Warum Arbeitgeber die privaten Smartphones Beschäftigter nicht geschäftlich nutzen sollten
Manche Arbeitgeber, insbesondere im sozialen Beeich, haben die Idee oder nutzen die privaten Smartphones der Beschäftigten für betriebliche Aufgaben. Aus dem ursprüngliche „BYOD“ wurde „TYOD“ – Take your own device. Beide Varianten sollen, so der Gedanke, zu Kosteneinsparungen auf Seiten der Arbeitgeber führen.
Fraglich ist, ob die Nutzung der privaten Smartphones von Beschäftigten auch rechtlich sinnvoll ist. Jede Datenverarbeitung hat ihre eigenen Risiken. Sowohl BYOD als auch die mit der Corona-Pandemie einhergehende Verpflichtung zum Home Office und die damit erforderliche Verwendung der privaten Geräte und Infrastruktur der Beschäftigten machten die Probleme deutlich. Gelöst werden müssen arbeits- und insbesondere datenschutzrechtliche sowie it-technische Herausforderungen. Alles in allem entsteht ein erheblicher Mehraufwand, um sie gesetzeskonform zu lösen.
Nicht nur, dass in Deutschland die Unternehmen die Betriebsmittel zu stellen haben, so findet durch die Nutzung privater Smartphones für betriebliche Zwecke auch ein Eingriff in die Eigentumsrechte der Beschäftigten satt. Ein Eingriff, der einer einzelvertraglichen oder kollektivrechtlichen Regelung bedarf. Ebenso stellen sich Fragen zu den Nutzungsbedingungen und dem Lizenzrecht, weil nicht jede App auch betrieblich genutzt werden darf. Die Schadenersatzpflicht träfe den Arbeitgeber. Im Vordergrund stehen an dieser Stelle jedoch datenschutz- und zum Teil It-Sicherheitsfragen, die Arbeitgeber zu beachten haben, die die privaten Smartphones ihrer Beschäftigten für betriebliche Aufgaben einsetzen möchten.
Wer ist Verantwortlicher für die Datenverabeitung?
Geschäftsinhaber oder Geschäftsführer sollten immer daran denken, dass neben die Haftung des Unternehmens unter Umständen auch eine Haftung der Leitungsorgane tritt. Unterlassen Inhaber oder Organvertreter eines Unternehmens vorsätzlich oder fahrlässig Aufsichtsmaßnahmen, die zur Vermeidung von Datenschutzverstößen erforderlich sind, so könne sie nach dem OwiG auch persönlich mit ihrem Privatvermögen haften, wenn ein Datenschutzverstoß durch entsprechende Aufsicht verhindert oder wesentlich erschwert worden wäre.
Datenschutzrechtlich ist der Verantwortliche im Sinne der DSGVO für die betriebliche Verarbeitung personenbezogener Daten auf den privaten Smartphones der Beschäftigten der Arbeitgeber. Die, wenn auch möglicherweise geringe geschäftliche Datenverabeitung reicht dafür aus. Der Verantwortliche hat für die Datenverarbeitung auf den privaten Geräten der Beschäftigten somit die gleiche Verantwortung wie für die Verarbeitung im Unternehmen selbst. Für etwaige Verstöße gegen das Datenschutzrecht auf den privaten Geräten ist er verantwortlich. Den einzelnen Beschäftigten wird man im Außenverhältnis gegenüber Dritten in der Regel nur als Teil der verantwortlichen Stelle ansehen. Auf der anderen Seite steht das Gerät aber im Eigentum der Beschäftigten. Verantwortliche haben somit keinen unbeschränkten Zugriff auf ihre geschäftlichen Daten. Eine Lösung ist ein Mobile Device Management, mit dem eine strikte Trennung zwischen privaten und geschäftlichen Daten auf dem privaten Gerät möglich ist.
Die Anforderungen an den Verantwortlichen sind aber auch abhängig von der Kategorie der verarbeiteten Daten. Werden „normale“ oder „besondere“ Kategorien personenbezogener Daten wie Gesundheitsdaten auf den privaten Geräten verarbeitet? Je sensibler die Daten, desto stärker wird der Eingriff in die Konfiguration und somit das Eigentum des Beschäftigten sein. Zu prüfen ist ggf. auch, ob vertragliche Verpflichtungen bestehen, die den Einsatz der privaten Geräte ausschließen. Insbesondere Sozialdaten unterfallen strengen gesetzlichen Regelungen, die durch vertragliche Vereinbarungen den Verantwortlichen, als gemeinnützigen oder privaten Trägern, durch die Leistungsträger auferlegt werden können. Die Verantwortlichen sind dann den Regelungen des SGB X oder anderen Regelungen in einem SGB unterworfen. In der Regel führt dies bereits zu einem Ausschluss der Nutzung privater Geräte der Beschäftigten. Nicht nur datenschutzrechtlich, sondern weil es auch eine Vertragsverletzung darstellen kann.
WIE BEKOMMT MAN DAS GEREGELT?
