobile Arbeit:

Homeoffice bezeichnet die Tätigkeit an einem fest eingerichteten Arbeitsplatz außerhalb des Betriebs. Typischerweise ist dieser bei den Mitarbeitenden zuhause. In diesem Fall haben Arbeitgeber:innen die Verantwortung, dass der Homeoffice-Arbeitsplatz die gleichen gesetzlichen Anforderungen und Arbeitsschutzstandards erfüllt, wie jener im Betrieb. Sie müssen dies prüfen und Mitarbeitende können ihren Arbeitsplatz im Homeoffice nicht frei wählen (zum Beispiel vormittags in der Küche und nachmittags auf dem Balkon). Darüber hinaus gelten die Regelungen der Arbeitsstättenverordnung (ArbStättV) und Arbeitgeber:innen müssen die Kosten für die Homeoffice-Einrichtung übernehmen.

Mobilarbeit ist organisatorisch leichter einzuführen und die Anforderungen sind flexibler. Die Mitarbeitenden werden mit mobilen Endgeräten ausgestattet und bekommen die Möglichkeit, an einem nicht näher definierten Ort außerhalb des Unternehmens zu arbeiten. Dieser ist nicht auf das häusliche Arbeitszimmer festgelegt und kann auch wechseln. Die Arbeitsstättenverordnung (ArbStättV) findet keine Anwendung und der:die Arbeitgeber:in ist nicht verpflichtet, den Arbeitsort zu prüfen. Das dürfte in der Praxis auch nur schwer möglich sein.

Gibt es einen Anspruch auf Homeoffice / Mobilarbeit?

In den Niederlanden gibt es seit Juli 2015 einen Rechtsanspruch auf Homeoffice. Das ist in Deutschland bislang nicht der Fall: Ob die Arbeit im Homeoffice möglich ist, entscheiden prinzipiell die Arbeitgeber:innen. Mitarbeitende können dies nicht grundsätzlich verlangen. Eine Ausnahme bilden Sonderregelungen, wie wir sie im Rahmen der befristeten Homeoffice-Pflicht erlebt haben.

Was gilt für den Arbeitsschutz im Homeoffice?

Wie schon angesprochen, trägt das Unternehmen beim Homeoffice die Verantwortung, dass der Arbeitsschutz gewährleistet ist. Es muss eine Gefährdungsbeurteilung vornehmen und ermitteln, welche Arbeitsschutzmaßnahmen nötig sind. Das bedeutet nicht, dass Arbeitgeber:innen das jeweilige Arbeitszimmer besichtigen müssen. Sie müssen jedoch die Umstände der einzelnen Mitarbeiter:innen genau erfragen und die Beschäftigten angemessen unterweisen. Für Mitarbeitende im Homeoffice müssen Arbeitgeber:innen außerdem die arbeitsmedizinische Vorsorge (ArbMedVV) sicherstellen.

Aus Gründen des Arbeitsschutzes ist es sinnvoll, dass das Unternehmen den Beschäftigten geeignete Einrichtungsgegenstände (Bürostuhl, Schreibtisch etc.) zur Verfügung stellt. Geschieht dies nicht oder nur teilweise, haben Arbeitnehmer:innen einen sogenannten Aufwendungsanspruch: Ihre Ausgaben für beruflich veranlasste Ausgaben muss der:die Arbeitgeber:in übernehmen. Dadurch entstehen beim Homeoffice höhere Kosten für das Unternehmen als bei mobiler Arbeit.

CTA_Digitale Transformation im Mittelstand_WP

Arbeitszeit im Homeoffice

Für die Arbeitszeit und Pausenregelungen gelten die gesetzlichen Regelungen sowie die Vereinbarung aus dem Arbeitsvertrag. Hier gibt es keine Unterschiede zwischen „echtem“ Homeoffice und Mobilarbeit.

Bei einer Arbeitszeit von mehr als sechs Stunden muss die Pause 30 Minuten dauern, bei mehr als neun Stunden 45 Minuten. Im Sinne der Flexibilität können Mitarbeitende Pausen auch aufteilen, allerdings muss eine Unterbrechung mindestens 15 Minuten dauern, um als Pause zu zählen. Ein Unternehmen darf außerdem von Mitarbeitenden im Homeoffice nicht verlangen, dass diese außerhalb der üblichen Arbeitszeiten erreichbar sind.

Eine rechtliche Stolperfalle kann die Einhaltung der gesetzlichen Ruhezeiten im Homeoffice werden. Hier sind – wie bei der Arbeit im Betrieb auch – elf Stunden Pause zwischen den Arbeitstagen vorgesehen. Checkt ein:e Arbeitnehmer:in also abends um 22 Uhr noch Mails und sitzt am nächsten Tag wieder um 7 Uhr vor dem Laptop, ist dies ein arbeitsrechtlicher Verstoß.

