Zunehmend löst sich die Grenze zwischen beruflicher und privater IT-Nutzung auf. Viele Systeme, Programme und Dienste werden mittlerweile sowohl im beruflichen als auch im privaten Umfeld genutzt. Laut dem Branchenverband BITKOM ermöglichen bereits 43 Prozent der Unternehmen im Bereich der Informations-und Telekommunikationstechnologie private Geräte am Arbeitsplatz. Als Vorteil von „Bring-Your-Own-Device“ (BYOD) wird oft angeführt, dass private Geräte leistungsfähiger und nutzerfreundlicher sind und die Mitarbeiter berufliche und private Aufgaben kombinieren können. Doch genau diese Vermischung von privaten und beruflichen E-Mails, Kontakten, Unternehmensdaten und Programmen birgt datenschutzrechtliche Risiken.
Zum einen ist ein Großteil der elektronischen Geräte für Verbraucher ausgelegt und erfüllt daher nicht die hohen Anforderungen, die Unternehmen üblicherweise an ihre eigene IT stellen. Andererseits bieten moderne Geräte Anwendungen zur Kommunikation, Datenverwaltung, Zusammenarbeit oder Datenspeicherung, die auch den beruflichen Alltag einfacher und effizienter gestalten können. Selbst wenn Unternehmen den Gebrauch von privaten Geräten nicht ausdrücklich erlauben, werden die Geräte oftmals selbständig von Mitarbeitern in den Berufsalltag integriert, wodurch eine parallele IT-Struktur entstehen kann, auf die dann im Zweifel kein Einfluss und kein Zugriff mehr genommen werden kann.
Dabei droht durch die mögliche, unkontrollierte Weitergabe von Daten, neben einem hohen Reputationsschaden, auch eine Sanktion durch die Datenschutzbehörden, die den Verlust personenbezogener Daten ahnden können. Ausgangspunkt der Überlegungen ist, dass auch bei der Verarbeitung personenbezogener Daten auf privaten Geräten das Unternehmen die verantwortliche Stelle im Sinne des Datenschutzrechts bleibt. Sie bleibt für die ordnungsgemäße Datenverarbeitung im Sinne des Bundesdatenschutzgesetzes (BDSG) verantwortlich. Daher empfiehlt es sich, klare, schriftliche Regelungen zu treffen, um Sicherheitsaspekte zu regeln und Rechtssicherheit für alle Seiten zu schaffen.
Dabei sollte eine unternehmensinterne Richtlinie den freiwilligen Charakter der Nutzung eigener Geräte ausdrücklich betonen, um den Unterschied zur Nutzung von Betriebsmitteln hervorzuheben. Sie sollte ein technisches Anforderungsprofil aufzeigen und rechtliche Rahmenbedingungen festlegen bzw. definieren. Eine solche Richtlinie kann z.B. die erlaubten Geräte auf bestimmte Hersteller reduzieren oder die zugelassenen Betriebssysteme bestimmen.
Neben der Verpflichtung zum Einsatz genau bestimmter Unternehmenssoftware kann auch der Einsatz von Antivirenprogrammen und ähnlicher sicherheitsrelevanter Software vorgeschrieben werden. Bestimmte Apps, zum Beispiel Cloud-Speichermöglichkeiten, könnten für den geschäftlichen Bereich ausgeschlossen werden. Ein Verbot von Apps für den privaten Gebrauch stellt, genau wie ein Verbot von Veränderungen am Betriebssystem oder an Anwendungen durch den Arbeitnehmer, einen nicht unerheblichen Eingriff in die Privatsphäre des Arbeitnehmers dar, wird aber trotzdem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlen.
Ein besonderes Augenmerk ist auch auf Apps zu legen, deren Lizenzen die kostenfreie Nutzung auf den privaten Bereich beschränken. Vor deren Einsatz ist zunächst das Unternehmen zu informieren, von dem dann gegebenenfalls Lizenzen für den gewerblichen Bereich erworben werden müssten. Duldet der Arbeitgeber die Nutzung ohne Lizenz, kann er unter urheberrechtlichen Gesichtspunkten haften.
