„Bring your own device“ versus Datenschutz
Container-Lösungen können helfen _ Die Corona-Pandemie zwingt viele Unternehmen, sich technisch und organisatorisch neu aufzustellen. Hierzu gehört auch das Angebot an die Mitarbeiter, örtlich flexibel arbeiten zu können. Viele Mitarbeiter wollen dabei beispielsweise ihre privaten Smartphones auch für berufliche Aufgaben einsetzen (bekannt als „Bring-Your-Own-Device“ bzw. „BYOD“). Eine solche Verwendung von privaten Endgeräten ist jedoch vor allem aus datenschutzrechtlicher Sicht nicht unproblematisch. Der Einsatz sogenannter Container-Lösungen kann hierbei helfen, wie Matthias Götz, Partner der auf Datenschutzrecht spezialisierten Kanzlei Nikol & Goetz, erläutert.
Nutzt der Mitarbeiter personenbezogene Daten im Zusammenhang mit seiner dienstlichen Tätigkeit (z. B. Kundendaten) auf seinem privaten Endgerät, nimmt dies das Unternehmen nicht aus der datenschutzrechtlichen Verantwortlichkeit. Das Unternehmen muss daher die datenschutzkonforme Verarbeitung der Daten sicherstellen. Dazu braucht es u. a. Zugriff auf und Kontrolle über die relevanten Daten. Ein unbeschränkter Zugriff auf das private Endgerät des Mitarbeiters wird hier aus datenschutzrechtlicher Sicht jedoch kaum zu vertreten sein. Klassische Mobile-Device-Management-Systeme helfen außerdem nur bedingt weiter, da der Zugriff auf die privaten Daten des Mitarbeiters möglich bleibt.
In der Praxis wird dieses Spannungsfeld daher nur über eine strikte Trennung der beruflichen und privaten Daten aufzulösen sein. Das kann durch Einsatz sogenannter Container-Lösungen gelingen. Hierbei wird ein abgeschotteter „betrieblicher“ Bereich auf dem privaten Endgerät geschaffen, der separat kontrolliert und verwaltet werden kann.
Anforderungen an Container-Lösungen
Bei der Auswahl einer Container-Lösung sollten Unternehmen insbesondere folgende Dinge beachten:
- Trennung von Daten: Die strikte Trennung von privaten und beruflichen Daten muss technisch sichergestellt sein, z. B. darf der Zugriff einer App aus dem einen Bereich auf Apps oder Daten in dem anderen Bereich nicht möglich sein.
- Kein „Copy & Paste“: Ein „Copy & Paste“ des Mitarbeiters von betrieblichen Informationen in private Apps (z. B. Social Media Apps) sollte technisch unterbunden sein.
- Kontrolle und Löschung: Die Kontrolle der datenschutzkonformen Verwendung der Endgeräte und ebenso die Löschung der betrieblichen Daten durch das Unternehmen muss wie oben beschrieben möglich sein, ohne dass auf den privaten Bereich zugegriffen werden kann bzw. Daten aus dem privaten Bereich gelöscht werden können.
- Zugang: Der Zugang zum betrieblichen Bereich sollte nur mit einer Zwei-Faktor-Authentifizierung möglich sein. Zumindest sollte ein starker Passwortschutz bestehen.
- Verschlüsselung: Die betrieblichen Daten sollten auf dem Endgerät und bei der Übertragung verschlüsselt sein.
- Betriebssystem und Apps: Das Betriebssystem und zumindest die in dem betrieblichen Profil verwendeten Apps sollten stets auf dem aktuellen Stand sein. Mit manchen Container-Lösungen können solche Updates „erzwungen“ werden.
- Internationaler Datentransfer: Die in dem Container gespeicherten Daten sollten die EU nicht verlassen, zumindest aber sollten die Vorgaben der Datenschutz-Grundverordnung („DSGVO“) zum Datentransfer in unsichere Drittländer eingehalten werden (z. B. durch Abschluss von Standardvertragsklauseln). 8. Auftragsverarbeitungsvertrag: Aus datenschutzrechtlicher Sicht kann der Abschluss eines Auftragsverarbeitungsvertrags mit dem Anbieter der Container-Lösung erforderlich sein (Art. 28 Abs. 3 DSGVO).
Vereinbarungen mit und Schulungen für Mitarbeiter
Mit den Mitarbeitern sind Vereinbarungen zur Teilnahme an dem BYOD-Programm zu treffen. Diese sollten insbesondere folgende Punkte abdecken: Informationen zu Meldepflichten bei verloren gegangenen Endgeräten, Richtlinien zum Passwortschutz, Regelungen zur Haftungsverteilung, Kostenregelungen, Informationen zum (Fern-)Zugriff, usw. Außerdem ist es ratsam, die Mitarbeiter zu ihrem Umgang mit BYOD-Geräten zu schulen.
