© pogonici / 123RF.com

Das in der Pandemie massenhaft verordnete Homeoffice stellt Unternehmen und Mitarbeiter vor eine besondere Aufgabe: das Absichern der ausgelagerten IT-Infrastruktur. Auch Gesetze zu Arbeitszeiten, Datenschutz und Arbeitsschutz gilt es zu beachten.

Der alte und neue deutsche Bundesarbeitsminister Hubertus Heil (SPD) hat verlauten lassen, dass er per Gesetz einen dauerhaften Anspruch auf Homeoffice festschreiben will. Für Arbeitgeber bedeutet das, dass sie ihre Beschäftigten nur noch in begründeten Ausnahmefällen ins Büro beordern können. Auch wenn sich Heil der Kritik der Arbeitgeber an seinem Vorhaben beugen sollte: Klar ist, dass das Homeoffice während der Pandemie und wohl auch noch nach einem zu erhoffenden Ende eine gewichtige Rolle im Arbeitsleben spielt.

Abbildung 1: BDA-Hauptgeschäftsführer Steffen Kampeter hält einen Rechtsanspruch auf Homeoffice für unnötig. Quelle: BDA

Das sieht selbst der Arbeitgeberverband so, auch wenn er ein Gesetz dazu ablehnt [1]: “Homeoffice ist Standard in vielen Unternehmen und wird auch nach der Pandemie bleiben. Dazu bedarf es keines Rechtsanspruchs, sondern eines vertrauensvollen Miteinanders im Betrieb”, sagte Steffen Kampeter (Abbildung 1), der Hauptgeschäftsführer der Bundesvereinigung der Deutschen Arbeitgeberverbände (BDA).

Nachholbedarf

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nach dem Anrollen der Pandemie schon früh versucht, sich einen Überblick zur Lage im Homeoffice zu verschaffen. In einer bundesweiten repräsentativen Umfrage Ende 2020 ließ es 1000 Unternehmen zu ihrer Homeoffice-Situation interviewen [2]. Dabei waren nur Unternehmen zugelassen, die mindestens drei Mitarbeitende beschäftigen und gerade Beschäftigte im Homeoffice hatten. Eine allgemeine Erkenntnis lautete: “Obwohl Homeoffice aktuell und zukünftig eine maßgebliche Rolle in unserem Arbeitsalltag einnimmt, werden zu wenige technische und organisatorische Sicherheitsmaßnahmen getroffen, um die Angriffsfläche Homeoffice ausreichend gegen Angriffe zu sichern.”

Dabei fehlt es den Unternehmen nicht an Einsicht über die Dringlichkeit, die IT-Infrastruktur auch im Homeoffice abzusichern. Bei der Umfrage hatten von den Unternehmen, die bereits aktiv auf Cyber-Angriffe reagieren mussten, über 26 Prozent die Schäden als “existenzbedrohend” oder “sehr schwer” bezeichnet – ein deutliches Alarmsignal.

Ausstattungsfragen

Schon bei der Ausrüstung für das Homeoffice zeigen sich klare Unterschiede. In rund 42 Prozent der Unternehmen kommt im Homeoffice ausschließlich unternehmenseigene IT zum Einsatz. Allerdings spielt die Unternehmensgröße hier eine wichtige Rolle. In kleineren Betrieben war in rund 13 Prozent der Fälle überwiegend oder ausschließlich private IT im Homeoffice im Einsatz, wie das BSI feststellte (Abbildung 2).

Abbildung 2: Die Ausstattung im Homeoffice hängt stark von der Unternehmensgröße ab. Quelle: BSI

Darüber hinaus ergab die Umfrage auch, dass es bei der Umsetzung von technischen und organisatorischen Maßnahmen hapert. Zu viele Unternehmen vernachlässigen die Cybersicherheit, wie das BSI herausfand. Einfache Maßnahmen wie der Passwortschutz wurden von den meisten Befragten noch eingehalten, aber viele weitere empfohlene Maßnahmen setzten dann nur noch wenige Unternehmen um (Abbildung 3). Auch dabei konstatierte die Untersuchung wieder einen Zusammenhang mit der Unternehmensgröße: Kleinst- und Kleinunternehmen haben hier laut BSI besonderen Nachholbedarf.

