22
Dec
2015

Datenschutz und IT-Recht

Esche Datenschutz-Checkliste: "Bring your own device"

Dr. Frank Bongers

Immer mehr Arbeitnehmer nutzen private Smartphones oder andere private IT-Geräte für dienstliche Zwecke. Zum Teil geschieht dies mit Wissen oder sogar auf Wunsch des Arbeitgebers. Häufig übernehmen Mitarbeiter jedoch die Initiative, weil die Grenzen zwischen Arbeits- und Privatleben besonders durchlässig sind oder sie schlicht über die bessere Technik verfügen.

Was auf den ersten Blick nach einer für den Arbeitgeber vorteilhaften und kostengünstigen Unterstützung durch den Mitarbeiter aussieht, führt in der Praxis jedoch zu erheblichen Risiken für die Datensicherheit und Datenverfügbarkeit. Zu den Haftungsrisiken des Arbeitgebers tritt ein hohes Konfliktpotential im Verhältnis zu den Mitarbeitern hinzu.

Datenschutzrechtliche Standard-Situationen Schritt für Schritt meistern:  Dabei unterstützen die ESCHE-Datenschutz-Checklisten.

Arbeitgeber, die die Nutzung privater IT-Geräte für dienstliche Zwecke zulassen wollen, sollten die Punkte auf der folgenden Checkliste berücksichtigen.

1. Vorbereitung / Risikoanalyse / Entscheidung

  • Feststellung, ob und in welchem Maße Mitarbeiter private IT-Technik (Smartphones, Notebooks, PC , Tablet-PC, Telefone etc.) für dienstliche Zwecke nutzen bzw. nutzen sollen.
  • Vorbereitung einer Entscheidung über die Zulassung der dienstlichen Nutzung privater IT-Technik durch umfassende Risikoanalyse:
  • Welche Daten werden auf privaten Geräten gespeichert?
  • Wie wird die ggf. erwartete Verfügbarkeit und Funktionsfähigkeit des Gerätes gesichert, wenn kein dienstliches Gerät alternativ zur Verfügung steht?
  • Ist der Zugriff des Arbeitgebers auf die dienstlichen Daten gesichert?
  • Sind eine revisionssichere Aufbewahrung dienstlicher Dokumente und die  Einhaltung von Aufbewahrungsfristen gesichert?
  • Sind die Daten vor dem unberechtigten Zugriff Dritter gesichert?
  • Werden Datenübertragungen sowie die Eingabe von Daten und deren Veränderung und Löschung gesetzeskonform protokolliert?
  • Welche Risiken drohen bei Verlust des Gerätes?
  • Ist gewährleistet, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden?
  • Entsteht ein Anspruch des Mitarbeiters auf Aufwendungsersatz?
  • Kann bei Einbindung des privaten Gerätes in die IT des Unternehmens ein Zugriff des Arbeitgebers auf private Daten des Mitarbeiters verhindert oder ggf. legitimiert werden.
  • Besteht bei einem Zugriff des Arbeitgebers das Risiko, dass dieser bzw. seine Mitarbeiter sich strafbar machen (z. B. wegen Verstoßen gegen das Fernmeldegeheimnis oder wegen unbefugter Datenlöschung)
  • Führt die Nutzung des privaten Gerätes – z. B. über die von dem Mitarbeiter genutzten Provider- und Cloud-Dienste – zu einem rechtswidrigen Datentransfer in Länder ohne angemessenes Datenschutzniveau?
  • Lassen die Lizenzen des Unternehmens eine Nutzung der Software auf privaten Geräten zu?
  • Liegen ggf. Lizenzen für die dienstliche Nutzung privater Apps vor?
  • Liegt unter Umständen ausnahmsweise eine Auftragsdatenverarbeitung durch den Mitarbeiter vor, welche gesetzeskonform auszugestalten wäre?
  • Fällen einer Grundsatzentscheidung über die Zulassung der Nutzung privater IT-Geräte.
  • Erarbeitung eines Datensicherheitskonzepts, das die im Rahmen der Risikoanalyse erkannten Risiken ausschließt oder mindert.
  • Erarbeitung von Unternehmensrichtlinien und/oder individuell gestalteten Arbeitsanweisungen für die dienstliche Nutzung privater IT-Geräte
  • Beachtung von Mitbestimmungs- und Mitwirkungsrechten von Betriebs- und Personalräten; ggf. Vereinbarung von Regelungsabreden oder der Abschluss von Betriebs- oder Dienstvereinbarungen
  • Ggf. Einbeziehung des betrieblichen Datenschutzbeauftragten
  • Ggf. Abschluss einer Nutzungsvereinbarung mit dem Mitarbeiter, die insbesondere folgende Themen regelt:
  • Regelungen zur Verfügbarkeit des Gerätes, Wartung und Reparatur
  • Aufwendungsersatz
  • Verhaltensregeln zum Datenschutz und der Datensicherheit
  • Herausgabe- , Informations- und Löschungsansprüche des Arbeitgebers
  • Regelungen zur Vermeidung rechtswidriger Datentransfers in Länder ohne angemessenes Datenschutzniveau
  • Regelungen zur Trennung von privaten und dienstlichen Daten
  • Ggf. Einwilligung in die Erhebung, Verarbeitung und Nutzung privater personenbezogener Daten
  • Meldepflichten (z. B. bei Verlust des Gerätes)
  • Erstellung eines Notfallplans für Datenverluste (siehe dazu die ESCHE Datenschutz-Checkliste „Verhalten bei Hackerangriffen (oder sonstigen Datenpannen)“
  • Regelungen für den Umgang mit Daten und Dokumenten bei Beendigung des Beschäftigungsverhältnisses
  • Ggf. Regelungen zur Einhaltung des Arbeitszeitgesetzes
  • Haftungsfragen
  • Ggf. Vertragsstrafen


2. Umsetzung

  • Umsetzung des Datensicherheitskonzepts (z. B. Einrichtung von Spam-, Mal- und Virenschutz sowie Passwortschutz und Verschlüsselungssoftware auf privaten IT-Geräten; Trennung von privaten und dienstlichen Daten und Anwendungen)
  • Schulung der Mitarbeiter bzgl. datensicherheits- und datenschutzrelevanter Themen
  • Überwachung der Einhaltung der Richtlinien, Arbeitsanweisungen und etwaiger Betriebs- oder Dienstvereinbarungen
  • Abschluss von Nutzungsvereinbarungen mit den Mitarbeitern mit den oben genannten Inhalten
  • Aktualisierung von Richtlinien, Arbeitsanweisungen und etwaiger Betriebs- oder Dienstanweisungen bei Änderung der rechtlichen und technischen Rahmenbedingungen
  • Lizenzmanagement bzgl. dienstlicher und privater Software
  • Datensicherung, insbesondere bei Beendigung des Arbeitsverhältnisses


3. Fazit


Die Nutzung privater Geräte für dienstliche Zwecke sollte bewusst gestaltet oder untersagt werden. Anderenfalls sind die Datensicherheit sowie die Verfügbarkeit von dienstlichen Informationen nicht gewährleistet und es entsteht ein erhebliches Konfliktpotential im Arbeitsverhältnis.

 Siehe auch:

» zur Übersicht