Viele Unternehmen erlauben ihren Beschäftigten private Endgeräte zur Erbringung ihrer Arbeitsleistung einzusetzen (Bring your own Device – BYOD). Häufig erfolgt dabei einer Verarbeitung personenbezogener Daten. Unter rechtlichen Gesichtspunkten wurde dieser Bereich bislang wenig beleuchtet. Dabei wirft dieser gerade aus datenschutzrechtlicher Sicht viele Fragen auf.
Risiken
Für Unternehmen, die BYOD akzeptieren, kann aus der Verwendung privater Endgeräte ein Sicherheitsrisiko resultieren. Es ist nicht bzw. nur unter erheblichem Mehraufwand kontrollierbar, ob und in welcher Form Firmendaten (Geschäftsgeheimnisse, Mitarbeiter- oder Kundendaten) auf diesen Geräten verarbeitet werden.
Ein weiterer Aspekt ist, dass durch BYOD eine Vereinheitlichung von IT-Infrastrukturen erschwert oder entgegengewirkt wird, beispielsweise wenn als Smartphone-Betriebssysteme iOS und Android zugelassen sind. Hiermit einher geht ein erheblicher Betriebs- und Organisationsaufwand für die EDV-Abteilung des Unternehmens.
Neben den skizzierten datenschutzrechtlichen und sicherheitstechnischen Risiken können bei der Nutzung privater Endgeräte zu Unternehmenszwecken lizenz-, steuer- und arbeitsrechtliche Aspekte zu beachten sein.
Verarbeitung von Patientendaten auf privaten Geräten
Bislang gibt es kaum Rechtsprechung oder Aussagen von Aufsichtsbehörden zu BYOD. Der Bayerische Landesbeauftragte für den Datenschutz hat in seinem 25. Tätigkeitsbericht zum Einsatz privater Geräte in Krankenhäusern Stellung genommen. Da in diesem Bereichen immer die Möglichkeit besteht, dass auf den privaten Geräten Patientendaten verarbeitet werden, erachtet er BYOD grundsätzlich für unzulässig.
Als größten Kritikpunkt führt er an, dass bei privaten Geräten nicht hinreichend sichergestellt werden kann, dass Unbefugte keine Einsicht in die Daten des Klinikums nehmen können bzw. die Patientendaten im Gewahrsam des Krankenhauses bleiben.
Die Einrichtung verliert die ausschließliche Verfügungs-, Einfluss- und Kontrollmöglichkeit, selbst wenn die Patientendaten auf den privaten Geräten nur einsehbar wären und keine Speicherung der Daten möglich ist. Der Inhaber des Geräts kann sein Endgerät an Dritte verleihen oder auf diesem Software und damit auch Schadprogramme installieren.
Zudem stellt sich die Frage, ob und in welchem Umfang aus Datenschutzsicht erforderliche Einschränkungen der privaten Nutzung durch eine vom Arbeitgeber eingeforderte Einwilligung des Mitarbeiters (z.B. zur Löschung sämtlicher, auch privater Daten bei mehrmaliger Falscheingabe einer PIN oder bei Verlust des Gerätes) rechtswirksam vereinbart bzw. durchgesetzt werden könnten.
Stellungnahme
Die Überlegungen des Bayerischen Landesbeauftragten für den Datenschutz sind zutreffend und können auf sämtliche Bereiche, in denen Berufsgeheimnisträger im Sinne des § 203 StGB tätig sind, übertragen werden. Aber auch in sonstigen Bereichen ist genau zu überlegen, inwieweit geheimhaltungswürdige Unternehmensinformationen durch BYOD gefährdet sind.
In jedem Fall sollte durch eine Betriebsvereinbarung oder Richtlinie festgelegt werden, wie die Nutzung erfolgen und welche Maßnahme der Arbeitgeber (aufgrund einer entsprechenden Erklärung des Arbeitnehmers) ergreifen darf, um die Einhaltung der Vorgaben zu kontrollieren bzw. bei Verlust des privaten Gerätes erforderliche Maßnahmen zum Schutz der betroffenen Personen und der Daten treffen zu können.