Latte Macchiato, Liegestuhl, Laptop – diese Kombination bieten immer mehr Arbeitgeber ihren Mitarbeitern, durch die Option auch im Ausland zu arbeiten, an. Der Beitrag gibt eine Einführung, was bei der Umsetzung rechtlich relevant sein kann.
Der Inhalt im Überblick
- Ist mobiles Arbeiten im Ausland aus dem Homeoffice erlaubt?
- Wichtige Rechtsvorschriften beim mobilen Arbeiten im Ausland
- Datenschutz beim Homeoffice im EU-Ausland
- Datenschutz beim mobilen Arbeiten in unsicheren Drittländern
- Dem Risiko im Ausland angemessene IT-Sicherheitsmaßnahmen
- Mobiles Arbeiten im Ausland – ein Interessenkonflikt
Ist mobiles Arbeiten im Ausland aus dem Homeoffice erlaubt?
Es gibt weder ein gesetzliches Verbot noch ein Recht auf Arbeit im Ausland. Mangels gesetzlicher Regelungen treffen Arbeitgeber häufig eigene Regelungen über die Zulässigkeit von Auslandstätigkeiten:
- Verpflichtung zu Verschwiegenheit und Datenschutz,
- Pflicht des Arbeitnehmenden zur Dokumentation der Arbeitszeit,
- Informationspflichten über den Aufenthalt des Arbeitnehmers,
- welche Arbeitsmittel der Arbeitgeber zur Verfügung stellt und welche nicht,
- welche zeitliche Befristung für die Arbeit im Ausland bestehen und
- inwieweit eine Rückkehrpflicht besteht.
Diese und weitere Regelungen zur Auslandstätigkeit können im Arbeitsvertrag oder in einer internen Richtlinie enthalten sein. Ist dies nicht der Fall, müssen die Einzelheiten individuell vereinbart werden.
Kann der Arbeitgeber mobiles Arbeiten im Ausland auch verbieten?
Da der Arbeitnehmer keinen Rechtsanspruch auf eine Auslandstätigkeit hat, kann der Arbeitgeber diese auch untersagen. Versuche von Arbeitnehmern, aus der Pflicht des Arbeitgebers zur Rücksichtnahme auf die Interessen des Arbeitnehmers (§ 241 Abs. 2 BGB) einen Anspruch auf Erteilung der Zustimmung zur Auslandstätigkeit herzuleiten, waren bisher nicht erfolgreich. So sah es das ArbG München nicht als ermessensfehlerhaft an, wenn der Arbeitgeber von vornherein keine Zustimmung zur Auslandstätigkeit erteilt. Dies gelte selbst dann, wenn der Lebenspartner des Arbeitnehmers im Ausland lebe und dadurch die familiäre Nähe erschwert sei. Ähnlich entschied das LAG Köln, dass Arbeitnehmer auch dann keinen Anspruch auf eine Auslandstätigkeit hätten, wenn der Arbeitgeber in einer Betriebsvereinbarung über das mobile Arberiten die Möglichkeit vorsah, diese individuell zu erlauben.
Wichtige Rechtsvorschriften beim mobilen Arbeiten im Ausland
Darüber hinaus hängen viele rechtliche Rahmenbedingungen davon ab, in welchem Land der Arbeitnehmer arbeiten möchte. Von primärer Bedeutung für die Rahmenbedingungen der Arbeit in der EU sind oft aber folgende Rechtsakte
- Die VO (EG) Nr. 883/2004 zur Koordinierung der Systeme der sozialen Sicherheit für Fragen der Sozialversicherung,
- Für Fragen der Aufenthalts- und Arbeitserlaubnis; Art. 45 / Art. 21 AEUV i.V.m. mit den jeweiligen Umsetzungsakten,
- Für die Besteuerung der Arbeitseinkünfte das EStG bzw. speziellere Doppelbesteuerungsabkommen (DBA’s),
- und die Verordnung (EG) Nr. 593/2008 zum anwendbaren Arbeitsrecht.
Weniger arbeitsrechtlich geprägt, aber ebenso wichtig ist das Datenschutzrecht, um das es im nächsten Abschnitt geht.