Unfall im Homeoffice - was nun?

Wo wir gerade bei Stolperfallen sind: Unfälle können zuhause genauso vorkommen wie im Betrieb. Und im Fall des Falles springt zum Glück die gesetzliche Unfallversicherung ein. Bislang wurde hier strikt zwischen dienstlicher und privater Tätigkeit unterschieden: Der Weg zum Drucker im Homeoffice (beruflich) war versichert, der Weg zur Kaffeemaschine (privat) nicht.

Am 18. Juni 2021 trat das Betriebsrätemodernisierungsgesetz in Kraft und schließt diese rechtliche Lücke. Der Versicherungsschutz besteht im Homeoffice und bei der mobilen Arbeit nun in gleichem Maße wie bei der Arbeit im Betrieb. Außerdem wird der Versicherungsschutz für Arbeitnehmer:innen im Homeoffice auch auf Wege außer Haus ausgedehnt, wenn diese der Betreuung der Kinder dienen.

Die IT-Sicherheit bei der Hybridarbeit

Eine hybride Arbeitswelt bringt besondere Anforderungen an die IT-Infrastruktur mit sich. Insbesondere der Schutz von Unternehmensdaten steht an erster Stelle und erfordert Sicherheitsmaßnahmen, die an die Arbeitssituation im Homeoffice angepasst sind.

Arbeitgeber:innen müssen bei der Einrichtung eines Homeoffice-Arbeitsplatzes auf geeignete Datenschutzvorkehrungen achten. Außerdem müssen sie sicherstellen, dass Mitarbeitende sich auch an die Datenschutzvorkehrungen halten. Im Homeoffice ist das noch etwas einfacher als bei der mobilen Arbeit im Zug oder Hotel. Aber auch im heimischen Arbeitszimmer dürfen keine Familienangehörigen oder Dritte auf den Laptop oder das Mobiltelefon zugreifen können.

Eine klare technische Trennung von privater und beruflicher Nutzung – zum Beispiel durch unterschiedliche Benutzerkonten – ist empfehlenswert. Andernfalls können Sicherheitsprobleme, die aufgrund privater Nutzung entstehen, die Sicherheit des Unternehmens betreffen.

Tipps für das sichere Arbeiten von zuhause und unterwegs

Im Folgenden haben wir einige Praxistipps für Sie zusammengestellt, mit denen die Arbeit im Homeoffice sicherer wird:

• Sicherheit beim Datentransfer: Diese kann zum Beispiel mittels einer VPN-Verbindung gewährleistet werden. Damit greifen die Mitarbeitenden virtuell auf das Netzwerk des Unternehmens zu, das durch die IT abgesichert werden kann. Die Daten können auf dem Server im Betrieb liegen und sind hier definitiv besser aufgehoben, als auf dem Endgerät der Mitarbeitenden.

Endgeräte absichern: Apropos Endgeräte: Gerade bei der mobilen Arbeit kann es vorkommen, dass ein Endgerät verloren geht – im Zug, im Hotelzimmer oder andernorts. Dabei sind zwei Dinge entscheidend: Die Festplatte des Geräts sollte mittels Bitlocker gesichert sein. Das erschwert den unbefugten Zugriff auf die darauf gespeicherten Daten im Vergleich zur Sperrung des Geräts mittels Nutzerpasswort enorm. Zweitens sollte darauf geachtet werden, Daten stets auf einem Netzlaufwerk oder in einer sicheren Cloud zu speichern. Liegen die Daten nur lokal auf dem Gerät und dieses kommt abhanden, besteht nämlich keine Chance, sie zurückzuholen.

• Telefonanlage: Telefonanlagen, die auf VoIP („Voice over IP“) basieren, bieten eine hohe Flexibilität. Damit sind die Mitarbeitenden auch zuhause unter ihrer beruflichen Rufnummer erreichbar. Eine Trennung von privaten und beruflichen Rufnummern sollte selbstverständlich sein.

Wahl unternehmenskritischer Systeme: Wir empfehlen, schon bei der Auswahl unternehmenskritischer Systeme wie zum Beispiel dem ERP-System, der Lohnbuchhaltung oder Lösungen zur digitalen Kommunikation auf die Eignung für die mobile Arbeit zu achten. Cloud-Lösungen sind hier meist im Vorteil, da sie Komfort und ortsunabhängigen Zugriff für die Mitarbeiter:innen bieten und dennoch die nötige Sicherheit gewährleisten. Die Systeme sind geschützt online erreichbar. Dadurch ist Login für Mitarbeitende viel unkomplizierter – sie melden sich einfach im Browser an bzw. nutzen Single-Sign-On und müssen nicht erst eine virtuelle Verbindung zum Unternehmensnetzwerk herstellen. Die Datenhaltung in der gesicherten Cloud – bestenfalls auf deutschen oder europäischen Servern – gewährleistet, dass alle Beschäftigten den gleichen Datenstand haben und stets den Überblick behalten.