BYOD-Programme für Mitarbeiter werfen auch arbeitsrechtliche Fragen auf. Sollte das BYOD-Programm nicht freiwillig sein, müsste die Nutzung von privaten Endgeräten ggf. vergütet werden. Schließlich sollte auch eine Abstimmung mit dem Betriebsrat erfolgen. Container-Lösungen können aufgrund ihrer Protokollierungsmöglichkeiten eine technische Einrichtung zur Überwachung der Arbeitnehmer darstellen (§ 87 Nr. 6 BetrVG). Zu guter Letzt sollten Unternehmen auch steuerrechtliche Implikationen von BYOD-Programmen im Blick haben.
Fazit
Die Vorteile eines BYOD-Programms liegen auf der Hand: Die Mitarbeiter freuen sich, dass sie den Alltag nicht mehr mit zwei Smartphones oder Laptops bestreiten müssen. Das Unternehmen kann Kosten sparen, da es keine separaten Endgeräte mehr anschaffen muss. Allerdings sind bei der Umsetzung eines BYOD-Programms insbesondere die oben genannten rechtlichen Probleme zu berücksichtigen. Eine Container-Lösung scheint hierbei aus datenschutzrechtlicher Sicht unerlässlich. In jedem Fall sollte beim Aufsetzen eines solchen Programms neben der Rechts- und der IT-Abteilung auch die Personalabteilung und ggf. der Betriebsrat mit einbezogen werden. So kann ein BYOD-Programm zu einem Erfolg werden, ohne dass man sich in den rechtlichen Fallstricken verfängt.
ARTIKEL DIESER AUSGABE
Covid-19 beschleunigt Wachstum nachhaltiger Finanzierungen
„Ein Aufbauplan für Europa“ – unter diesem Titel einigten sich im Juli die EU-Führungsspitzen auf ein knapp zwei Billionen Euro schweres Wiederaufbaupaket nach der Covid-19-Pandemie.... mehr
Hogan Lovells verpartnert Thalia mit Osiander
Im umkämpften Buchhandel wollen Thalia Mayersche und Osiander jetzt gemeinsam gegen die Online-Macht von Versandriese Amazon ankämpfen. Mit rechtlicher Unterstützung von Hogan Lovells... mehr
Kirkland & Ellis berät Oakley Capital bei Kauf von WindStar Medical
Der bei ProSiebenSat.1 ausrangierte führende deutsche Anbieter von Gesundheitsprodukten in Drogerien, Supermärkten und Apotheken, WindStar Medical, wechselt mit Hilfe von Kirkland &... mehr
DLA Piper für BILD erfolgreich
DLA Piper hat den Medienkonzern Axel Springer und seine Tochter BILD erfolgreich in einer Auseinandersetzung bis zum Bundesgerichtshof (BGH) vertreten und dabei eine Grundsatzentscheidungen... mehr
Verbandssanktionen – Was bringt das neue Gesetz?
Das voraussichtlich Anfang 2023 in Kraft tretende Verbandssanktionengesetz (VerSanG) war zuletzt erheblicher Kritik ausgesetzt. Der Bundesrat hat am 18.9.2020 zwar einen Teil dieser Kritik... mehr
Baker McKenzie mit Neuzugang von PwC
Baker McKenzie gewinnt einen Lateral von PwC für die Frankfurter Steuerpraxis. Florian Gimmler startet gemeinsam mit seinem dreiköpfigen Team zum 1.1.2021 als Partner im Main-Office.... mehr
Ashurst rüstet deutsche Restructuring & Special Situations-Praxis auf
Ashurst verstärkt zum 1.11.2020 ihre deutsche Restructuring & Special Situations-Praxis in München auf Partnerebene. Karsten Raupach ist seit 2015 für die Kanzlei tätig und auf nationale... mehr
Wessing & Partner mit neuer Partnerin im Medizinstrafrecht
Wessing & Partner wächst zum Jahreswechsel in Düsseldorf um eine neue Partnerin. Katharina Anna Schomm ist spezialisiert auf das Arzt- und Medizinstrafrecht sowie die Beratung und Vertretung... mehr
Fernabsatzverträge – Widerruf grundsätzlich nicht möglich
Mit seinem Urteil zum Wiederrufsrecht bei Fernabsatzverträgen hat der Europäische Gerichtshof (EuGH) jetzt die Rechtssicherheit für Unternehmer mit Auftragsarbeiten gestärkt. Demnach... mehr