Homeoffice schnell improvisiert in Zeiten von Corona Virus

Einführende Überlegungen

Durch die Ausbreitung des Corona-Virus hat sich die Haltung vieler Unternehmen zum Homeoffice schlagartig geändert. Was bisher vielleicht mürrisch geduldet oder sogar vollständig abgelehnt wurde, könnte im Fall einer Quarantäne der Mitarbeiter/-innen zu einer Frage des wirtschaftlichen Überlebens werden.

In diesem Artikel möchte ich ein paar Tipps und Checklisten zur Hand geben, wie der Übergang zum Homeoffice für den Notfall gelingen kann.

Die Vorgehensweise deckt sich dabei natürlich nicht mit einer strukturierten Planung. So ist, wenn von heute auf morgen ein Drittel der Belegschaft nicht erscheinen kann, die Sicherung der Arbeitsfähigkeit einigen Aspekten wie z.B. der 100% IT-Sicherheit bestimmt übergeordnet. Denn was nutzt eine perfekt geschützte Organisation, die leider insolvent ist?
Trotzdem sollten natürlich auch im Notfallszenario IT-Sicherheit, Datenschutz oder Arbeitssicherheit so weit wie möglich im Auge behalten werden.

Vorrangig geht es in diesem Artikel aber um die Werkzeuge und Prozesse für die Zusammenarbeit und nicht um die rechtlichen Hintergründe.

Schritt 1: Was für eine Haltung brauchen wir?

Homeoffice funktioniert nur mit Offenheit und Vertrauen. Arbeitnehmer/-innen wie Arbeitgeber/-innen müssen sich sicher fühlen, von der anderen Seite nicht ausgenutzt zu werden.

Arbeitgeber/-innen befürchten häufig, dass sich Arbeitnehmer/-innen im Homeoffice nicht so konzentriert um ihre Aufgaben kümmern.
Die Arbeitgeberseite muss dazu verstehen, dass Kollegen/-innen im Homeoffice vielleicht nicht immer sofort per Telefon oder E-Mail verfügbar sind. Gerade kleinen Kindern ist es schwer zu vermitteln, dass Papa oder Mama zu Haus sind und trotzdem gleichzeitig bei der Arbeit. Dadurch verlängert sich oft der Arbeitstag, weil Unterbrechungen entstehen.

  • Hier macht es Sinn, Antwortzeiten für Anfragen (z.B. 1h) oder feste Zeitkorridore für die Erreichbarkeit (z.B. während des Kindergartenbesuchs) zu definieren.

Arbeitnehmer/-innen wollen andererseits auch nicht mehr zu erledigende Arbeit erhalten, als es im Büro normal wäre.

  • Hier kann man regelmäßige, virtuelle Kurzmeetings zum aktuellen Stand der Arbeit und Auslastung einrichten
  • oder auch auf Kanban Boards (s. Infrastruktur unten) zurückgreifen.

In Unternehmen mit Betriebsrat wird dieser sicher in der Extremsituation alle Maßnahmen vertrauensvoll von Anfang an mitgestalten.

Schritt 2: Welche Infrastruktur wird benötigt?

Kommunikation (synchron)

  • Telefon (notwendig)
  • Videokonferenzen (sinnvoll)
  • Telefonkonferenzen (sinnvoll, wenn Video keine Option ist)

Kommunikation (asynchron)

  • E-Mail (notwendig)
  • Chatprogramme, Nachrichtenforen (sinnvoll)

Dateiaustausch

  • Möglichkeit, Daten über das Internet z.B. in einer Cloud-Lösung freizugeben (notwendig)
    Dateien können je nach Konfiguration innerhalb der Organisation oder auch für Dritte zum Lesen und/oder Bearbeiten freigegeben werden.

