Die sattsam bekannte COVID-19-Pandemie hat im Frühjahr 2020 von ihrer rasanten Ausbreitung her wohl die ganze Welt überrascht. In Österreich konnte unter Einbindung der Sozialpartner mit einem erweiterten Kurzarbeitsmodell eine Explosion der Arbeitslosenzahlen verhindert werden. Zusätzlich wurden vornehmlich Büro-Arbeitsplätze „nach Hause“ verlegt, wofür der Begriff „Home-Office“ kreiert wurde. Bei dieser neuen Begrifflichkeit handelt es sich genau genommen um ein Oxymoron, dh einen Widerspruch in sich (nämlich das „Büro zu Hause“): So soll ein AN (mehr oder weniger „freiwillig“) von zu Hause aus arbeiten (aber idR nicht in einem – in den meisten Fällen eben nicht zur Verfügung stehenden – eigenen Arbeitszimmer), was aber grundsätzlich als Arbeit wie im Büro gewertet werden soll (mitsamt Video-Calls und Video-Konferenzen über dienstliche oder auch private Endgeräte als virtuelles Bindeglied zu Kollegen und Vorgesetzten). Die Privatwohnung wird dabei – mangels entsprechender ausdrücklicher Vereinbarung1) – zwar nicht als vertragsrechtlicher Arbeitsort ieS* bzw Arbeitsstätte im arbeitnehmerschutzrechtlichen Sinne anzusehen sein* (was ja auch fernab des Arbeitsrechts uU wohnrechtliche Probleme einer allenfalls zustimmungs- bzw bewilligungspflichtigen widmungswidrigen Nutzung einer Wohnung mit sich bringen könnte), aber wird mehrheitlich doch uU (insb anstelle einer Freistellung) zumindest eine Obliegenheit des AN angenommen, sich aus dem Grund der aktuellen Pandemie zu Hause aufzuhalten und – wenn nicht krankgeschrieben – von dort aus seine (allenfalls modifizierte) Arbeitsleistung (idR digital) zu erbringen.* In vielen Fällen handelt es sich dabei mE sohin um eine „schlampige“ Form von Tele- Heimarbeit, zumal dafür keine eigenen ANSchutz-Standards* bestehen, die natürlich in privaten Wohnräumlichkeiten des AN oftmals auch schwer umzusetzen – und noch schwerer kontrollierbar – sein würden,* sofern keine großzügigen Wohnlandschaften zur Verfügung stehen, die die Adaptierung eines eigenen Raumes als Arbeitszimmer gestatten.* Im Folgenden soll aber nicht dieser „Hardware“-Aspekt von fehlendem AN-Schutz im Fokus stehen, sondern vielmehr der nicht gleich sichtbare – dennoch sozialpolitisch mindestens ebenso bedenkliche – „Software“-Aspekt, nämlich die Beeinträchtigung von Persönlichkeitsrechten von vom „Home-Office“ aus mit den Mitteln moderner Kommunikation (als notwendiger technischer Grundlage dieser Arbeitsform) arbeitenden AN. 149

Angesichts von Praxis-Erfahrungen des Autors mit verstärkten Kontrollen seitens AG von AN im „Home- Office“ und entsprechender empirischer Belege eines verstärkten Einsatzes entsprechender Software-Tools, die auch zu erhöhter Kontrolle eingesetzt werden können,* beschäftigt sich der vorliegende Beitrag mit der aktuellen Frage, ob diese zu konstatierende „Kontrollverdichtung“ datenschutzrechtlich legitimiert werden kann. Aktuell hat auch Auer-Mayer diesen Trend in einem lesenswerten Beitrag aufgegriffen* und schreibt exemplarisch von Keylogger-Software, der Aufzeichnung und Auswertung von Maus-Bewegungen, der automatischen Erstellung periodischer Screenshots der AN vor ihren Bildschirmen und überhaupt der Kontrolleignung von Kollaborations-Tools.* Diese Beispiele sollen hier zur Veranschaulichung noch durch die Software „Time Doctor“ ergänzt werden, die ua das Feature anbietet, dass sich bei einer Aktivitätsunterbrechung auf dem Laptop, Tablet oder Smartphone nach einer einzustellenden Zeit ein Pop-Up-Fenster (als Nudging-Technik) mit der Nachricht öffnet, dass man nunmehr die Option habe, die Arbeit wieder aufzunehmen oder eine Begründung für die Arbeitsunterbrechung anzugeben, anderenfalls die Zeiterfassung angehalten werde; der AN wird auch daran erinnert, die Zeitaufzeichnung aus eigenem anzuhalten, wenn Webseiten besucht werden, die offenbar keinen beruflichen Bezug haben.*

