Telearbeit und mobiles Arbeiten – was ist der Unterschied und wie unterscheiden sich die Sicherheitspflichten?

Telearbeitsplätze sind fest eingerichtete Bildschirmarbeitsplätze im Privatbereich des Beschäftigten. Hier stellt der Arbeitgeber die Einrichtung und Ausstattung des Bildschirmarbeitsplatzes mit Mobiliar, sonstigen Arbeitsmitteln und Kommunikationsgeräten. Auch haben Arbeitnehmer und Arbeitgeber bei Telearbeitsplätzen eine feste wöchentliche Arbeitszeit und die Dauer dieser Arbeitsweise festgelegt, entweder durch den Arbeitsvertrag oder durch eine zusätzliche Vereinbarung.

Im Gegenzug liegt mobiles Arbeiten Ihres Mitarbeiters vor, wenn dieser ohne vertragliche Festlegung seine Tätigkeiten von einem anderen Ort aus als dem Büro erbringt. Dabei ist der Mitarbeiter für die Einrichtung seines Arbeitsplatzes selbstverantwortlich.

Die Arbeitszeitstättenverordnung (ArbStättVO) gilt nur für die Telearbeit und nimmt Bezug auf das Arbeitsschutzgesetz und verpflichtet damit den Arbeitgeber, seinem Mitarbeiter auch im Home-Office denselben Sicherheits- und Gesundheitsschutz auf Basis einer Gefährdungsbeurteilung zugute kommen zu lassen wie im Büro und die Arbeitszeitregelungen einzuhalten.

Wie soll der Arbeitgeber allerdings die Einhaltung dieser Vorschriften überprüfen bzw. Gefährdungen im Home-Office beurteilen oder Arbeitszeitregelungen durchsetzen?

Hier helfen klare Regelungen im Arbeitsvertrag oder in einer Betriebsvereinbarung, die festlegen, nach welchen genauen Vorgaben der Mitarbeiter sein Home-Office einrichten und gegebenenfalls bestimmte Einrichtungsgegenstände des Arbeitgebers zu nutzen hat. Eine genaue Unterweisung sollte zudem erfolgen und auch dokumentiert werden.

Das Home-Office bietet Cyberkriminellen eine größere Angriffsfläche. Während der Pandemie setzten Hacker verstärkt auf Phishing-Kampagnen, um Schutzbarrieren wie Firewalls, Passwörter oder Virenschutzprogramme zu umgehen.

Ihre IT-Abteilung muss also für eine sichere Verbindung zwischen mobilen Einsatzorten und Unternehmensnetzwerk sorgen. Der Zugriff auf Unternehmensressourcen darf zur Authentifizierung nur autorisiert und verschlüsselt erfolgen. Alle Endgeräte sollten mit Security-Software geschützt und gemanagt werden.

Die VPN-Verbindung ist hier ein probates Mittel, verschlüsselt sie doch die Kommunikationskanäle zu den Geschäftsanwendungen, sichert die Zugänge zu Anwendungsfragen mit Multifaktor-Authentifizierungsmechanismen und ist skalierbar, um eine hohe Zahl von Home-Office-Nutzern anzubinden.

Dabei müssen Daten und Applikationen, die nur individuelle User sehen dürfen, in einer VPN gesondert gesichert werden. Sie sollten zudem Software einsetzen, bei der sich Ihr Mitarbeiter bei jedem Zugriff auf Anwendungen und Daten Ihres Unternehmens mit seinem Gerät autorisierten und authentifizieren muss.

Sofern Sie Arbeitsabläufe über die Cloud steuern, sollten Sie neben den aufgezeigten Sicherheitsmechanismen auch Klarheit über die Sicherheitslage Ihrer genutzten Cloud erlangen.