Kollaborations- und Organisationswerkzeuge

  • Freigaben für Kalender (sinnvoll)
    Diese Funktion ist häufig vorhanden – ohne genutzt zu werden…
  • Online-Texteditoren (sinnvoll)
    Online-Texteditoren ermöglichen, über das Internet gemeinsam an Dokumenten (Texten, Tabellen, Präsentationen) zu arbeiten, wobei alle Beteiligten gleichzeitig den aktuellen Stand sehen.
  • Terminabstimmungswerkzeuge (sinnvoll)
    Beteiligte können bei Terminvorschlägen ankreuzen, ob sie verfügbar sind.
  • Kanban Boards (sinnvoll)
    Im Beispiel unten liegt ein Stapel mit Aufgaben links, die Beteiligte sich selbst nehmen oder durch Vorgesetzte zugewiesen bekommen können.
    Sind die Aufgaben in Bearbeitung, werden sie in die Mitte gezogen. Zusätzlich können die Karten mit weiteren Beschreibungen ergänzt werden.
    Erledigte Aufgaben gehen auf den rechten Stapel. Von dort können sie archiviert werden.
    Das gesamte Team hat immer im Überblick, wer an was arbeitet. Leerlauf entsteht nicht, weil man sich selbst immer neue Aufgaben nehmen kann.

Schritt 3: Was haben wir an Infrastruktur bzw. können wir schnell beschaffen?

Firmenseitig:

Häufig sind schon Lizenzen oder Installationen zu Software vorhanden, deren Potential nur zum Bruchteil ausgeschöpft wird.
Wer über Installation von Nextcloud oder Owncloud verfügt oder Office 365 lizensiert hat, hat praktisch alle oben genannten Werkzeuge schon im Unternehmen bzw. kann leicht die notwendigen Voraussetzungen schaffen.

Ist nichts derartiges vorhanden, so sind für den Notfall über das Internet entsprechende Werkzeuge (sogar mit Vertrag zur Auftragsverarbeitung) in kurzer Zeit aufgesetzt.

Im Homeoffice:

  • Der Heimarbeitsplatz sollte über ein Minimum an Ergonomie verfügen. Ein Couchtisch im Wohnzimmer ist wenig geeignet.
  • Hochauflösende Webcam für Videokonferenzen.
  • USB-Headset für Videokonferenzen (alternativ geeignete Freisprecheinrichtungen).
  • Internetbandbreite im Bereich von oberhalb 2 Mbit/s, um sinnvoll an Videokonferenzen teilnehmen zu können. Mehr Bandbreite ist auch für den Austausch von Dateien sinnvoll.
  • VPN auf dem Rechner oder über separaten VPN-Router.
  • Nummer für Call-through, damit ausgehende Anrufe mit einer Telefonnummer des Unternehmens dargestellt werden.

Schritt 4: Auf was können die Kollegen/-innen im Homeoffice zugreifen?

Es kann sein, dass aus Gründen des Datenschutzes oder der IT-Sicherheit nicht alle Dokumente oder Prozesse im Homeoffice verfügbar sein dürfen oder sollen.
Hier sind zum Beispiel Fragen der Zugänglichkeit und von Zugriffen Dritter (Partner, Kinder etc.) zu klären.
Von diesen Beschränkungen abgesehen, lassen sich die meisten Tätigkeiten aus einem Büro in das Homeoffice verlagern.

Schritt 5: Wie setzen wir es in der Praxis um?

  • Offen sein. Die Situation ist komplex und alle Beteiligten werden Fehler machen. Das ist nicht schön, gehört aber dazu.
  • Notwendige zentrale Plattformen aufsetzen/konfigurieren und testen.
  • Webcams, Headsets etc. beschaffen.
  • Testlauf mit technik-afinen Kollegen/-innen.
  • Unterstützung für Fragen zur Technik und Organisation bereitstellen.
    Dazu zählen Schulungen genauso wie Helplines (am Telefon und in Videokonferenz).
  • Mit Erfahrungen aus Tests schrittweise weitere Nutzer/-innen einbeziehen und an die Grenzen der Systeme und Prozesse heran tasten.
  • Laufend evaluieren: Was läuft gut, wo brauchen wir Anpassungen?
  • Offen sein, freundlich bleiben und allen Beteiligten für ihre Anstrengungen in der besonderen Situation danken.

Schritt 6: Wie gestalten wir unsere Zusammenarbeit?

  • Regelmäßige Online-Meetings für den sozialen Zusammenhalt und gegen die Vereinsamung.
  • Transparenz durch z.B. Kanban Boards (s.o.).
  • Flexibel in der Aufgabenbewältigung – mit den Bedürfnissen sowohl der Organisation wie der Mitarbeiter/-innen im Blick.

Schritt 7: Was lernen wir für den Normalbetrieb?

Vielleicht zeigt der Notfallbetrieb neue Chancen für den normalen Betriebsablauf auf. Definitiv werden sich auch Probleme zeigen. Daher sollte es begleitend eine Dokumentation geben, die positive wie negative Aspekte sammelt.