Auer-Mayer zeigt in der Folge betriebsverfassungsund arbeitsrechtliche Kautelen des Gesetzgebers auf (insb §§ 96 Abs 1 Z 3 ArbVG, 10 AVRAG), mit deren Hilfe versucht werden kann, entsprechende kontroll-geeignete Maßnahmen des AG zu beschränken bzw (dem Arbeitsverhältnis immanente) Kontrollen in überprüfbare Bahnen zu lenken (iSe „Kontrolle des Kontrollierenden“). Von diesen Schritten hänge die Beurteilung der Verhältnismäßigkeit der konkreten Ausgestaltung der Kontrolle und damit letztlich deren rechtliche Zulässigkeit ab, anderenfalls Persönlichkeitsrechte der AN verletzt würden.* Eine ähnliche Interessenabwägung nimmt Auer-Mayer auch für die datenschutzrechtliche Beurteilung vor und spricht sich – verkürzt formuliert – für dasselbe Ergebnis der Prüfung nach beiden Rechtsgebieten aus, zumal auch Betriebsvereinbarungen iSd § 96 Abs 1 Z 3 ArbVG einen Erlaubnistatbestand für entsprechende Kontroll-Datenverarbeitungen darstellen können, falls sie die Persönlichkeitsrechte betroffener AN mit geeigneten Maßnahmen gem Art 88 Abs 2 bzw Art 9 Abs 2 lit b DS-GVO (jeweils für nicht-sensible bzw sensible AN-Daten) wahren.*

Ist also eine solcherart (gegenüber einem Arbeitsplatz im Büro) erhöhte Kontroll-Intensität im „Home-Office“ rechtens?

Die Kontrollinteressen der AG sind bei außerbetrieblichem Arbeiten vergleichsweise höher ausgeprägt.*Auer-Mayer konstatiert dazu, dass AG aber auch im Betrieb keineswegs stets in jedem Detail die Kontrolle über die Tätigkeiten der AN haben (und haben dürfen). Zwischendurch Zeitung lesen, privat telefonieren oder „tratschen“ könnten AN häufig auch im Betrieb. Umgekehrt müssten notwendige Arbeiten auch im „Home-Office“ erledigt werden. Damit sei das erhöhte Kontrollbedürfnis wohl nicht selten mehr der subjektiven Sorge vor „Kontrollverlust“ als objektiven Notwendigkeiten geschuldet.*

Diesen mE nur zT zutreffenden Ausführungen von Auer-Mayer ist aus soziologischer Sicht allerdings hinzuzufügen, dass die „soziale Kontrolle“ im Betrieb in den eigenen vier Wänden des AN wegfällt: Das „Tratschen“ mit Kollegen am Gang wird spätestens dann beendet, wenn ein anderer Kollege spitz bemerkt, ob man denn nichts zu arbeiten habe; schon prophylaktisch werden die „TratscherInnen“ also darauf achten, dass es gar nicht soweit kommt, zumal sich diesbezügliches Übermaß ja sogar bis zum Vorgesetzten durchsprechen könnte. Dieses innerbetrieblich-immanente soziale Regulans fehlt naturgemäß im Home-Office.

Deshalb ist einmal zu schlussfolgern, dass auch objektive Faktoren insb soziologischer und psychologischer Art ein erhöhtes Kontrollinteresse des AG hinsichtlich des heimarbeitenden AN zu rechtfertigen vermögen, da dieser rechtlich keine objektive Performance, sondern nur ein pflichtgemäßes 150 Bemühen schuldet, woraus ja die grundsätzliche Kontrollbefugnis des AG ad personam resultiert.*

