Tanja Altmaier
Datenschutzbeauftragte
Bring your own device (BYOD) ist heute bei vielen Unternehmen keine Seltenheit. Gleichzeitig ist jedoch die Bezeichnung BYOD den meisten eher unbekannt. Man nutzt die Geräte einfach. Dabei ist es elementar für jedes Unternehmen, sich über die Bedeutung und Reichweite im Klaren zu sein – und das nicht erst seit Einführung der Datenschutzgrundverordnung.
Gerade heute, wo das Arbeitsumfeld immer mehr digitalisiert und technisiert wird, kommt dem Thema BYOD mehr Bedeutung zu. Nicht selten gehen Betriebe dazu über, eine private Nutzung mobiler Endgeräte wie Smartphone, Tablet und Co. auch am Arbeitsplatz zuzulassen. Teilweise wird sogar erwartet, dass private Geräte verwendet werden, um die vom Arbeitgeber bereitgestellten Ressourcen wie E-Mail, Geschäftskontakte, Kalender oder Datenbanken zu nutzen.
Doch nicht nur aus datenschutzrechtlicher Sicht bringt eine Nutzung privater Hard- und/oder Software deutliche Herausforderungen mit sich.
Um als Verantwortlicher im Datenschutz entsprechend den Vorgaben aus DSGVO und BDSG n. F. zu arbeiten, geht es nun um die direkte Verbindung zwischen BYOD und Datenschutz.
Wenn es um die Kombination aus privater Hard- und Software und der Nutzung zu geschäftlichen Zwecken geht, dann gilt es eine ganze Reihe von rechtlichen Aspekten zu beachten.
In der Folge werden die wichtigsten Regelungen kurz aufgeführt. Wobei diese Aufzählung nicht abschließend ist.
Ein Bereich, der sicher jedem Unternehmen am Herzen liegt, ist das Schützen des firmeneigenen Know-How, sprich das Wahren von Geschäftsgeheimnissen. Insbesondere seit der Einführung des Geschäftsgeheimnisgesetzes (GeschGehG) gilt es verstärkt darauf zu achten, wie mit unternehmensinternen Informationen umgegangen wird.
Diese Geschäftsinformationen zu schützen ist aber, gerade durch die immer größer werdende Digitalisierung, nicht immer ganz einfach. Der Einsatz mobiler Endgeräte, egal ob private Geräte die beruflich genutzt werden, oder betriebliche Geräte auf denen eine Privatnutzung gestattet ist, bringt neben Vorteilen und Flexibilität auch Herausforderungen mit sich. Denn Gerade mobile Geräte sind viel eher einer Bedrohung ausgesetzt, als der stationäre PC-Arbeitsplatz innerhalb des Firmengebäudes.
Allein die Gefahr ein Smartphone oder Tablet zu verlieren, oder ein möglicher Diebstahl, ist bei Mobilgeräte um ein Vielfaches höher. Und somit natürlich auch das Risiko für die dort bereitgestellten Geschäftsinformationen.
Allein die Gefahr ein Smartphone oder Tablet zu verlieren, oder ein möglicher Diebstahl, ist bei Mobilgeräte um ein Vielfaches höher. Und somit natürlich auch das Risiko für die dort bereitgestellten Geschäftsinformationen.
Für die EDV-/IT-Abteilung eines Unternehmens bedeutet das, Maßnahmen zu etablieren, mit denen sensible Geschäftsinformationen geschützt werden. Dazu zählen unter anderem solche Basismaßnahmen wie eine saubere Verschlüsselung von elektronischen Dokumenten oder natürlich der gewissenhafte Einsatz von Passwörtern für den Zugriff auf Daten.
Durch das neue Geschäftsgeheimnisgesetz ist die Einführung angemessener Geheimhaltungsmaßnahmen essenziell, um vertrauliche Informationen und Firmen-Know-how zu schützen. Somit sollte der Aspekt der Wahrung von Geschäftsgeheimnissen in Verbindung mit dem Einsatz mobiler Geräte unbedingt berücksichtigt werden, um den gesetzlich vorgesehen Schutz zu gewährleisten.