Datenschutz beim Homeoffice im EU-Ausland
Die DSGVO gilt in allen EU-Ländern und EWR-Ländern (Norwegen, Island und Liechtenstein), so dass ein Aufenthalt von Mitarbeitern im EU-Ausland wenig problematisch ist. Dasselbe gilt für Länder mit Angemessenheitsbeschluss, weil dort ein vergleichbares Datenschutzniveau bestehen soll. Im Übrigen ist das jeweilige nationale Datenschutzrecht zu beachten.
Datenschutz beim mobilen Arbeiten in unsicheren Drittländern
Komplizierter wird es, wenn sich die Mitarbeiter nicht im EU-Ausland befinden. Dann müssen „für jede“ Übermittlung auch die Garantien nach Art. 44 ff. DSGVO bestehen. Eine Übermittlung liegt vor, wenn Daten aus dem Drittland zugänglich gemacht oder abgerufen werden können. Der EDSA geht bei Erfüllung folgender Kriterien von einer solchen aus:
- Der Datenexporteur unterliegt der DSGVO,
- der Exporteur legt personenbezogene Daten gegenüber einem Datenimporteur offen und
- der Importeur befindet sich in einem Drittland.
Bei einem Fernzugriff durch im EU-Ausland tätige Mitarbeiter wäre es denkbar, diesen als eine den Art. 44 ff. DSGVO unterliegende Übermittlung zu konstruieren. Der EDSA ist jedoch einen anderen Weg gegangen und geht von einer rein internen Verarbeitung durch den Arbeitgeber aus. Gibt der Arbeitnehmer die Daten an Dritte weiter, liegt wiederum eine Übermittlung vor. D.h. es bleibt ein Restrisiko für Arbeitgeber, ihre Arbeitnehmer im EU-Ausland arbeiten zu lassen.
Dem Risiko im Ausland angemessene IT-Sicherheitsmaßnahmen
Lässt sich ein Drittlandaufenthalt von Mitarbeitern in EU-Drittstaaten ohne vergleichbares Datenschutzniveau nicht vermeiden, sollten daher TOM zur Risikominimierung ergriffen werden. Beispielhaft können diese sein:
- IT-Geräte sollten verschlüsselt werden. Das gilt auch für die vom Arbeitgeber herausgegebenen USB-Sticks,
- der Zugriff auf das Betriebssystem sollte mit einem Kennwort versehen sein,
- die IT-Systeme sollten durch eine Zwei-Faktor-Authentifizierung gesichert sein,
- Mitarbeiter sollten darauf zu verpflichten werden stets den Bildschirm bei Verlassen des Arbeitsgeräts zu sperren,
- IT-Geräte des Arbeitgebers sind stets entweder bei sich oder in einem zugangsgesperrten Raum zu verwahren,
- Daten sollten zentral im Inland gespeichert sein und nur bei Bedarf heruntergeladen werden,
- die Datenübermittlung (z.B. E-Mail) sollte nach dem Stand der Technik verschlüsselt sein,
- Zugriffe auf die Firmen-IT-Infrastruktur sollten nur über auf ausreichende Belastbarkeit getesteten VPNs möglich sein,
- die Netzwerkeinstellungen der IT-Geräte sollten einen Zugriff auf das Internet nur über die Firmen-VPN zulassen,
- es sollte Sichtschutzfolie beim mobilen Arbeiten verwendet werden.
Es ist wichtig, den Mitarbeitern die relevanten Regelungen im Unternehmen und ggf. im Ausland zu vermitteln. Denn: Niemandem ist geholfen, wenn er hinterher sagt: „Das habe ich nicht gewusst oder das hat man mir nicht gesagt“.
Mobiles Arbeiten im Ausland – ein Interessenkonflikt
In Zeiten des zunehmenden Fachkräftemangels werden Homeoffice & mobiles Arbeiten im Ausland immer mehr zu einem etablierten Benefit, um Mitarbeiter zu gewinnen. Aber auch der (EU-) Gesetzgeber verschärft in vielen Bereichen die Anforderungen an die IT-Sicherheit – beispielsweise durch den Digital Operational Resilience Act und NIS 2. Dies kann Arbeitgeber in einen Interessenskonflikt zwischen rechtssicherer Compliance und flexiblen Arbeitsbedingungen bringen.