Selbstverständlich macht es hinsichtlich der Kontroll-Intensität im „Home-Office“ einen erheblichen Unterschied, ob sich AN etwa bloß in der Früh online „einchecken“ und sich – vor allem auch wegen des notwendigen Schutzes von Unternehmensdaten – für einen Fernzugriff im Netzwerk anmelden müssen oder ob sie den ganzen Tag über unter „Aktivitätsüberwachung“ stehen. Während aber eine „Aktivitätskontrolle“ oder Anwesenheitskontrolle im Betrieb quasi immanent erfolgt (durch die oben angeführte „soziale Kontrolle“ oder durch das jederzeit mögliche Betreten des Büros durch den Vorgesetzten), stellt sich die Frage nach einer entsprechenden Substituierung im „Home-Office“: Periodische Kontroll- Anrufe des Vorgesetzten werden diesbezüglich wohl untunlicher sein als eine digitale „Aktivitätskontrolle“* im Zuge der Erbringung der Arbeitsleistung. Ja, es stellt sich sogar die Frage, ob nicht periodische Screenshots von AN gerechtfertigt sein können, um überprüfen zu können, ob auch tatsächlich der AN am PC arbeitet (immerhin schuldet der AN seine persönliche Arbeitsleistung und darf seine Arbeitsleistung – jedenfalls ohne Zustimmung des AG – nicht an [allenfalls sogar betriebsfremde] Dritte delegieren). Der Wegfall analoger Kontrollmöglichkeiten am Präsenz-Arbeitsplatz im Betrieb wird solcherart durch eine Zunahme digitaler Kontrolle – unter dem Postulat einer (entsprechend angepassten) Verhältnismäßigkeit – rechtlich zulässig kompensiert. Dass auch der Gesetzgeber dieses Bedürfnis des AG anerkennt und rechtlich billigt, ja diesfalls sogar für eine Performance-Messung eintritt, belegen die entsprechenden neuen Bestimmungen im öffentlichen Dienstrecht zur Telearbeit (zB in der Wohnung) unter Einsatz der dafür erforderlichen Informations- und Kommunikationstechnik, wonach die Erreichung des vom Vertragsbediensteten bzw Beamten zu erwartenden Arbeitserfolges durch ergebnisorientierte Kontrollen festzustellen ist.*

Last but not least darf auch nicht übersehen werden, dass der AG auch nach den Vorgaben des Datenschutzrechts bei der Verarbeitung von Daten Dritter (zB Kunden) außerhalb (idR „geschützter“) Betriebsräumlichkeiten erhöhten Datensicherheits-Anforderungen unterliegt,* gegenständlich – insb im Falle eines Data Breaches – also nachweisen können muss, dass er solche (erhöhten) Datensicherheitsmaßnahmen im „Home-Office“ veranlasst bzw getroffen hat,* sodass die entsprechenden Daten denselben Schutz wie vor Ort im Betrieb verarbeitete Daten genießen,* was letztlich auch mit erhöhten Kontrollmaßnahmen (im Rahmen permanent laufender digitaler „Compliance-Checks“) korrelieren muss.

Selbstverständlich wird ununterbrochene und gleichsam sekundengenaue digitale Überwachung (insb durch vorsätzlich verwendete Spyware) unverhältnismäßig und damit (persönlichkeits- und datenschutzrechtlich) unzulässig sein,* nicht aber von vorneherein entsprechende bloße programmtechnische Möglichkeiten zu einer Totalüberwachung, soferne die solcherart permanent generierten (Roh-)Daten im Arbeitsverhältnis nur nach einer Verhältnismäßigkeitsabwägung personenbezogen verwendet werden.* Rechtmäßige Einsatzmöglichkeiten wären insb die (nachweisbare) Kontrolle der Einhaltung von Arbeitszeiten,* Aktivitätskontrollen, digitale Anwesenheitskontrollen oder (zu Sicherheitszwecken) Arbeitsmuster-Erkennung (über Machine Learning), dh gegenüber einem Büro-Arbeitsplatz im Betrieb durchaus intensivere Kontrollen* und durchaus auch ohne konkreten Verdacht arbeitsvertragswidrigen Verhaltens. Eine Abgrenzung zu unzulässiger Überwachung (insb durch zweckändernde Auswertungen) im Einzelfall wird aber schwierig sein, der entsprechende IT-forensische Nachweis noch schwieriger.

