Corner-top-right-trans
Berliner Beauftragte für Datenschutz und Informationsfreiheit

Rechtliche Aspekte


Hier werden Hinweise zu schriftlichen Vereinbarungen zur Regelung der rechtlichen und technischen Details, zu den Zugriffen auf die Daten und auf Auswirkungen auf Arbeitszeit, Kostenverteilung und Beendigung gegeben.

Schriftliche Vereinbarung zur Regelung der rechtlichen und technischen Details

Ausgangspunkt der Überlegungen ist, dass auch bei der Verarbeitung personenbezogener Daten auf privaten Geräten das Unternehmen die verantwortliche Stelle im Sinne des Datenschutzrechts bleibt. Sie ist für die ordnungsgemäße Datenverarbeitung verantwortlich. Es empfiehlt sich daher, schriftliche Festlegungen gegenüber den Beschäftigten in Form einer Betriebsvereinbarung, in bestimmten Fällen auch einer Individualvereinbarung zu treffen. BYOD ist als technische Einrichtung grundsätzlich dazu geeignet, Verhalten und Arbeitsweise der oder des Beschäftigten zu überwachen. Bei der Ausgestaltung der Vereinbarung und Nutzung hat daher der Betriebsrat ein Mitbestimmungsrecht. Eine Regelung, wie die Beschäftigten das Gerät zu nutzen haben, löst ebenso das Mitbestimmungsrecht aus.

Wichtig ist, dass eine individuelle Vereinbarung auf der Freiwilligkeit beider Seiten basiert. Für die Beschäftigten ist dieser Punkt bedeutsam, um nicht zur Nutzung privater Geräte verpflichtet zu werden. Duldet der Arbeitgeber die Nutzung der Geräte ohne Vereinbarung, kann die Nutzung als betriebliche Übung zu werten sein, was zu Rechtsunsicherheit bei der einzelnen Ausgestaltung führt. Deshalb sind in jedem Fall schriftliche Vereinbarungen zu empfehlen.

Zugriff auf die Daten

Eine Vereinbarung sollte zunächst Vorgaben enthalten, wie zwischen privaten und geschäftlichen Daten getrennt werden soll, und wer wann und in welcher Form Zugriff auf die Daten hat. In der Vereinbarung sollte zudem festgehalten sein, dass die Beschäftigten am Endgerät bestimmte Sicherheitsvorkehrungen einzurichten haben oder diese nicht mehr verändern dürfen. Grundsätzlich darf niemand ohne Einwilligung des Eigentümers bzw. Besitzers auf dessen Geräte zugreifen. Will also das Unternehmen Dokumente, Daten oder Apps auf dem Gerät speichern, empfiehlt es sich, auch dies zu regeln und die erforderlichen Prozeduren schriftlich zu vereinbaren. Werden bereits gespeicherte Daten auf dem Gerät verändert, wäre eine solche Vereinbarung auch aus strafrechtlicher Sicht relevant.

Beim Zugriff auf Daten der Beschäftigten muss danach unterschieden werden, ob es sich trotz einer technischen Trennung von dienstlichen und privaten Daten tatsächlich um berufliche Daten handelt. Ein Zugriff auf private Daten ist nur zu dem Zweck erlaubt, um sie der einen oder anderen Kategorie zuordnen zu können. Abgesehen davon, dass es in Arbeitsverhältnissen häufig an der Freiwilligkeit fehlt, kommt hinzu, dass es sich überwiegend auch um Daten Dritter handeln wird. Deren Einwilligung ist in diesen Fällen kaum möglich. Gleiches gilt für den Zugriff auf E-Mails. Während Dienst-E-Mails vom Arbeitgeber gelesen werden können, ist der Zugriff auf die privaten E-Mails nicht zulässig, da hier schutzwürdige Interessen der Betroffenen, z. B. das Telekommunikationsgeheimnis, grundsätzlich überwiegen.

Weiterhin muss geklärt werden, wann und wie Daten gelöscht werden können. Nach dem Bundesdatenschutzgesetz besteht eine Pflicht zur Löschung, wenn die Speicherung personenbezogener Daten unzulässig ist oder Daten für geschäftliche Zwecke verarbeitet werden und ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist. Die Frage wird außerdem relevant, wenn das Endgerät verloren geht. Von einer möglichen Fernlöschung wären dann u. U. auch private Daten betroffen. Eine verantwortliche Stelle ist zudem verpflichtet, Betroffene und die Aufsichtsbehörden zu informieren, wenn Dritten personenbezogene Daten zur Kenntnis gelangt sind, beispielsweise bei Verlust. Daher sollte auch diese Pflicht in eine Vereinbarung aufgenommen werden. Beschäftigte, die private Geräte mit dienstlichen Daten verlieren, müssen ihren Arbeitgeber informieren, um ihm die Erfüllung seiner Meldepflichten zu ermöglichen.

Die Nutzung des privaten Smartphones durch Dritte ist zu untersagen und es ist sicherzustellen, dass wirklich nur Berechtigte auf unternehmensinterne Daten Zugriff nehmen können. Anderenfalls könnte eine unzulässige Übermittlung personenbezogener Daten vorliegen. Bei notwendigen Reparaturen und Wartungsarbeiten muss das Gerät an die IT-Abteilung des Unternehmens übergeben werden. Eine Weitergabe an Dritte sollte ausgeschlossen werden. Wenn doch eine Übergabe an einen unternehmensexternen Experten notwendig wird, muss vereinbart werden, dass zuvor ggf. eine Datensicherung durchgeführt wird und sensible Daten gelöscht werden können.

Arbeitszeit, Kostenverteilung, Beendigung

Aus Arbeitnehmersicht ist es sinnvoll, Regelungen zur Arbeitszeit und zur Kostenverteilung zwischen Unternehmen und Arbeitnehmer für Gerät, Software und Nutzungsentgelte zu treffen. Grundsätzlich muss der Arbeitgeber der oder dem Beschäftigten Aufwendungsersatz für die durch die Nutzung entstandenen Kosten des privat bezahlten Dienstes leisten. Es sollte geklärt werden, ob es einen pauschalen oder einzelnachweisbasierten Ersatz geben wird. Am einfachsten und datenschutzfreundlichsten klärt sich die Kostenfolge bei einer Flatrate. Sinnvoll ist es, gleich zu Beginn der Nutzung Maßnahmen für ein mögliches Ende des Gebrauchs zu treffen. So kann festgehalten werden, ob es sich um eine befristete Möglichkeit zur Nutzung handelt und in welcher Form die dienstlichen Daten nach Beendigung an den Arbeitgeber herauszugeben sind. Außerdem sollte bestätigt werden, dass die oder der Beschäftigte nach Auflösung des Arbeitsverhältnisses verpflichtet ist, dienstlich erlangte Daten an den Arbeitgeber herauszugeben.

25.10.2013