Datenschutz und Smartphones im Beschäftigungsverhältnis

Datenschutz und Smartphones im Beschäftigungsverhältnis

Aus dem heutigen Leben sind Smartphones kaum noch wegzudenken. Wir haben sie immer dabei. So manche Person fühlt sich, als hätte sie etwas Wichtiges vergessen, wenn sie ihr Smartphone selbst mal eben beim Einkaufen nicht bei sich hat. Auch im Berufsleben sind sie inzwischen fast schon ein fester Bestandteil in einem Beschäftigungsverhältnis. Manchmal stellt der Arbeitgeber dann ein Smartphone. Dann wiederum ist es oftmals der Fall, dass Beschäftigte ihr privates Smartphone für berufliche Tätigkeiten nutzen. Lesen Sie also weiter, um mehr zum Datenschutz und Smartphones im Beschäftigungsverhältnis zu erfahren.

Die Fähigkeiten eines Smartphones

Ganz am Anfang dieses Jahrtausends staunte man beim Lesen von Zeitungsartikeln noch über solch ein sagenhaftes Telefon, was so viele Funktionen in einem kleinen Gerät kombiniert: Es ermöglicht das Fotografieren. Das Fotoalbum ist dadurch auch schon fast Geschichte – wir schauen uns inzwischen einfach mal die Bilder auf dem Smartphone an. Das Smartphone ersetzt unseren Terminkalender und erinnert uns sogar an diese. Ja, wir nutzen es sogar für den Versuch, eine neue Sprache zu lernen. Um das Smartphone für all dies und noch viel mehr zu nutzen, benötigen wir Apps. Nun erfüllen sie einerseits meist die Funktion, wofür wir sie laden, aber sie machen auch noch mehr (bzw. die App-Betreiber): Sie setzen Cookies und nutzen das Device Fingerprinting, tracken uns u. a. mit diesen und wissen, mit wen wir in Kontakt stehen u. s. w.

Datenschutz und Smartphones im Beschäftigungsverhältnis

Zuallererst ist hierbei zu beachten, dass der Arbeitgeber als Verantwortlicher auch für die Verarbeitung von personenbezogenen Daten auf dem Smartphone verantwortlich ist. Dies ist zumindest der Fall, wenn es sich um die berufliche Nutzung des Smartphones handelt. Folglich bedeutet es auch hier, dass ein Verantwortlicher seine Pflichten gemäß Artt. 24 Abs. 1 i. V. m. 32 Abs. 1 DSGVO einhalten muss. Kurz: Der Verantwortliche muss also dem jeweiligen Risiko angemessene technische und organisatorische Maßnahmen implementieren. Welche können diese also beispielsweise sein?

Maßnahmen zum Datenschutz und zur -sicherheit bei Smartphones im Beschäftigungsverhältnis

Welche Maßnahmen ein Verantwortlicher zum Schutz und zur Sicherheit personenbezogener Daten bei Nutzung von Smartphones im Beschäftigungsverhältnis letztendlich implementiert, ist gleich.  Generell empfehlen wir, Beschäftigten ein Smartphone zur Verfügung zu stellen, was sie ausschließlich für ihre Arbeit für den Verantwortlichen nutzen. Das private Smartphone sollte demnach idealerweise auch ausschließlich für den privaten Gebrauch sein. Ist dies doch nicht möglich, empfehlen wir den Einsatz von Container-Lösungen (mehr dazu hier). Natürlich gilt auch hier, das Smartphone mithilfe einer PIN (Zahl, Verbindung von Feldern o. Ä.) zu schützen. Smartphone-Hersteller bieten auch die biometrische Authentifizierung an.

Schutz mithilfe biometrischer Daten

Allerdings sind bei der biometrischen Authentifizierung die möglichen Folgen der Verarbeitung biometrischer Daten als besonders sensible Daten gemäß Art. 9 Abs. 1 DSGVO zu beachten. Die Einrichtung, die das Smartphone zur Verfügung stellt, ist dann auch für diesen Verarbeitungsprozess verantwortlich. Demnach wäre hierfür eine Rechtsgrundlage zu finden. Auch die Durchführung einer Datenschutz-Folgenabschätzung könnte vonnöten sein. Natürlich hat ein Verantwortlicher auch die Möglichkeit, die Authentifizierung auf dem Smartphone mithilfe biometrischer Daten zu untersagen. In solch einem Fall empfehlen wir, dies in einer entsprechenden Richtlinie festzuhalten. Die Beschäftigten sind darüber zu informieren.