Diese Dokumentation kann beispielsweise auch als freigegebenes Dokument durch alle Beteiligten erarbeitet werden.
Wer auf ein Problem stößt, kann dieses gleich eintragen. Gleiches gilt natürlich auch für positive Resonanz!

Schritt 8: Was ist im Normalbetrieb zu berücksichtigen?

Wichtig für den Normalbetrieb ist die Klärung u.a. folgender Themenfelder:

  • IT-Sicherheit
  • Datenschutz
  • Mitbestimmungsrechte/Betriebsvereinbarungen
  • Arbeitssicherheit

Wenn Sie über die Tipps in diesem Artikel hinaus Unterstützung benötigen, stehe ich Ihnen gerne zur Verfügung.

Artikelbild: https://www.scientificanimations.com / CC BY-SA

Office 365 DSGVO-konform?

Golem meldet, dass Microsoft für deutsche Großkunden Office 365 auch aus deutschen Rechenzentren anbieten möchte, um Bedenken hinsichtlich des DSGVO-konformen Betriebs auszuräumen.

In der Vergangenheit musste Microsoft das Produkt schon u.a. auf Druck der niederländischen Regierung überarbeiten, da personenbezogene Daten unbefugt an Dritte und in die USA abflossen.

Verbessert die Datenhaltung in Deutschland also die rechtliche Position der Auftraggeber hinsichtlich Einhaltung der DSGVO? Aus meiner Sicht nicht wesentlich.

Zum jetzigen Zeitpunkt hat Microsoft ein gültiges Zertifikat unter dem Privacy Shield (Gültigkeit noch bis 30.9.2020). Damit könnte schon jetzt ein Vertrag über Auftragsverarbeitung in einem Drittland nach DSGVO abgeschlossen werden.

Die Notwendigkeit zum Abschluss eines Vertrages über Auftragsverarbeitung ergibt sich daraus, dass zum einen in den bearbeiteten Dokumenten in der Regel personenbezogene Daten enthalten sein dürften und zum anderen auch durch die Nutzer der Software personenbezogene Daten (z.B. Telemetriedaten) erzeugt werden (s.a. Art. 4 und Art. 24 DSGVO).

„Die Verarbeitung durch den Auftragsverarbeiter wird … grundsätzlich dem Verantwortlichen zugerechnet.“ (s.a. Kurzpapier Nr. 13, Auftragsverarbeitung, Art. 28 DS-GVO, Datenschutzkonferenz). Der Verantwortliche (in der Microsoft beauftragenden Organisation) ist für die Auswahl geeigneter Auftragsverarbeiter verantwortlich.

Die Frage, die sich Verantwortliche jetzt stellen müssen, ist zum einen, ob die rechtliche Absicherung mittels Vertrag hinreichend ist, wenn der Auftragsverarbeiter in der Vergangenheit gegen die DSGVO verstoßen hat auch die Aufsichtsbehörden noch keine eindeutige Position bezogen haben.

Zum anderen sollte man sich allerdings auch fragen, ob man Datenabflüsse auch aus Sicht der IT-Sicherheit überhaupt tolerieren möchte, selbst wenn sie rechtlich nach DSGVO nicht zu beanstanden wären. Einmal in die USA abgeflossen, ist die Kontrolle vollständig verloren.
Zumal durch den Cloud Act Unternehmen in den USA zur Herausgabe von Daten auch auf europäischen System verpflichtet sind. Hierbei sollte man auch daran denken, dass die DSGVO nur personenbezogene Daten aber nicht beispielsweise Informationen zu Geschäftsprozessen oder Technologien schützt.

Viele Funktionen der Microsoft Lösung lassen sich auch durch Software wie z.B. Nextcloud oder Owncloud realisieren. Diese können In-House oder bei geeigneten Hostern innerhalb der EU installiert werden und belassen die Kontrolle über die Daten bei den Verantwortlichen.

UPDATE 24.2.20: Heise berichtet, dass sich die Business-Versionen von Office 365 nicht an das per Gruppenrichtlinie erzwungene Abschalten von Makros bei MS Office-Dokumenten halten. Damit kann die Software zu einem Einfallstor für Schadsoftware wie Emotet werden, wenn nicht die teureren Enterprise-Versionen genutzt werden.