+49 30 285 058 56 berlin@res-media.net
Fachanwälte in Kooperation

„Bring Your Own Device" und der Datenschutz

Unter „Bring Your Own Device“ (BYOD) ist ein Unternehmensprogramm zum Einsatz spezieller IT zu verstehen, wenn das genutzte Gerät dem Mitarbeiter gehört und das Gerät Zugriff auf IT-Ressourcen des Unternehmens ermöglicht. Es kann sich in diesem Zusammenhang sowohl um mobile als auch um statisch genutzte Geräte handeln. Von der Thematik umfasst ist auch eigene Software, die ohne Hardware des betreffenden Mitarbeiters funktioniert, insbesondere in Web- und Clouddiensten. Nicht erfasst werden Fälle, bei denen sich der Mitarbeiter ein Gerät aus einer Produktpalette aussuchen kann, das Gerät aber im Eigentum des Arbeitgebers bleibt. Von BYOD ebenfalls nicht erfasst werden Fälle, in denen private Geräte von Mitarbeitern ohne Absprachen oder spezielle Vorkehrungen zu geschäftlichen Zwecken genutzt werden. Diesen Zustand gilt es zu vermeiden, weil er eine Reihe von rechtlichen Risiken birgt.
Die Frage ist, inwieweit es der Arbeitgeber datenschutzrechtlich überhaupt zulassen darf, dass geschützte Daten auf ein privates Gerät kopiert werden.
Im Datenschutzrecht gilt der Grundsatz, dass eine Übermittlung personenbezogener Daten unzulässig ist, wenn sie eine Datenübermittlung im Sinne des § 3 Abs. 4 Nr. 3 BDSG (Bundesdatenschutzgesetz) darstellt. Als Übermittlung ist dabei die Weitergabe von Daten an Dritte anzusehen. Allerdings gelten Arbeitnehmer dann nicht als Dritte im Sinne des Bundesdatenschutzgesetzes, wenn sie Daten im Rahmen ihrer dienstlichen Funktion erhalten. Dritte im Sinne des Bundesdatenschutzgesetzes sind sie nur dann, wenn sie Daten zu privaten oder eigenen geschäftliche Zwecke erhalten.
1. Trennung privater und geschäftlicher Daten und Zwecke
Datenschutzrechtlich problematisch kann insofern die Vermischung privater und geschäftlicher Daten und Zwecke werden. Für dienstliche Daten, insbesondere personenbezogene Daten, trägt der Arbeitgeber die volle Verantwortung. Er muss die Erhebung, Verarbeitung und Nutzung vollständig kontrollieren. Gemäß § 9 BDSG muss die verantwortliche Stelle, also das datenverarbeitende Unternehmen, die technischen und organisatorischen Maßnahmen treffen, die erforderlich sind, um die in der Anlage des BDSG genannten Anforderungen zu gewährleisten.
Eine wichtige Vorkehrung im Rahmen des Datenschutzes ist die getrennte Speicherung von privaten und geschäftlichen Daten. Diese ist nicht nur zum Schutz der Betriebs- und Geschäftsgeheimnisse während des laufenden Arbeitsverhältnisses dringend ratsam, sondern auch empfehlenswert, um eine Trennung von privaten und geschäftlichen Daten nach Beendigung des Arbeitsverhältnisses einfacher zu gestalten.
Die privaten Daten auf der dem Mitarbeiter gehörenden IT sind unverändert der Privatsphäre des Mitarbeiters zuzuordnen und sind als personenbezogene Daten geschützt; zum anderen ist eine Trennung notwendig, damit der Arbeitgeber auf die geschäftlichen Daten nach Beendigung des Arbeitsverhältnisses leichter zugreifen und diese revisionssicher oder zur Einhaltung sonstiger gesetzlicher Aufbewahrungspflichten aufbewahren kann.
Darüber hinaus ist die Trennung der Daten aufgrund des einschlägigen Fernmeldegeheimnisses in Bezug auf private E-Mails unbedingt erforderlich.
2. Umsetzung der Trennung
Eine physische Trennung zwischen privaten und geschäftlichen Daten ist zum einen denkbar, indem die Bearbeitung, Bereitstellung oder Speicherung von geschäftlichen Daten oder Anwendungen auf dem Endgerät in einem abgetrennten geschlossenen Bereich erfolgt (sog. Sandboxing).
Es gibt inzwischen einige Anbieter, die hierfür sogenannte Container-Apps anbieten, die genau definieren, welche Anwendungen geschäftlich erlaubt sind, ohne die private Nutzung einzuschränken oder dafür Sorge tragen, dass geschäftliche Emails sich nicht mit privaten Anwendungen öffnen lassen. Hiermit kann auch der Einsatz virenlastiger Applikationen oder der Abruf unerwünschter Internetseiten ausgeschlossen bzw. verboten werden.
Da das Unternehmen für die dienstlichen Daten die volle Verantwortung trägt, sollte es jederzeit die Kontrolle über E-Mails, Dokumente und Applikationen haben. Können für sensible Daten die datenschutzrechtlichen Anforderungen nicht eingehalten werden, sind sie von BYOD auszunehmen.
Bildnachweis: © bloomua – Fotolia.com

An den Anfang scrollen