Ein offensichtlicheres Problem bei BYOD ist, dass geschäftliche E-Mails, Kontakte, Kalender und Datenbanken mit persönlichen Nachrichten, Apps, Urlaubsfotos und anderen Dokumenten vermischt werden. Bei dem Versuch dies zu unterbinden, darf der Einfluss des Arbeitgebers jedoch nicht zu weit in den privaten Bereich eingreifen denn zum Beispiel das Überwachen oder gar Löschen von privaten Daten stellt rechtlich eine Datenerhebung oder -verarbeitung dar, die wiederum nur nach einer schriftlichen Einwilligung des Arbeitnehmers erlaubt ist.
Erfolgen derartige Eingriffe ohne Einwilligung, drohen neben zivilrechtlichen Schadensersatzpflichten auch strafrechtliche Folgen z.B. aufgrund der Verletzung des Fernmeldegeheimnisses (§ 206 Strafgesetzbuch). Daher empfiehlt es sich, private und berufliche Daten von vornherein mit entsprechenden technischen Hilfsmitteln weitgehend zu trennen und die bereits angesprochenen Richtlinien auf die Regelung der beruflichen Daten zu begrenzen. Lässt der Arbeitgeber, die Nutzung privater Geräte zu, ist er sogar gesetzlich verpflichtet, personenbezogene Daten durch technische und organisatorische Maßnahmen zu schützen, etwa mittels Zugangs- und Zugriffskontrollen (vgl. § 9 BDSG).
Oft unberücksichtigt bleibt der Umstand, dass geschäftliche Daten auf privaten Geräten auch den gesetzlichen Aufbewahrungspflichten unterliegen. Hierzu ist eine regelmäßige Synchronisation mit den Servern des Unternehmens oder eine manuelle Datensicherung, um beispielsweise steuerlich relevante E-Mails und Belege gesetzeskonform aufzubewahren.
Weitere Probleme können beim Verlust der Geräte auftauchen – hier ist es ggf. notwendig die Aufsichtsbehörden zu informieren und die Daten z.B. durch Fernlöschung vor dem Zugriff durch unberechtigte Dritte zu schützen. Schließlich sind Aspekte der Kostenverteilung, der oder die Datenherausgabe nach Beendigung des Arbeitsverhältnisses zu regeln. All diese Punkte muss eine BYOD-Vereinbarung vorhersehen und klare, gesetzeskonforme Regeln bestimmen.
Auf private Geräte muss in den meisten Anwendungsbereichen im Homeoffice, Büro oder auf Geschäftsreise nicht verzichtet werden, allerdings sollte eine Richtlinie den Rahmen der erlaubten Nutzung definieren.
Diese Richtlinie muss also viele Fragen beantworten:
– Wie kann zwischen geschäftlichen und privaten Daten differenziert werden?
– Wie sieht das Backup -/Archivierungskonzept aus?
– Wie erfolgt die Synchronisation zwischen mobilem Endgerät und Daten im Unternehmen?
– Welche Art der Verschlüsselung wird eingesetzt?
– Wie werden Einsicht-, Nutzungs- und Zugriffsrechte des Arbeitgebers auf die privaten mobilen Endgeräte geregelt?
– Welche Software darf installiert werden?
– Welche Sicherheitssoftware muss auf den mobilen Endgeräten installiert sein?
– Welche Sicherheitsrichtlinien gelten für die privaten Endgeräte?
– Wer trägt evtl. anfallende Lizenzkosten?
Ohne derartige Regeln kann eine Parallel-IT innerhalb des Unternehmens entstehen, mit der wiederum kaum überschaubare Haftungsrisiken verbunden sind. Mit den richtigen technischen und rechtlichen Vorkehrungen, können private Geräte jedoch zu einem Teil der modernen Unternehmenskultur werden und BYOD wird nicht zu „Bring-Your-Own-Disaster“.
– Felix Prömel (Junior Berater)
junokai