Eine weitere Rechtsgrundlage, die berücksichtigt werden muss, wenn es um den Einsatz mobiler Endgeräte geht, ist der Bereich der gesetzlichen beziehungsweise steuerlich relevanten Aufbewahrungspflichten. Die Grundsätze ordnungsgemäßer Buchführung und Dokumentation (GoBD) berücksichtigen in ihrer Neufassung von Januar 2020 den Umstand, dass immer häufiger mobile Geräte eingesetzt werden. So z. B. durch das Abfotografieren von Belegen mit Hilfe von Smartphone oder Tablet, die steuerlich relevant sind. Um gemäß den Grundsätzen ordnungsgemäßer Buchführung (GoBD) zu arbeiten, gehört es dazu, Unterlagen die aufbewahrungspflichtig sind in der Form aufzubewahren, in der sie empfangen wurden. Ein Löschen vor Ende der Aufbewahrungsfrist ist nicht gestattet. Das Umwandeln von Unterlagen in ein anderes Format ist unter Auflagen möglich, sofern ausgeschlossen ist, dass es zu inhaltlichen Veränderungen kommen könnte.
Darüber hinaus muss auch sichergestellt werden, dass Kommunikation, die betrieblich relevant ist, auch tatsächlich über betriebliche Accounts (z. B. E-Mail) abgewickelt wird. Ansonsten könnte es sein, dass Korrespondenz, die aufbewahrungspflichtig wäre, dem Verantwortlichen verloren geht (siehe auch §257 HGB, sowie §147 AO). Das zeigt, dass es beim Einsatz mobiler Endgeräte klare und detaillierte Regelungen und Anweisungen braucht, was erlaubt ist und was nicht und worauf zu achten ist. Und natürlich kommt es auch hier auf die entsprechende technische Gestaltung der IT-Struktur eines Unternehmens an, um den gesetzlichen Vorgaben gerecht zu werden. Nur so kann von Seiten des Verantwortlichen sichergestellt werden, dass er den gesetzlichen Aufbewahrungspflichten sorgfältig nachkommt.
Neben den bereits genannten Regelungen kommt selbstverständlich die Datenschutzgrundverordnung (EU-DSGVO) in Verbindung mit dem Bundesdatenschutzgesetz (BDSG n. F.) ins Spiel. Darauf soll nun auch das Hauptaugenmerk gelegt werden.
Grundsätzlich gilt festzuhalten, dass der Verantwortliche im Datenschutz immer die Geschäftsführung eines Unternehmens ist. Zwar werden Mitarbeiter zumeist im Rahmen der Arbeitnehmerhaftung mit in die Verantwortung genommen. Doch allen voran ist immer die Geschäftsführung für die Umsetzung und Einhaltung der Datenschutzgrundverordnung und des Bundesdatenschutzgesetzes verantwortlich. Selbst dann, wenn eine Firma den Einsatz von privaten Geräten zur beruflichen Nutzung gestattet, ist und bleibt es Chefsache, den Datenschutz zu gewährleisten. Das gilt vor allem dann, wenn personenbezogene Daten auf privaten Endgeräten verarbeitet werden.
Um die Sicherheit und den Schutz dieser Daten zu gewährleisten, muss der Arbeitgeber dafür sorgen, dass es geeignete, dem Stand der Technik angepasste und ausreichende technische organisatorische Maßnahmen gibt.
Damit soll ein dem Risiko entsprechendes Schutzniveau erreicht werden. Deshalb müssen sämtliche Maßnahmen, die insbesondere beim Einsatz von Geräten, die im Rahmen des BYOD genutzt werden, so ausgelegt sein, dass personenbezogene Daten dort ebenso sicher verarbeitet werden, wie am internen PC. Das führt zu Herausforderungen in der alltäglichen Umsetzung. Unter anderem deshalb, weil anders als beim Bundesdatenschutzgesetz früher, heute bereits dann Bußgelder durch die Aufsichtsbehörde verhängt werden können, wenn die technischen organisatorischen Maßnahmen gemäß Art. 32 DSGVO nicht nachgewiesen werden können, sprich keine aussagekräftige Dokumentation dazu vorliegt.