Technische Maßnahmen

Welche technischen Maßnahmen ein Verantwortlicher ergreift, bleibt dem Verantwortlichen überlassen. Wir empfehlen, auch auf einem Smartphone einen Virenschutz einzurichten. Auch der Einsatz eines VPN ist in Betracht zu ziehen. Je nachdem, welche Bearbeitungen den Beschäftigten auf dem Smartphone erlaubt sind, wäre auch zu überlegen, ob ein Backup eventueller Dokumente, versandter und empfangender E-Mails etc. sinnvoll wäre.

Technische Maßnahmen sind nicht die einzigen Maßnahmen, die bei Bedarf zu implementieren sind. Genauso wirksam kann es sein, wenn ein Verantwortlicher organisatorische Maßnahmen ergreift. Auch hier muss ein Verantwortlicher für seine Einrichtung einschätzen, welche Maßnahmen er als geeignet ansieht. Des Weiteren finden Interessenten auch auf den Seiten der Datenschutzaufsichtsbehörden Hinweise zu eventuellen Maßnahmen: Der Sächsische Datenschutzbeauftragte ging in seinem 6. Tätigkeitsbericht für den nicht-öffentlichen Bereich unter Punkt 13.2.1 auf dieses Thema ein (Link). Die Berliner Beauftragte für Datenschutz und Informationsfreiheit veröffentlichte im Frühjahr 2020 eine Orientierungshilfe zur Heimarbeit; in dieser sind hilfreiche Hinweise zu finden (Link).

Übermittlung personenbezogener Daten

In Abhängigkeit davon, welches Betriebssystem und welche Apps auf einem Smartphone installiert sind, kommt es auch zur Übermittlung personenbezogener Daten an externe Unternehmen. Dass es sich bei diesen externen Organisationen um Unternehmen in unsicheren Drittländern (siehe das Urteil vom EuGH vom 16.07.2020 in der Rechtssache C‑311/18 sowie unseren Beitrag hier) handelt, ist wohl aktuell bei den meisten Geräten und Apps nicht auszuschließen. Somit muss der Arbeitgeber auch dies beachten und die entsprechende Dokumentation dazu anfertigen. Des Weiteren sollte er auch die Problematik eines eventuellen Widerspruches oder eines Einwilligungswiderrufes eines Beschäftigten oder einer externen Kontaktperson (z. B. Geschäftspartner, Lieferant etc.) und die Folgen davon betrachten.

Fazit

Der Einsatz eines Smartphones im Beschäftigungsverhältnis verlangt aus datenschutzrechtlicher Sicht eine umfassende Betrachtung der Thematik. Verschiedene Fragen sind dabei zu beantworten, u. a. folgende:

1)     Welches Betriebssystem wird eingesetzt? Sind private Smartphones für den Einsatz im Beschäftigungsverhältnis erlaubt?

2)    Auf welcher Rechtsgrundlage kann eine Einrichtung die Verarbeitungsprozesse im Zuge des Smartphone-Einsatzes stützen?

3)    Inwiefern kann ein Verantwortlicher die etwaige Übermittlung von personenbezogenen Daten in ein unsicheres Drittland begründen oder sogar unterbinden?

4)    Sind eventuelle datenschutzrechtliche Verträge abzuschließen (Auftragsverarbeitungsvertrag, Vertrag zur gemeinsamen Verantwortlichkeit)?

5)    Welche Maßnahmen muss ein Arbeitgeber zum Datenschutz und zur -sicherheit ergreifen?

6)    Bezüglich welcher Verarbeitungstätigkeiten sind Datenschutz-Folgenabschätzungen durchzuführen?

Diese kurze Liste an Fragen, die zu beantworten wäre, ist nicht abschließend.

Bei der Bearbeitung dieser Thematik können wir Sie unterstützen. Kontaktieren Sie uns gern noch heute für ein unverbindliches Angebot.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.