Rechtliche Aspekte bei der Nutzung mobiler Endgeräte in Firmen

Datenschutz und ByoD

In Zusammenhang mit Bring Your Own Device (ByoD) diskutieren Juristen die Frage, ob die Speicherung und Verarbeitung personenbezogener Daten auf privaten Geräten eines Arbeitnehmers zulässig ist. Grundsätzlich setzt die Verarbeitung personenbezogener Daten die Einwilligung des Betroffenen oder eine gesetzliche Erlaubnis voraus. Beides, Einwilligung und gesetzliche Erlaubnis, gelten jedoch nur für das jeweilige Unternehmen. Mitarbeiter die personenbezogene Daten verarbeiten, dürfen dies, wenn und weil sie für dieses Unternehmen tätig sind. Dann sind sie, datenschutzrechtlich gesprochen, teil der verantwortlichen Stelle.

Gesetzliche Erlaubnis oder Einwilligung geben Mitarbeitern nicht das Recht, personenbezogene Daten als Privatperson zu verarbeiten. Ein Kunde, der seine Einwilligung gegeben hat, über zukünftige Produktneuerung informiert zu werden, hat diese Einwilligung einem bestimmten Unternehmen gegeben, nicht seinen Mitarbeitern als Privatperson.

Die Weiterleitung von personenbezogenen Daten an Mitarbeiter in ihrer Eigenschaft als Privatperson wäre datenschutzrechtlich eine Datenübermittlung, für die es weder eine gesetzliche Erlaubnis noch eine Einwilligung gibt und die damit unzulässig ist

Diese Abgrenzung zwischen der beruflichen und der privaten Sphäre eines Mitarbeiters ist schwierig, wenn ein Mitarbeiter private Geräte für dienstliche Zwecke einsetzt. Bildlich gesprochen: Handelt ein Mitarbeiter, der die Kundenliste zusammen mit seinen privaten Urlaubsbildern auf seinem privaten Tablet Computer speichert als Privatperson oder Mitarbeiter seines Unternehmens?

Unter Juristen ist die Auffassung verbreitet, eine rechtssichere Gestaltung von ByoD erfordere eine Vereinbarung über die Auftragsdatenverarbeitung nach § 11 Bundesdatenschutzgesetz (BDSG) mit jedem beteiligten Mitarbeiter. § 11 BDSG stellt weitreichende und strenge Anforderungen an Vereinbarungen zur Auftragsdatenverarbeitung, die in der Regel in aufwendigen Verträgen umgesetzt werden. Ein solcher Vertrag müsste mit jedem Mitarbeiter abgestimmt und schriftlich vereinbart werden, der privat Geräte im Unternehmen nutzt. Bestimmte Anforderungen, etwa die Verpflichtungen zur Datensicherheit nach § 9 BDSG sind für Privatpersonen kaum umsetzbar. Die Regeln zur Auftragsdatenverarbeitung und die Bestimmungen des Datenschutzrechts insgesamt sind für die Datenverarbeitung durch Privatpersonen schlicht nicht gemacht. Ein Mitarbeiter ist außerhalb seiner dienstlichen Tätigkeit nicht Auftragnehmer sondern Privatperson.

Praktikabler sind technische Lösungen, die sicherstellen, dass es zu keiner Durchmischung der privaten und der beruflichen Nutzung eines Gerätes kommt. Auch hier steht also weniger die rechtliche Gestaltung als die technische Organisation im Vordergrund.

Eine technische Trennung der privaten und der beruflichen Domäne hat auch unter einem anderen Gesichtspunkt Vorteile: Die privaten Daten eines Mitarbeiters genießen rechtlich einen besonderen Schutz, bei dem Aspekte des Datenschutzrechts, des Persönlichkeitsrechts des Arbeitnehmers und, nach der Rechtsprechung des Bundesverfassungsgerichts zur Online-Durchsuchung, des Grundrechts auf Werkseinstellungen, Vertraulichkeit und Integrität informationstechnischer Systeme zu berücksichtigen sind. Der Arbeitgeber darf nur unter strengen Voraussetzungen auf private Daten eines Arbeitnehmers zugreifen. Dies gilt selbst dann, wenn der Arbeitnehmer, etwa in einer formularmäßigen ByoD-Vereinbarung, in einen solchen Zugriff eingewilligt hat. Der Zugriff auf berufliche Daten ist weit weniger problematisch. Soweit daher eine technische Trennung möglich ist, erleichtert diese ein Eingreifen im Notfall, etwa das Zurücksetzen des Gerätes und das Löschen von Daten bei Diebstahl oder Verlust.