Abbildung 3: Bei der Umsetzung von Sicherheitsmaßnahmen hapert es in vielen Betrieben. Quelle: BSI

Die Resultate der Umfrage zeigen, dass die empfohlenen Maßnahmen wie VPN, Verschlüsselung von Datenträgern, Mehrfaktorauthentifizierung, Segmentierung und Absicherung von Netzen sowie das mobile Device-Management mehrheitlich bei Unternehmen zum Einsatz kommen, die diese Maßnahmen schon vor der Pandemie umgesetzt haben. Firmen, die diese Maßnahmen bislang nicht ergriffen, planen überwiegend auch weiterhin keine Umsetzung. So managen etwa nur 38 Prozent der Betriebe die Sicherheit von Handys, Laptops, Tablets und weiteren mobilen Endgeräten mit Verbindung zum Firmennetzwerk. 63 Prozent der Unternehmen gaben an, das Budget für die IT-Sicherheit während der Corona-Krise nicht erhöhen zu wollen.

Digitalisierungsschub

Die Umfrage zeigte aber auch, dass rund ein Drittel der Unternehmen aufgrund der Corona-Krise Digitalisierungsprojekte vorgezogen oder neu geplant und implementiert hat. Dabei wurden häufig IT-Lösungen mit Homeoffice-Bezug neu eingeführt, wie etwa Videokonferenzsysteme. Allerdings zeigt sich auch bei der Einführung neuer Geschäftsprozesse eine gewisse Nonchalance im Umgang mit dem Thema Cybersicherheit. Mehr als die Hälfte der Unternehmen kümmert sich, wenn überhaupt, erst später um entsprechende Sicherheitsmaßnahmen. Es verwundert wenig, dass das vor allem auf Unternehmen zutrifft, die sich selbst einen schlechten Stand der IT-Entwicklung und Digitalisierung attestieren. Da 58 Prozent der Unternehmen angaben, das Homeoffice-Angebot auch nach der Pandemie aufrechtzuerhalten oder sogar auszuweiten, sollte in diesen Fragen ein Umdenken einsetzen, fordert das BSI.

Klare Regelung

Mit seinen Tipps für sicheres mobiles Arbeiten [3] hat das BSI versucht, Unternehmen die Anforderungen bei der Arbeit zu Hause oder unterwegs aufzuzeigen. Wer in seinem Unternehmen das mobile Arbeiten – die Behörde fasst das unter dem Begriff Telearbeit zusammen – nicht ausreichend regle, gehe bereits Risiken ein, betont das BSI.

Es rät Unternehmen, für alle Telearbeiten zu regeln, welche Informationen außerhalb der Institution transportiert und bearbeitet werden dürfen, wer diese mitnehmen darf und welche Schutzvorkehrungen dabei getroffen werden müssen. Die Firmen sollten das in einer verpflichtenden Sicherheitsrichtlinie dokumentieren.

Mitarbeiter einbeziehen

Das BSI warnt auch davor, dass bestehende Regelungen Gefahr laufen, durch sorglosen Umgang mit den Vorgaben und der Technik ausgehebelt zu werden. Die Behörde rät den Arbeitgebern deshalb, die Beschäftigten für diese Risiken zu sensibilisieren. Jeder müsse die Gefahren kennen, die etwa durch unangemessenen Umgang mit Informationen, die unsachgemäße Vernichtung von Daten oder auch durch einen unsachgemäßen Transport von Arbeitsmaterial entstehen. Jeder sollte auch den Wert der ihm anvertrauten Informationen kennen sowie in die Sicherheitsmaßnahmen eingewiesen und im Umgang damit geschult werden, fordert das BSI.

Zutritt verweigert

Es liegt auf der Hand, dass man für den häuslichen Arbeitsplatz, zu dem Familienangehörige und Besucher Zugang haben, nicht die Infrastruktur eines Büroarbeitsplatzes voraussetzen kann. Dennoch empfiehlt das BSI, die Mitarbeiter darauf hinzuweisen, dass sie Fenster verriegeln und Türen abschließen müssen, wenn der Telearbeitsplatz nicht besetzt ist, etwa in einem Hotelzimmer. Daneben gilt es sicherzustellen, dass Unbefugte keinen Zugriff auf dienstliche IT und Unterlagen bekommen. Zur Lagerung der Unterlagen nach getaner Arbeit empfiehlt das BSI für den häuslichen Arbeitsplatz einen verschließbaren Schreibtisch, Rollcontainer oder Schrank.

Gehärtete Systeme

Die im Homeoffice eingesetzten IT-Systeme sollten sicher konfiguriert sein, inklusive der Standardmaßnahmen zum Schutz von IT-Systemen. Dazu zählt das BSI das Einspielen aktueller Software-Patches und Anitvirensignaturen sowie den Einsatz einer Firewall. Die Zugangsmöglichkeiten und Zugriffsrechte auf Server eines Unternehmens müsse man auf das notwendige Mindestmaß beschränken, fordert die Behörde.

