Nicht erst seit Corona und der damit verbundenen Arbeit im Home-Office ist die Nutzung eines private Endgerät der Mitarbeiter in vielen Unternehmen sehr beliebt. Die Vorteile liegen auf der Hand: Unternehmen sparen hohe Anschaffungskosten, wenn die Mitarbeiter ihre eigenen privaten Geräte auch in der Arbeit einsetzen. Für Mitarbeiter ist es praktisch, sich nicht erst an andere Arbeitsmittel gewöhnen zu müssen, sondern das eigene bekannte Smartphone nutzen zu können, um mobil zu arbeiten. Bring your own device („BYOD“) meint dabei nicht nur das Abrufen dienstlicher E-Mails auf dem privaten Laptop, sondern vielfach haben Mitarbeiter auch Zugriff auf das firmeninterne Netzwerk. Bitte beachten Sie, dass „BYOD“ aus datenschutzrechtlicher Sicht gravierende Herausforderungen für Ihr Unternehmen mit sich bringt, die es zu lösen gilt.
Datenschutzrechtliche Risiken bei dienstlicher Nutzung von privaten Endgeräten
Das Grundproblem besteht darin, dass der Arbeitgeber nachvollziehbarerweise keine Weisungsbefugnis gegenüber dem Arbeitnehmer in Bezug auf das private Endgerät des Mitarbeiters hat. Andererseits ist es jedoch so, dass der Arbeitgeber die Verantwortung dafür trägt, dass die Daten, die der Mitarbeiter für die Firma auf seinem Privathandy verarbeitet, geschützt und datenschutzkonform behandelt werden. Denn der Arbeitgeber ist als Verantwortlicher i.S.d. DSGVO für die Datenverarbeitung (z.B. von geschäftlichen Telefonnummern von Kunden) verantwortlich. Dieser Verantwortung kann der Arbeitgeber jedoch bereits dann nicht mehr nachkommen, wenn der Mitarbeiter z.B. WhatsApp auf seinem Smartphone nutzt, da hier meist auf die Kontaktdaten im Telefon zugegriffen wird. Mehr zur Problematik WhatsApp in der dienstlichen Kommunikation erfahren Sie hier.
Problematisch ist weiterhin, dass Schadsoftware, die sich möglicherweise auf dem privaten Endgerät befindet, die Unternehmensinfrastruktur gefährden kann. Oftmals reichen zudem die technischen und organisatorischen Maßnahmen auf dem privaten Laptop oder Smartphone nicht aus, wodurch sich haftungsrechtliche Risiken für den Arbeitgeber ergeben, wenn es zu einem Datenleck kommt. Darüber hinaus ist es auf privaten Geräten schwierig, eine klare Trennung von privaten und dienstlichen Daten vorzunehmen, was jedoch zu einer datenschutzkonformen Nutzung notwendig ist. Weiterhin müsste sichergestellt werden, dass bei einem Verlust des Laptops oder Smartphones die Möglichkeit einer Fernlöschung der Daten besteht.
Schriftliche Vereinbarung im Vorfeld ist Pflicht
Falls Sie „BYOD“ in Ihrem Unternehmen nutzen möchten, ist es unumgänglich, die beschriebenen und weitere Themen im Vorfeld schriftlich zu klären und entsprechende Vereinbarungen zu treffen. Grundlage hierfür kann eine speziell ausgearbeitete Nutzungsvereinbarung zwischen dem Arbeitgeber und dem Arbeitnehmer sein, die als Ergänzung des Arbeitsvertrages datenschutzrechtliche Sicherheit bei der dienstlichen Nutzung von privaten Laptops oder Smartphones schafft.
Denn der Arbeitgeber hat, ebenso wie bei firmeneigenen Geräten, auch bei privaten Geräten der Mitarbeiter die Pflicht, den Einsatz geeigneter technischer und organisatorischer Maßnahmen und die Einhaltung aller Datenschutzgrundsätze sicherzustellen und zu kontrollieren. Hierzu sollten Sie sich jedoch von einem versierten Rechtsanwalt umfassend rechtlich beraten lassen. Sie erhalten eine BYOD-Vereinbarung von der Kanzlei Loos Rechtsanwälte unter: info@kanzlei-loos.de
[…] Angela M. alle betrieblichen Daten aus ihrem privaten iPhone löschen, welches sie aufgrund der Bring-your-own-device-Vereinbarung auch zu betrieblichen Zwecken nutzen durfte. Was im Übrigen im Rahmen des Off-Boardings zu […]