Datenschutzwissen

Einsatz von privaten Endgeräten im Betrieb

Smartphones, Tablet-PCs, Laptops und Co. (kurz „mobile Endgeräte“) erfreuen sich im privaten Bereich inzwischen einer sehr hohen Verbreitung und haben dank ihrer Universalität und hohen Leistungsfähigkeit das klassische Mobiltelefon weitgehend verdrängt. Diese Entwicklung führt zunehmend zu dem Wunsch der Benutzer, diese Geräte auch im beruflichen Umfeld für betriebliche Zwecke zu nutzen.

Mobile betriebliche und private Nutzungen lassen sich durch die Zusammenführung auf einer Hardware und einer Betriebssystemsoftware im Freizeitbereich und auf Geschäftsreisen etc. einfacher und flexibler gestalten. Der Beschäftigte muss nicht zwei unterschiedliche Geräte mit sich führen und kann sein privates und vertrautes Gerät benutzen.

Auch vonseiten der Arbeitgeber wird dieser Trend unter dem Stichwort „BYOD“ (Bring Your Own Device) vielfach positiv beurteilt und geduldet, teilweise sogar gefördert – verspricht man sich doch eine Steigerung der Mitarbeiterzufriedenheit und der Motivation der Beschäftigten, einen Imagegewinn, eine Erhöhung der Effizienz und Wirtschaftlichkeit der Arbeitsabläufe und eine bessere Erreichbarkeit der Mitarbeiter.

BYOD – Chancen und Risiken der geschäftlichen Nutzung privater Endgeräte

Andererseits zieht BYOD neben rechtlichen Problemen auch erhöhte Sicherheitsrisiken nach sich, weil im Fall von betrieblichen Daten die lokale Speicherung außerhalb der sicheren betrieblichen Systemumgebung auf einer privaten Plattform erfolgt. Dadurch wird zur Aufrechterhaltung einer angemessenen Sicherheit der Daten ein erhöhter Regelungs-, Sicherheits- und Wartungsaufwand erforderlich.

Dieser kann angesichts der Vielfalt der Geräte und Systemplattformen sowie der unterschiedlichen und teilweise mangelhaften Sicherheitslösungen die IT-Administration und den Helpdesk vor Sicherheits- und Kapazitätsprobleme stellen. Das Risiko der Kompromittierung von Unternehmensdaten durch Schadsoftware unter einer privaten Systemumgebung, auf die der Arbeitgeber eventuell keinen vollen Zugriff hat, stellt auch die Frage der Haftung für eventuelle Schäden und Datenschutzverletzungen.

Was sagt die Rechtsprechung zu BYOD?

Grundsätzlich ist festzustellen, dass der Arbeitgeber auch unter dem Regime von BYOD für die Speicherung, Verarbeitung und Nutzung von personenbezogenen Daten die verantwortliche Stelle im Sinne von § 3 Abs. 7 BDSG bleibt. Damit gelten auch für die mobile Speicherung, Verarbeitung und Nutzung von personenbezogenen betrieblichen Daten auf privaten Geräten sowohl die rechtlichen als auch die technisch- organisatorischen Anforderungen des BDSG. Der Arbeitgeber haftet in vollem Umfang bei Datenschutzverletzungen.

Verantwortliche Stelle und damit Adressat des BDSG wäre der Beschäftigte nur dann, wenn man aus der Tatsache der Datenspeicherung auf den privaten Geräten eine Datenübermittlung ableiten würde. Für diese Übermittlungen müssten aber die Voraussetzungen gem. § 28 Abs. 2 BDSG gegeben sein. Der Einsatz der privaten Geräte ist deshalb sowohl in das Datenschutz- als auch das Risikomanagement des Unternehmens einzubeziehen. Dies erfolgt aber aufgrund der privaten Natur der Geräte. Der Arbeitgeber ist hier grundsätzlich eingeschränkt, die nötigen Maßnahmen zur sicheren und rechtskonformen lokalen Speicherung, Verarbeitung und Nutzung der Daten einzurichten und durchzusetzen.

Verbindliche Richtlinien und Regelungen sind unabdingbar bei BYOD

Um Haftungsfallen zu vermeiden und eine ausreichende rechtliche und technisch-organisatorische Sicherheit der Speicherung, Verarbeitung und Nutzung der betrieblichen Daten sicherzustellen, müssen Art und Weise des Einsatzes der privaten Geräte für betriebliche Zwecke umfassend und zweifelsfrei geregelt sein. Das gilt auch für die rechtlichen und technisch-organisatorischen Randbedingungen.

Zunächst bietet sich bei mitbestimmten Unternehmen der Abschluss einer Betriebsvereinbarung an. Betriebsvereinbarungen stoßen aber dort an ihre Grenzen, wo auch Regelungen zu treffen sind, die den Bereich der privaten Nutzung der Geräte berühren. Beispielsweise ist ein Verbot der Installation von bestimmten privaten Apps denkbar, die auch die Sicherheit der betrieblichen Daten gefährden könnten. Ebenfalls einer Regelung bedürfen Einschränkungen der Nutzung der Geräte durch Dritte im privaten Bereich, zum Beispiel durch Freunde oder Familienangehörige.

Diesen Fachbeitrag vollständig lesen?

Wir freuen uns über Ihr Interesse. Diese Themen und viele andere rund um den betrieblichen Datenschutz finden Sie in unserem Fachportal für Datenschutz und Datensicherheit.

Kostenlos 4 Wochen lang testen


Sie sind bereits Nutzer von Datenschutz und Datensicherheit?

Zu diesem Beitrag finden Sie in Ihrem Ratgeber „Datenschutz im Personalwesen“ weitere Inhalte. Melden Sie sich hier an und lesen Sie alles zum Thema.

Zurück

Hier bloggt die Redaktion Datenschutz & Datensicherheit des Verlags Mensch und Medien.

Datenschutz & Datensicherheit Das Fachinformationsportal

  • Aktuelles Fachwissen
  • Rechtssichere Entscheidungen
  • Praktische Arbeitshilfen
  • Übersichtliche Prozessdarstellungen
  • Sofort einsetzbare Schulungen

Jetzt 4 Wochen testen