Bei Mitarbeitern, die bei der Arbeit im Homeoffice auf private Laptops zurückgreifen, sollte das Unternehmen sicherstellen, dass die Nutzer die genannten Maßnahmen in Eigenverantwortung umsetzen. Das BSI rät auch hier zu einer entsprechenden Sensibilisierung der Mitarbeiter. Für einen sicheren Fernzugriff sollte seitens des Betriebs ein sicherer Remote-Zugang eingerichtet werden, etwa in Form kryptografisch abgesicherter Virtual Private Networks (VPNs), empfiehlt das BSI.

Datensicherung

Bei mobilen IT-Systemen ist die Gefahr der Zerstörung durch Stürze, Transportschäden, ungünstige klimatische Bedingungen und falsche Aufbewahrung wesentlich größer als bei stationären Arbeitsplätzen. Auch ein Verlust durch Diebstahl oder einfaches Liegenlassen kommt häufig vor. Daher empfiehlt sich eine regelmäßige Sicherung der lokal gespeicherten Daten. Falls dies auf externen Medien erfolgt, sollte sinnvollerweise jeweils eine Generation der Datensicherungen im Unternehmen hinterlegt werden.

Einzelkämpfer

Der Branchenverband Bitkom weist in seinen Empfehlungen für das Arbeiten im Homeoffice [3] ebenfalls darauf hin, dass bei Cyberangriffen auf Organisationen oft die Beschäftigten als Einfallstor dienen, etwa über Phishing-Kampagnen. Das gelte auch und insbesondere im Homeoffice, denn während sich Beschäftigte im Büro des Arbeitgebers über mögliche Angriffe austauschen und schützen könnten, seien sie im Homeoffice oft auf sich allein gestellt. Das führe dazu, dass Angriffe seltener erkannt würden und die Angreifer häufiger ans Ziel kämen, konstatiert der Bitkom.

Dass im Homeoffice Tools wie Messenger, Chats und Videokonferenzen zum Einsatz kommen, rufe auch Cyberkriminelle auf den Plan, die über Credential-Theft-Angriffe Anmeldedaten abfischen wollten. Vor diesen Gefahren müsse der Arbeitgeber seine Beschäftigten warnen, fordert der Verband. Wenn sich Angreifer Zugang zu den Systemen verschafft hätten, könnten sie sensible Daten einsehen und weitere Beschäftigte manipulieren, indem sie Nachrichten unter falschem Namen versenden.

Support

Der Bitkom empfiehlt zudem, vorab einen Support-Prozess für technische Probleme im Homeoffice zu definiert. Der Zugang zur technischen Unterstützung sollte dabei möglichst niedrigschwellig und transparent sein. Der Verband rät zu Ticket-Systemen, bei denen sich Anfragen über verschiedene Kanäle (Webzugang, Mail, Hotline) anstoßen lassen. Zudem solle man innerhalb der Organisation klar regeln, wie sich im Schadensfall ein kurzfristiger Gerätetausch bewerkstelligen lässt, etwa durch Abholung, teilt der Verband mit.

Rechtsfragen

Am 24. November 2021 ist das geänderte Infektionsschutzgesetz [4] in Kraft getreten, das auch arbeitsrechtliche und arbeitsschutzrechtliche Maßnahmen regelt. Die Bestimmungen gelten bundesweit bis zum 19. März 2022 und eröffnen die Möglichkeit zu einer Verlängerung um drei Monate. Das Gesetz verpflichtet Arbeitgeber unter anderem dazu, Beschäftigten im Falle von Büroarbeit oder vergleichbaren Tätigkeiten die Arbeit im Homeoffice zu ermöglichen. Diese Vorgaben hatten im Zug der Corona-Pandemie auch schon zuvor bis 30. Juni 2021 Bestand. Neben der allgemeinen Verpflichtung gelten im Homeoffice weitere Gesetze.

Arbeitsweg

Ein aktuelles Urteil zur gesetzlichen Unfallversicherung bestätigt, dass ein Beschäftigter, der auf dem morgendlichen erstmaligen Weg vom Bett ins Homeoffice stürzt, durch die gesetzliche Unfallversicherung geschützt ist.

Der 2. Senat des Bundessozialgerichts hatte im Dezember 2021 im Sinne des Klägers entschieden [5]. Der war auf dem Weg von seinem Schlafzimmer in das eine Etage tiefer gelegene Homeoffice auf der verbindenden Wendeltreppe ausgerutscht und hatte sich einen Brustwirbel gebrochen. Die beklagte Berufsgenossenschaft lehnte zunächst Leistungen aus Anlass des Unfalls ab. Während in der Folge das zuständige Sozialgericht den erstmaligen morgendlichen Weg vom Bett ins Homeoffice als versicherten Betriebsweg ansah, war in der Revision das Landessozialgericht anderer Meinung und qualifizierte das Ganze als unversicherte Vorbereitungshandlung, die der eigentlichen Tätigkeit nur vorausgeht.