Worauf es bei der datenschutzkonformen Umsetzung noch ankommt, dazu mehr in einem separaten Artikel.
Geht es um die rechtlichen Grundlagen gilt es selbstverständlich auf arbeitsrechtliche Aspekte zu achten, die ein Einsatz von BYOD mit sich bringen mag.
Dieser kurze Überblick vermittelt schon, dass es durchaus zu überlegen ist, ob und inwieweit Mitarbeiter ihre privaten Endgeräte tatsächlich nutzen, um geschäftliche Daten zu verarbeiten. Die Empfehlung geht dahin den Einsatz von persönlichen, privaten Geräten zu vermeiden, vor allem dann, wenn eine Verarbeitung personenbezogener Daten im Spiel ist. Denn häufig lässt sich das durch die DSGVO geforderte Schutzniveau bei der Nutzung privater Geräte nicht in der Form umsetzen, wie es sein sollte.
Wie bereits erwähnt, ist die Geschäftsführung eines Unternehmens für die Umsetzung und
Einhaltung der rechtlichen, gesetzlichen Vorgaben verantwortlich.
Das gilt selbstverständlich auch dann, wenn ein Unternehmen entscheidet, Teile der Verarbeitung unter zu Hilfenahme privater Endgeräte zu erledigen. Jedoch wird es meist so aussehen, dass der Arbeitgeber den Arbeitnehmer mit in die Verantwortung und somit in die Haftung nehmen wird.
Gerade dann, wenn BYOD zum Einsatz kommt, gibt es Herausforderungen und Risiken. Wird zum Beispiel ein privates Endgerät genutzt, um personenbezogene Daten zu verarbeiten, kann ein fehlendes Sicherheitsupdate, eine nicht aktualisierte Antiviren-Software oder das Umgehen notwendiger technischer Sicherheitsmaßnahmen ein erhebliches Risiko bedeuten. Entweder lediglich für die lokal auf dem Gerät gespeicherten Daten (Unternehmensdaten und/oder personenbezogene Daten), oder im schlimmsten Fall sogar für die Unternehmens-IT an sich.
Und häufig stellt man fest, dass im häuslichen und privaten Gebrauch von Mobilgeräten nicht so akkurat auf die Installation notweniger Updates oder Sicherheitspatches geachtet wird. Da dauert es manchmal schon etwas länger, bis so ein Update durchgeführt wird. Doch kommt es hier tatsächlich zu einem Zwischenfall, und sind dann außerdem geschäfts- oder personenbezogene Daten im Spiel, kann es schnell „ungemütlich“ werden.
Deshalb empfiehlt es sich, den Arbeitnehmer über eine entsprechende schriftliche Regelung auf seine Pflichten hinzuweisen und ihn auf die bestehende Arbeitnehmerhaftung hinzuweisen. Dazu kommen in einem weiteren Artikel nähere Informationen.
Abschließend zum Punkt Arbeitnehmerhaftung kann an dieser Stelle gesagt werden, dass es immer eine Abwägung der Gesamtumstände geben muss, bezogen auf den jeweiligen entstandenen Schaden.
Ein weiteres Risiko, das zu Haftungsfragen führen könnte, ist der Einsatz von nicht korrekt lizenzierter Software, bei der Nutzung privater Endgeräte.
Nicht selten unterscheiden Betreiber von Softwarelösungen zwischen privater und gewerblicher Nutzung. Um beim Einsatz von BYOD nicht in eine Falle zu tappen, empfiehlt es sich, im Vorfeld zu überprüfen, ob eine entsprechende Unternehmenslizenz für den Einsatz auf einem privaten Gerät erlaubt ist.
Vielleicht lässt sich gleich beim Abschluss eines Lizenzvertrages mit dem Anbieter der Software eine gewünschte Nutzung auf privaten Endgeräten einschließen.
Und selbstverständlich sind Mitarbeiter darüber zu informieren, dass eigene und privat genutzte Software nicht zu geschäftlichen Zwecken verwendet werden darf.
