ByoD & Co. rechtlich absichern

Mobile Device Management

15.08.2012
Von Joachim Dorschel und Thorsten Walter

Datenschutz und ByoD

MDM-Lösungen müssen sicherstellen, dass private und berufliche Daten nicht vermischt werden.
MDM-Lösungen müssen sicherstellen, dass private und berufliche Daten nicht vermischt werden.

In Zusammenhang mit Bring Your Own Device (ByoD) diskutieren Juristen die Frage, ob die Speicherung und Verarbeitung personenbezogener Daten auf privaten Geräten eines Arbeitnehmers zulässig ist. Grundsätzlich setzt die Verarbeitung personenbezogener Daten die Einwilligung des Betroffenen oder eine gesetzliche Erlaubnis voraus. Beides, Einwilligung und gesetzliche Erlaubnis, gelten jedoch nur für das jeweilige Unternehmen. Mitarbeiter die personenbezogene Daten verarbeiten, dürfen dies, wenn und weil sie für dieses Unternehmen tätig sind. Dann sind sie, datenschutzrechtlich gesprochen, teil der verantwortlichen Stelle.

Gesetzliche Erlaubnis oder Einwilligung geben Mitarbeitern nicht das Recht, personenbezogene Daten als Privatperson zu verarbeiten. Ein Kunde, der seine Einwilligung gegeben hat, über zukünftige Produktneuerung informiert zu werden, hat diese Einwilligung einem bestimmten Unternehmen gegeben, nicht seinen Mitarbeitern als Privatperson.

Die Weiterleitung von personenbezogenen Daten an Mitarbeiter in ihrer Eigenschaft als Privatperson wäre datenschutzrechtlich eine Datenübermittlung, für die es weder eine gesetzliche Erlaubnis noch eine Einwilligung gibt und die damit unzulässig ist

Diese Abgrenzung zwischen der beruflichen und der privaten Sphäre eines Mitarbeiters ist schwierig, wenn ein Mitarbeiter private Geräte für dienstliche Zwecke einsetzt. Bildlich gesprochen: Handelt ein Mitarbeiter, der die Kundenliste zusammen mit seinen privaten Urlaubsbildern auf seinem privaten Tablet Computer speichert als Privatperson oder Mitarbeiter seines Unternehmens?

Unter Juristen ist die Auffassung verbreitet, eine rechtssichere Gestaltung von ByoD erfordere eine Vereinbarung über die Auftragsdatenverarbeitung nach § 11 Bundesdatenschutzgesetz (BDSG) mit jedem beteiligten Mitarbeiter. § 11 BDSG stellt weitreichende und strenge Anforderungen an Vereinbarungen zur Auftragsdatenverarbeitung, die in der Regel in aufwendigen Verträgen umgesetzt werden. Ein solcher Vertrag müsste mit jedem Mitarbeiter abgestimmt und schriftlich vereinbart werden, der privat Geräte im Unternehmen nutzt. Bestimmte Anforderungen, etwa die Verpflichtungen zur Datensicherheit nach § 9 BDSG sind für Privatpersonen kaum umsetzbar. Die Regeln zur Auftragsdatenverarbeitung und die Bestimmungen des Datenschutzrechts insgesamt sind für die Datenverarbeitung durch Privatpersonen schlicht nicht gemacht. Ein Mitarbeiter ist außerhalb seiner dienstlichen Tätigkeit nicht Auftragnehmer sondern Privatperson.

Praktikabler sind technische Lösungen, die sicherstellen, dass es zu keiner Durchmischung der privaten und der beruflichen Nutzung eines Gerätes kommt. Auch hier steht also weniger die rechtliche Gestaltung als die technische Organisation im Vordergrund.

Eine technische Trennung der privaten und der beruflichen Domäne hat auch unter einem anderen Gesichtspunkt Vorteile: Die privaten Daten eines Mitarbeiters genießen rechtlich einen besonderen Schutz, bei dem Aspekte des Datenschutzrechts, des Persönlichkeitsrechts des Arbeitnehmers und, nach der Rechtsprechung des Bundesverfassungsgerichts zur Online-Durchsuchung, des Grundrechts auf Werkseinstellungen, Vertraulichkeit und Integrität informationstechnischer Systeme zu berücksichtigen sind. Der Arbeitgeber darf nur unter strengen Voraussetzungen auf private Daten eines Arbeitnehmers zugreifen. Dies gilt selbst dann, wenn der Arbeitnehmer, etwa in einer formularmäßigen ByoD-Vereinbarung, in einen solchen Zugriff eingewilligt hat. Der Zugriff auf berufliche Daten ist weit weniger problematisch. Soweit daher eine technische Trennung möglich ist, erleichtert diese ein Eingreifen im Notfall, etwa das Zurücksetzen des Gerätes und das Löschen von Daten bei Diebstahl oder Verlust.

Fazit: Frühzeitig angehen und nicht aussitzen

Anders als "Mode-Themen" bringt der inflationäre Einsatz mobiler Geräte tatsächlich rechtliche Probleme mit sich, die sich durch eine saubere technische und vertragliche Gestaltung lösen lassen. Dabei gilt die dringende Empfehlung, das Thema möglichst frühzeitig anzugehen. Der in der Praxis häufig angetroffene, stillschweigend geduldete Wildwuchs führt nicht nur technisch sondern auch rechtlich zu Schwierigkeiten. Der Arbeitgeber kann ein Verhalten seiner Mitarbeiter, dass er über einen längeren Zeitraum geduldet hat, nicht ohne Weiteres und ohne Zustimmung der Arbeitnehmer über Nacht sanktionieren. Je länger der Zustand stillschweigender Hinnahme andauert, desto schwieriger ist es, einen geordneten Rechtsrahmen für die Nutzung mobiler Geräte um- und durchzusetzen.

Den Kern einer umfassenden und sicheren Mobility-Lösung im Unternehmen bildet stets die technische Seite. Hier bieten geeignete Softwaretools und sachkundige Beratung Hilfe. Die rechtliche Umsetzung ist in der Regel weit weniger komplex, als es den Anschein haben mag. In Unternehmen mit Betriebsrat genügt in der Regel eine Betriebsvereinbarung. Bei nichtbestimmten Unternehmen ist es eine Frage des Einzelfalls, ob eine Vereinbarung mit jedem Mitarbeiter getroffen werden muss oder eine unternehmensweite Policy ausreicht.

Eine rechtlich wie technisch saubere Organisation der im Unternehmen genutzten Mobile Devices ist auch unter haftungsrechtlichen Gesichtspunkten unumgänglich. Geraten Daten von einem mobilen Gerät in falsche Hände, so wird es bei der Frage der Haftung für den hierdurch entstandenen Schaden entscheidend darauf ankommen, ob das Unternehmen die "im Verkehr erforderliche Sorgfalt" beachtet hat, insbesondere so organisiert war, dass bei normalen Verlauf der Dinge ein Schaden ausgeschlossen werden kann. (mb)


Teaserbild: goodluz, Fotolia.de

Inhalt dieses Artikels