Zwei-Faktor-Authentifizierung: Besondere Sicherheit können Sie mittels Zwei-Faktor-Authentifizierung erreichen, zum Beispiel beim Aufbau der VPN-Verbindung. Hierbei müssen Mitarbeitende sich mit zwei voneinander unabhängigen Faktoren authentifizieren. Im Regelfall ist das zum einen etwas, das sie wissen (Nutzername und Passwort) und zum anderen etwas, das sie haben (zum Beispiel ein Smartphone, auf das eine Bestätigungs-PIN geschickt wird oder eine spezielle Hardware, die vom System erkannt wird und legitimiert ist).

Nutzung privater Endgeräte: Nutzen Mitarbeitende ihre eigenen Endgeräte, ist besondere Vorsicht geboten. Der Heim-PC ist das schwächste Glied in der Kommunikationskette und daher oft das Einfallstor für Hackerangriffe. Nutzen Mitarbeitende einen Privatrechner für die Arbeit, so sollte dieser unbedingt softwareseitig auf dem aktuellen Stand sein. Regelmäßige Updates von Betriebssystem und Anwendungen sind Pflicht. Das gilt auch für weitere Hardware, die an dasselbe Heimnetzwerk angeschlossen ist – Router, Drucker und dergleichen.

Über „Remote-Desktop“ kann vom Privatrechner auf den Firmenrechner im Betrieb zugegriffen werden. Eigentlich selbstverständlich, jedoch oft vergessen: Wird der Rechner verlassen, sollte er gesperrt werden. Bei mobiler Arbeit ist das umso wichtiger. Mit der Tastenkombination [Windows] + [L] (für Apple-Nutzer:innen: [ctrl] + [cmd] + [Q]) ist das mit einem Handgriff erledigt, da gibt es keine Ausreden mehr.

Förderprogramm "Go-digital" wird eventuell fortgeführt

Stellt ein Unternehmen den Mitarbeitenden neue Geräte für das Homeoffice oder die mobile Arbeit zur Verfügung, ist das mit Kosten verbunden. Im Rahmen der Homeoffice-Förderung des Förderprogramms „go-digital" können KMU IT-Dienstleistungen fördern lassen, die auf die Einrichtung von Homeoffice-Plätzen zielen. Förderfähig sind die Anschaffung und Einrichtung der nötigen Hardware aber auch Software, die für die Zusammenarbeit im Homeoffice benötigt wird.

Das „go-digital“-Programm läuft zum 31. Dezember 2021 aus. Aufgrund der Bearbeitungszeit können Unternehmen sich schon seit dem 1. Juni 2021 nicht mehr für das Programm autorisieren lassen. Allerdings wird die Wirksamkeit des Programms gerade evaluiert und möglicherweise wird die Förderung fortgesetzt. Interessierte Unternehmen sollten daher gelegentlich auf der Seite des Bundesministerium für Wirtschaft und Energie vorbeischauen.

Fazit: Hybrides Arbeiten erfordert besondere Sorgfalt

Wechselt der Arbeitsort zwischen dem Betrieb, zuhause und anderen Orten, wirkt sich dies auf arbeitsrechtliche Aspekte ebenso wie auf die IT-Sicherheit aus. Insgesamt spielen diese Aspekte aber auch bei der Präsenzarbeit im Betrieb eine wichtige Rolle. Hinsichtlich der Datensicherheit bringt die mobile Arbeit tatsächlich neue Baustellen hervor. Die wichtigste dürfte sein, die Mitarbeitenden für den verantwortungsbewussten Umgang mit Daten und die besonderen Anforderungen der Mobilarbeit zu sensibilisieren.

Die Sicherheit des Netzwerks eines Unternehmens darf jedoch nicht allein vom Wissensstand und der technischen Ausstattung der User abhängen. Arbeitgeber:innen müssen den Mitarbeitenden IT-Sicherheitsfragen mit geeigneten Technologien, zum Beispiel sicheren VPN-Lösungen, abnehmen. HR, IT und jede:r einzelne Mitarbeiter:in sind in der Verantwortung, besondere Sorgfalt walten zu lassen. Gelingt dies, können hybride Arbeitsmodelle ihre Vorteile für das gesamte Unternehmen entfalten.

CTA_ClickDummy_final