Das Bundessozialgericht hat nun aber wiederum die Entscheidung des Sozialgerichts bestätigt. Der Treppensturz ist damit verbindlich als Arbeitsunfall versichert. Das Beschreiten der Treppe ins Homeoffice diente allein der erstmaligen Arbeitsaufnahme, heißt es in der Begründung.

Geregelte Zeiten

Dass auch im Homeoffice das Arbeitszeitgesetz (ArbZG [6]) gilt, bringt Regelungen zu Ruhepausen und Ruhezeiten mit sich, die der Arbeitnehmer auch im Homeoffice einhalten muss. Ruhepausen finden während der Arbeit statt, Ruhezeiten entstehen zwischen zwei Schichten oder Arbeitstagen.

Das Arbeitszeitgesetz schreibt für Ruhepausen vor, dass die Arbeit durch im voraus feststehende Pausen von mindestens 30 Minuten bei einer Arbeitszeit von zwischen sechs und neun Stunden sowie 45 Minuten bei einer Arbeitszeit von mehr als neun Stunden zu unterbrechen ist. Diese Ruhepausen lassen sich laut Paragraf 4 ArbZG in Zeitabschnitte von jeweils mindestens 15 Minuten aufteilen. Länger als sechs Stunden hintereinander darf man Arbeitnehmer nicht ohne Ruhepause beschäftigen, heißt es im Gesetz.

Als Ruhezeiten schreibt das ArbZG eine ununterbrochene Ruhezeit von mindestens 11 Stunden vor, Ausnahmen sind möglich. So lassen sich die Ruhezeiten in bestimmten Betrieben um bis zu eine Stunde verkürzen. Das betrifft etwa Krankenhäuser und andere Einrichtungen zur Behandlung, Pflege und Betreuung von Personen, Gaststätten und andere Einrichtungen zur Bewirtung und Beherbergung, Verkehrsbetriebe, den Rundfunk sowie die Landwirtschaft und Tierhaltung. Eine solche Verkürzung muss der Arbeitgeber dann aber durch eine Ruhezeit von zwölf Stunden innerhalb eines Kalendermonats ausgleichen. Auch im Homeoffice gilt es, die gesetzlichen Verbote von Sonn- und Feiertagsarbeit einzuhalten.

Arbeitsschutz

Etwas kniffliger gestaltet sich die Situation hinsichtlich der Einhaltung des Arbeitsschutzgesetzes [7]: Hier gilt es, zwischen Homeoffice und dem mobilen Arbeiten zu unterscheiden. Der Begriff Homeoffice bezeichnet laut der Fachanwältin für Arbeitsrecht Claudia Knuth [8] einen fest eingerichteten Arbeitsplatz außerhalb des Betriebs und typischerweise in der Wohnung des Mitarbeiters. Mobilarbeit meint dagegen die Zurverfügungstellung mobiler Endgeräte und die damit eingeräumte Möglichkeit, “die Arbeitsleistung an typischerweise wechselnden Orten außerhalb des Betriebs zu erbringen (etwa auf Reisen im Zug, im Hotel oder auf dem heimischen Sofa)”, so die Fachanwältin.

Aus diesen Unterscheidungen ergeben sich auch die Anforderungen an den Arbeitsschutz: “Das Homeoffice muss sich grundsätzlich mit den gleichen Arbeitsschutzstandards messen lassen wie der klassische Büroarbeitsplatz.”, stellt Knuth klar. Je nachdem, ob der Arbeitgeber den Arbeitsplatz einrichte, gelte dann auch noch die Arbeitsstättenverordnung (ArbStättV). Allerdings seien teilweise die Eigenarten des Homeoffice berücksichtigt, etwa bei der Aufklärung über Fluchtwege.

Bei der Mobilarbeit finde die Arbeitsstättenverordnung wiederum keine Anwendung. Weitere Vorschriften des Arbeitsschutzgesetzes gelten dann zwar, sind aber teilweise eingeschränkt. Homeoffice und Mobilarbeit sei aber gemeinsam, dass der Datenschutz eingehalten werden müsse, betont die Fachanwältin. Der Arbeitgeber muss für geeignete Schutzvorkehrungen sorgen. Für beide Formen sei es aber empfehlenswert, vertragliche Regelungen oder eine Betriebsvereinbarung zu treffen. (uba)