Hinweis: Mit Aktivierung des Videos wird YouTube im erweiterten Datenschutzmodus abgespielt. Mit der Aktivierung stimmen Sie den Datenschutzbestimmungen von YouTube und den Datenschutzbestimmungen der Mammut Aktenvernichtung zu.
Unternehmensdaten auf privaten Geräten:
Darf man Smartphone oder Laptop dienstlich nutzen?
Die Nutzung privater Geräte wie Smartphones und Laptops für berufliche Aufgaben – häufig als „Bring Your Own Device“ (BYOD) bekannt – ist ein heikles Thema im Datenschutzrecht.
Arbeitgeber tragen die volle Verantwortung dafür, um personenbezogene Daten ihrer Kunden und Mitarbeiter zu schützen. Wird ein privates Gerät für dienstliche Zwecke genutzt, so gelten dennoch die Datenschutzvorschriften des Bundesdatenschutzgesetzes (BDSG) und der DSGVO, die den sicheren Umgang mit personenbezogenen Daten gewährleisten sollen.
Dies bringt einige Herausforderungen und Pflichten mit sich, sowohl für die IT-Sicherheit als auch für die Vermeidung von Risiken für sensible Daten. Wir erklären, wann und unter welchen Bedingungen die Nutzung privater Geräte für geschäftliche Zwecke zulässig ist und welche Maßnahmen Arbeitgeber ergreifen müssen, um den Datenschutz zu gewährleisten.
Transkript des Videos:
Ein Mammut-Kunde fragt, unter welchen Umständen er sein privates Smartphone oder seinen privaten Laptop für dienstliche Aufgaben nutzen darf, wenn dabei personenbezogene Daten auf sein Gerät übertragen werden.
Mein Name ist Christian Schröder. Ich bin Berater für Datenschutz und Informationssicherheit aus der Nähe von München …
Eine sehr interessante Frage, die gar nicht so einfach zu beantworten ist.
Tatsächlich ist es weniger ihr Problem als Angestellter als für den Verantwortlichen (also den Arbeitgeber), denn für die Einhaltung des Datenschutzes muss der Verantwortliche sorgen … er ist verantwortlich.
Heisst, er muss sich darum kümmern, was mit den personenbezogenen Daten, für die er verantwortlich ist, passiert – also auch wohin sie übertragen werden und letztendlich, ob sie dorthin dann auch sicher (genug) übertragen werden. Falls dem nicht so ist, dürfte er sie gar nicht „dorthin“ lassen.
Wenn man das weiterdenkt, sollte man auch berücksichtigen, was nach der Übertragung geschieht – im Sinne von: werden die Daten nur auf dem Bildschirm angezeigt, oder auch lokal auf dem Gerät gespeichert. Denn auch dort, wo sie dann sind, müssen sie sicher verarbeitet werden.
Das bedeutet u.a., dass der Zugriff von Unberechtigten, also Leuten, die die Daten nichts angehen, verhindert werden muss – aber meistens ist es doch so, dass die Sicherheit auf privaten Geräten eines Angestellten gar nicht kontrolliert werden kann. Denn dazu müsste schon eine Zugriffsmöglichkeit auf das Gerät bestehen, und daran scheitert es in der Praxis.
Welcher Angestellte möchte sein Gerät schon regelmäßig bei der IT vorlegen, damit die sich das mal ansehen. Selbst wenn dem so wäre, würde sich die IT vermutlich nicht um die nötigen Updates kümmern, fragwürdige Apps mit Freigaben oder Zugriffsmöglichkeiten auf Dateien deinstallieren usw.
Um es an der Stelle nochmal klar und deutlich zu machen: Der Verantwortliche muss wissen, was mit den personenbezogenen Daten, die er überträgt, passiert. Das beinhaltet auch den Zugriff von Apps. Es ist NICHT die Aufgabe des Angestellten, das im Blick zu haben.
Lange Rede kurzer Sinn: Eigentlich will man doch weder als Angestellter, Kopien von personenbezogenen Daten seines Arbeitgebers auf dem eigenen Gerät haben, noch möchte man als Unternehmen die Daten, für die man verantwortlich ist, auf die im Zweifel unsicheren Geräte der Mitarbeiter übertragen. Wie schon angedeutet: Das bringt nur Aufwand mit sich.
Prinzipiell geht das zwar, ist aber an einige Voraussetzungen geknüpft – besonders was die Sicherheit angeht – und bedeutet, wie gesagt, Aufwand für alle.
Daher meine Empfehlung für beide Seiten: machen Sie sich das Leben nicht schwer. Lassen Sie geschäftliche Daten nur auf geschäftlichen Geräten, die sich auch im Zugriffsbereich des Unternehmens befinden. Damit ist die Sache für alle klar.
Wenn das nicht geht, muss man technische und organisatorische Maßnahmen drumherum bauen – das wird in der Regel kompliziert und kostet mehr Aufwand als ein Dienstgerät. Aber wenn es unbedingt sein muss, untersuchen Sie als Verantwortlicher genau, was mit den Daten passiert.
Ihr Team Datenschutz
Unsere Datenschutzexperten beantworten Ihre Fragen und bieten Ihnen bei Bedarf umfassende Unterstützung rund um den Schutz Ihrer Daten. Mit langjähriger Erfahrung, klarem Blick auf aktuelle Entwicklungen und fundiertem Fachwissen entwickeln sie maßgeschneiderte Lösungen, die genau auf Ihre Bedürfnisse zugeschnitten sind.
Thomas Rosin
Bad Schwartau
Berater für Datenschutz und Informationssicherheit
Melodie Lange
Ingolstadt
Beraterin für Datenschutz und Informationssicherheit
Christian Schröder
Oberhausen b. München
Berater für Datenschutz und Informationssicherheit
Aaron Nourbakhsh
Hannover
Berater für Datenschutz und Informationssicherheit