Technische und Organisatorische Maßnahmen
Das zuvor genannte MDM ist nur ein Teil, den Verantwortliche als technische und organisatorische Maßnahmen zum Schutz der Daten ergreifen müssen. Mit der Nutzung der privaten Geräte entstehen für Verantwortliche immer zusätzliche Soft- und Hardware-Risiken. Hinweise, welche Anforderungen beim Einsatz von Smartphones zu berücksichtigen sind, findet man im IT-Grundschutz-Kompendium des BSI und den weiteren Dokumenten des BSI. Häufig wird schon die unterschiedliche Aktualität des Betriebssystems auf den Geräten einen Stand haben, der kein MDM ermöglicht. Außerdem geht der Verantwortliche das Risiko ein, dass die Geräte umso angreifbarer sind, je älter der Stand des Betriebssystems ist. Stand 2020 betrug der Marktanteil von Android 10 lediglich 23,2% (vgl. https://www.connect.de/ratgeber/android-versionen-verteilung-ueberblick-liste-3200452-8635.html). Hinzu kommt, dass ältere oder „kleinere“ Geräte kein Up-date des Betriebssystems erhalten. Nicht jeder nutzt ein Gerät, bei dem die Aktualisierung für 5 Jahre erfolgt (https://www.chip.de/news/Diese-iPhones-erhalten-iOS-15_182551984.html). Ebenso stellt sich auch die Frage, welche Verpflichtungen und Anforderungen sich für die auf den Geräten befindlichen Apps für die Beschäftigten ergeben können.
Als organisatorische Maßnahmen sind z.B. Schulungen zum Passwortschutz, zur Sicherheit oder zum Zugriffsschutz durch Dritte (Familienangehörige) erforderlich. So dürfen die Betriebssysteme nicht gerootet sein, leichtsinnige Passwörter („123456“) verwendet werden oder die Geräte z. B. Kindern zum Spielen überlassen werden. Um die Beschäftigten zu verpflichten, sind zusätzliche Richtlinien erforderlich und zu dokumentieren. Zu den organisatorischen Maßnahmen gehört insbesondere auch die Untersagung der Nutzung von Messengerdiensten wie WhatsApp, wenn Gesundheits- oder Sozialdaten verarbeitet werden. Sinnvoll wäre hier bereits, WhatsApp über das MDM im „geschäftlichen Teil“ des Geräts auszuschließen.
MASSNAHMEN ALLEIN REICHEN NICHT
Kontrollen sind erfoderlich!
Verantwortliche haben die Einhaltung der technisch und organisatorischen Maßnahmen zu kontrollieren. Auch hier kollidiert das Eigentumsrecht der Beschäftigten mit den Pflichten des Verantwortlichen. Kontrollen privater Geräte, auch wenn sie dienstlich genutzt werden, sind daher rechtlich nicht ohne Einschränkungen möglich und bedürfen einer entsprechenden Vereinbarung. Der Arbeitgeber und/oder der benannte Datenschutzbeauftragte müssen daher entsprechende Kontrollrechte auf den Geräten der Beschäftigen erhalten. Gleichzeitig muss der Schutz der privaten Daten der Beschäftigten gewährleistet sein. Die Kontrollen sind zu dokumentieren, wenn ein ordnungsgemäße Datenschutzorganisation nachgewiesen werden soll, was aus Haftungsgründen dringend angeraten ist.
WAS PASSIERT BEIM VERLUST DES SMARTPHONES?
Datenpannen
Im Falle der Verletzung des Schutzes personenbezogener Daten bestehen für den Verantwortlichen die gesetzlichen Meldepflichten. Nach Art. 33 DSGVO gegenüber der Aufsichtsbehörde und nach Art. 34 DSGVO gegenüber den von der Datenpanne betroffenen Personen, wenn ein hohes Risiko für deren Rechte und Freiheiten besteht. Diese Meldepflichten erhalten insbesondere im Falle von Gesundheits- oder Sozialdaten nochmals eine höhere Bedeutung. Der Verlust eines privaten Smartphones oder die Offenlegung der Daten darauf löst immer die Pflicht zur Prüfung einer Datenpanne aus und kann im schlimmsten Fall mit einer Meldung enden. Da der Verantwortliche unverzüglich und möglichst binnen 72 Stunden ab Kenntnis zu melden hat, bestehen erhöhte Anforderungen. Ob immer eine Löschung der gesamten Daten auf dem Smartphone möglich ist, um den Schaden zu begrenzen, ist zwischen dem Arbeitgeber und der/dem Beschäftigten zu regeln.
UND AM ENDE?
Fazit
Die „angeordnete“ geschäftliche Nutzung der privaten Smartphones der Beschäftigten ist nur auf den ersten Blick eine (kosten)günstige Lösung. Zu viele rechtliche Themen sind vorab vom Arbeitgeber zu beachten und schriftlich zu regeln. Allein die Anforderungen zum Datenschutz und zur IT-Sicherheit, deren Umsetzung, Kontrollen und Dokumentation sind für sich genommen schon eine hohe Herausforderung. Der hierfür anfallende Aufwand und der rechtliche Beratungsbedarf sind in vielen Fällen höher, als die Kosten für die Anschaffung von geschäftlichen Handys. Auch im unteren Preisbereich gibt es Geräte, die für die gewünschten geschäftlichen Zwecke ohne Probleme verwendet werden können.
Sollten Sie Fragen zum Einsatz von geschäftlichen Smartphones oder von privaten Smartphones zu geschäftlichen Zwecken haben, nehmen Sie gern Kontakt mit mir auf.
