„Bring your own device“ versus Datenschutz

Container-Lösungen können helfen _ Die Corona-Pandemie zwingt viele Unternehmen, sich technisch und organisatorisch neu aufzustellen. Hierzu gehört auch das Angebot an die Mitarbeiter, örtlich flexibel arbeiten zu können. Viele Mitarbeiter wollen dabei beispielsweise ihre privaten Smartphones auch für berufliche Aufgaben einsetzen (bekannt als „Bring-Your-Own-Device“ bzw. „BYOD“). Eine solche Verwendung von privaten Endgeräten ist jedoch vor allem aus datenschutzrechtlicher Sicht nicht unproblematisch. Der Einsatz sogenannter Container-Lösungen kann hierbei helfen, wie Matthias Götz, Partner der auf Datenschutzrecht spezialisierten Kanzlei Nikol & Goetz, erläutert.

Nutzt der Mitarbeiter personenbezogene Daten im Zusammenhang mit seiner dienstlichen Tätigkeit (z. B. Kundendaten) auf seinem privaten Endgerät, nimmt dies das Unternehmen nicht aus der datenschutzrechtlichen Verantwortlichkeit. Das Unternehmen muss daher die datenschutzkonforme Verarbeitung der Daten sicherstellen. Dazu braucht es u. a. Zugriff auf und Kontrolle über die relevanten Daten. Ein unbeschränkter Zugriff auf das private Endgerät des Mitarbeiters wird hier aus datenschutzrechtlicher Sicht jedoch kaum zu vertreten sein. Klassische Mobile-Device-Management-Systeme helfen außerdem nur bedingt weiter, da der Zugriff auf die privaten Daten des Mitarbeiters möglich bleibt.

In der Praxis wird dieses Spannungsfeld daher nur über eine strikte Trennung der beruflichen und privaten Daten aufzulösen sein. Das kann durch Einsatz sogenannter Container-Lösungen gelingen. Hierbei wird ein abgeschotteter „betrieblicher“ Bereich auf dem privaten Endgerät geschaffen, der separat kontrolliert und verwaltet werden kann.

Anforderungen an Container-Lösungen

Bei der Auswahl einer Container-Lösung sollten Unternehmen insbesondere folgende Dinge beachten:

1. Trennung von Daten: Die strikte Trennung von privaten und beruflichen Daten muss technisch sichergestellt sein, z. B. darf der Zugriff einer App aus dem einen Bereich auf Apps oder Daten in dem anderen Bereich nicht möglich sein.
2. Kein „Copy & Paste“: Ein „Copy & Paste“ des Mitarbeiters von betrieblichen Informationen in private Apps (z. B. Social Media Apps) sollte technisch unterbunden sein.
3. Kontrolle und Löschung: Die Kontrolle der datenschutzkonformen Verwendung der Endgeräte und ebenso die Löschung der betrieblichen Daten durch das Unternehmen muss wie oben beschrieben möglich sein, ohne dass auf den privaten Bereich zugegriffen werden kann bzw. Daten aus dem privaten Bereich gelöscht werden können.
4. Zugang: Der Zugang zum betrieblichen Bereich sollte nur mit einer Zwei-Faktor-Authentifizierung möglich sein. Zumindest sollte ein starker Passwortschutz bestehen. 
5. Verschlüsselung: Die betrieblichen Daten sollten auf dem Endgerät und bei der Übertragung verschlüsselt sein.
6. Betriebssystem und Apps: Das Betriebssystem und zumindest die in dem betrieblichen Profil verwendeten Apps sollten stets auf dem aktuellen Stand sein. Mit manchen Container-Lösungen können solche Updates „erzwungen“ werden.
7. Internationaler Datentransfer: Die in dem Container gespeicherten Daten sollten die EU nicht verlassen, zumindest aber sollten die Vorgaben der Datenschutz-Grundverordnung („DSGVO“) zum Datentransfer in unsichere Drittländer eingehalten werden (z. B. durch Abschluss von Standardvertragsklauseln). 8. Auftragsverarbeitungsvertrag: Aus datenschutzrechtlicher Sicht kann der Abschluss eines Auftragsverarbeitungsvertrags mit dem Anbieter der Container-Lösung erforderlich sein (Art. 28 Abs. 3 DSGVO).

Vereinbarungen mit und Schulungen für Mitarbeiter

Mit den Mitarbeitern sind Vereinbarungen zur Teilnahme an dem BYOD-Programm zu treffen. Diese sollten insbesondere folgende Punkte abdecken: Informationen zu Meldepflichten bei verloren gegangenen Endgeräten, Richtlinien zum Passwortschutz, Regelungen zur Haftungsverteilung, Kostenregelungen, Informationen zum (Fern-)Zugriff, usw. Außerdem ist es ratsam, die Mitarbeiter zu ihrem Umgang mit BYOD-Geräten zu schulen.

BYOD-Programme für Mitarbeiter werfen auch arbeitsrechtliche Fragen auf. Sollte das BYOD-Programm nicht freiwillig sein, müsste die Nutzung von privaten Endgeräten ggf. vergütet werden. Schließlich sollte auch eine Abstimmung mit dem Betriebsrat erfolgen. Container-Lösungen können aufgrund ihrer Protokollierungsmöglichkeiten eine technische Einrichtung zur Überwachung der Arbeitnehmer darstellen (§ 87 Nr. 6 BetrVG). Zu guter Letzt sollten Unternehmen auch steuerrechtliche Implikationen von BYOD-Programmen im Blick haben.

Fazit

Die Vorteile eines BYOD-Programms liegen auf der Hand: Die Mitarbeiter freuen sich, dass sie den Alltag nicht mehr mit zwei Smartphones oder Laptops bestreiten müssen. Das Unternehmen kann Kosten sparen, da es keine separaten Endgeräte mehr anschaffen muss. Allerdings sind bei der Umsetzung eines BYOD-Programms insbesondere die oben genannten rechtlichen Probleme zu berücksichtigen. Eine Container-Lösung scheint hierbei aus datenschutzrechtlicher Sicht unerlässlich. In jedem Fall sollte beim Aufsetzen eines solchen Programms neben der Rechts- und der IT-Abteilung auch die Personalabteilung und ggf. der Betriebsrat mit einbezogen werden. So kann ein BYOD-Programm zu einem Erfolg werden, ohne dass man sich in den rechtlichen Fallstricken verfängt.