Die grundsätzliche Rechtmäßigkeit erhöhter Kontroll- Intensität im „Home-Office“ ist damit letztlich als Ergebnis einer Abwägung der Kontroll-, Compliance- und Sicherheitsinteressen des AG einerseits 151 it den Persönlichkeitsrechten des AN andererseits anzuerkennen. Die dogmatischen Rechtsgrundlagen sind iSe „3-Ebenen-Systems“* persönlichkeitsrechtlich § 16 ABGB und arbeitsrechtlich eine arbeitsvertragliche „Home-Office“-Vereinbarung, allenfalls iVm einer „Home-Office“-BV. Datenschutzrechtliche Erlaubnistatbestände sind Art 6 Abs 1 lit a (Einwilligung des AN), lit b (Vertragserfüllung) und lit c (rechtliche Verpflichtung des AG)* DS-GVO und (wie schon erwähnt) Art 88 Abs 1 bzw Art 9 Abs 2 lit b DS-GVO hinsichtlich einer BV.

Zur Einwilligung des AN als datenschutzrechtlicher Erlaubnistatbestand ist vertiefend anzumerken, dass im Arbeitsverhältnis zwar die gem Art 7 DS-GVO diesbezüglich geforderte Freiwilligkeit aufgrund des bestehenden Machtungleichgewichts regelmäßig zweifelhaft ist. Geht es um die Einwilligung zu personenbezogenen Kontrollmaßnahmen des AG, wird man deshalb von vornherein nur dann von einer echten Freiwilligkeit sprechen können, wenn damit auch Vorteile für den betroffenen AN verbunden sind. In der Literatur wird diesbezüglich das Beispiel genannt, dass dem AN einerseits die Privatnutzung des dienstlichen Internet erlaubt wird, er aber andererseits im Gegenzug (als „Gegenleistung“) in die Kontrolle der Einhaltung der Modalitäten einer Privatnutzungsvereinbarung einwilligt.* Übertragen auf das „Home-Office“ könnte man in der diesbezüglichen (erhöhten) Kontrolle in diesem Sinne einen Ausgleich für die arbeitgeberseitige Gewährung von „Home- Office“ sehen,* falls das Arbeiten im „Home-Office“ (auch) im (objektivierbar) eindeutigen Interesse das AN liegt, insb zur Vermeidung eines längeren (zeitraubenden) Arbeitsweges. Abgesehen von diesen Erwägungen kann aber auch durchaus mit dem datenschutzrechtlichen Erlaubnistatbestand der erforderlichen Vertragserfüllung das Auslangen gefunden werden, wenn die datensichere Durchführung von Arbeiten im „Home-Office“ (wie schon ausgeführt) entsprechende Kontrollmaßnahmen gebietet.

AN-Interessenvertretungen müssen sicherstellen, dass die Pandemie von Unternehmen nicht als Vorwand benutzt wird, um die Kontrollmaßnahmen von Beschäftigten ausgehend von Arbeit im „Home-Office“ bleibend unverhältnismäßig zu erhöhen. Man kann sich außerdem leicht vorstellen, wie die Grenze zwischen zunehmend performance-orientierter „Home-Office“-Arbeit und „Plattformarbeit“ verschwimmt und zu einer zunehmenden „Uberisierung“ führt, wenn sich diese Arbeit per digitalisiertem Time-Tracking in Richtung projekt- bzw performancebezogener Bezahlung entwickelt. Erhöhte (zulässige) Kontrollmaßnahmen im „Home-Office“ können – haben sie sich einmal etabliert und sind auf den Endgeräten installiert – auch zu einem de facto Spill-Over auf Büro-Arbeitsplätze im Betrieb führen (insb bei ständigen Wechseln zwischen „Home-Office“ und Büro), selbst wenn sie dort unverhältnismäßig (und unzulässig) sind. Statt eines AN-Paradieses im „Home-Office“ droht angesichts technisch immer ausgereifterer IKT-Applikationen („Apps“) mit immanenter „Nebenher“-Kontrolle also eher eine Abwärtsentwicklung in Richtung eines Big-Brother-Panoptikums, das immer tiefer in unser Leben eindringt, einschließlich unseres Zuhauses.*

Der vorliegende Beitrag soll für diese Gefahren sensibilisieren. Eine Konsequenz aus diesen unmittelbar drohenden Gefahren sollte mE sein, sich davor zu hüten, das pandemiebedingte Auftreten des „Home-Office“ als allgemeine und sozialpolitisch gebilligte neue Arbeitsform im Dauerrecht zu institutionalisieren, sondern diese Notmaßnahme (gemeinsam mit dem kausalen Virus) vielmehr wieder (auf Nischen) zurückzudrängen.