Sowohl vor dem Einsatz neuer Softwarelösungen als auch vor der Etablierung von BYOD-Vereinbarungen im Unternehmen muss grundsätzlich geprüft werden, wie die Lizenzbedingungen einer Softwarelösung aussehen.
Ein anderer Aspekt in Sachen Haftung könnte sein, dass ein Arbeitnehmer den Arbeitgeber in die Verantwortung nehmen will, wenn ein geschäftlich genutztes Privatgerät verloren geht, oder beschädigt wird. Unter Umständen kann der Arbeitnehmer gegenüber dem Arbeitgeber Aufwendungsersatz geltend machen.
Voraussetzung dafür ist, dass er eigenes Vermögen – wie z. B. ein privates Endgerät – einsetzt um Interessen des Arbeitgebers vertreten. Rechtsgrundlage dafür wären entsprechende Paragrafen aus dem Bürgerlichen Gesetzbuch (§670, §65 BGB).
Zusammengefasst lässt sich zum Punkt der Haftung sagen, dass es wirklich gut überlegt sein sollte, ob man die Nutzung privater Geräte für betriebliche Vorgänge im Unternehmen etablieren möchte. Denn für beide Seiten – sowohl Arbeitgeber als auch Arbeitnehmer – bestehen zum Teil deutlich höhere Risiken als beim Einsatz betrieblicher Hardware.
Bevor die Frage beantwortet werden kann, ob man ein mobile-device-management im Unternehmen braucht, um den Einsatz privater Endgeräte sauber darstellen zu können, stellt sich die Frage, was ein mobile-device-management (kurz MDM) überhaupt ist.
Deshalb zu Beginn die Begriffsbestimmung: Kurzgesagt handelt es sich um eine zentrale Verwaltung sämtlicher mobiler Geräte innerhalb eines Unternehmens, unabhängig davon ob es sich um Smartphone, Tablet oder Notebooks handelt. Mit einer solchen zentralen bzw. zentralisierten Verwaltung sollen im Wesentlichen zwei Ziele erreicht werden. Einerseits erhält man durch ein MDM natürlich einen Überblick über die im Einsatz befindlichen Geräte. Andererseits kann durch die Nutzung entsprechender Hard- und Software viel getan werden, um in puncto Datensicherheit den Schutz von verarbeiteten Daten zu gewährleisten.
Grundlegend gilt es vor der Einführung eines MDM zu entscheiden, welche Nutzung mobiler Geräte im Unternehmen gewünscht wird. Je nachdem, ob es rein die Ausgabe betrieblicher Geräte an Mitarbeiter geben wird, oder auch die Nutzung privater Geräte im Rahmen des BYOD, muss das mobile-device-management Modell gewählt werden
Abgesehen davon muss auch der Schutzbedarf der Informationen und Daten berücksichtigt werden, die mit Hilfe der mobilen Geräte verarbeitet werden sollen. Und schlussendlich geht es auch um die Entscheidung, ob in die Verarbeitung z. B. eine Cloud-Lösung integriert wird, auf die die Benutzer mittels mobiler Endgeräte zugreifen können.
Bei der Auswahl und der Gestaltung eines MDM-Systems steht als oberstes Ziel immer, der Schutz von Unternehmensdaten, und im erweiterten Sinn natürlich dann auch von personenbezogenen Daten, die im Unternehmen verarbeitet werden. So lassen sich mit Hilfe der zentralen Verwaltung von Endgeräten Zugriffe trennen oder sperren, falls es zu einem Sicherheitsverstoß kommen sollte. Auch Berechtigungskonzepte können mittels MDM-Systems erstellt und angepasst werden. Fakt ist – es empfiehlt sich die Etablierung eines MDM-Systems im Unternehmen, um die Unternehmensziele in Sachen IT-Sicherheit und Datenschutz sauber abbilden und auch steuern zu können, vor allem auch dann, wenn es zum Einsatz privater Endgeräte zu betrieblichen Zwecken geht.
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!