Private IT-Geräte als Datenschutzschwachstelle

Die Nutzung privater Geräte (z. B. Smartphones, Tablets, Laptops etc.) für dienstliche Zwecke – auch bekannt unter dem Stichwort BYOD („Bring Your Own Device“) – kann unterschiedliche Gründe haben. Gleichzeitig sehen nicht wenige Verantwortliche zu Recht private IT-Geräte als Datenschutzschwachstelle an – zumindest im Kontext der Erledigung dienstlicher Aufgaben. Weshalb dies so ist und was ein Verantwortlicher dagegen machen kann, erläutern wir in diesem Beitrag.

Potentieller Eingriff in die Privatsphäre

Einen Verantwortlichen treffen Pflichten gemäß Artt. 5 Abs. 1 lit. f), 24 Abs. 1, 25 Abs. 1 und 32 Abs. 1 DSGVO, dass er für den Schutz für die Rechte und Freiheiten von betroffenen Personen, die von einer Verarbeitung ihrer Daten betroffen sind, sorgen muss. Erreichbar ist dies durch die Implementation angemessener technischer und organisatorischer Maßnahmen (kurz: „toM“ oder „TOM“). Erlaubt er die Nutzung von privaten Geräten für dienstliche Zwecke, umfasste dies auch die privaten Geräte der Beschäftigten.

Da der Arbeitgeber u. a. handel- und steuerrechtlichen Aufbewahrungspflichten unterliegt, die beispielsweise Handelsbriefe – auch in Form von E-Mails – betreffen (§ 257 HGB, § 35a GmbHG) und er andererseits auch dafür sorgen muss, dass dei Verfügbarkeit und Vertraulichkeit der in seinem Verantwortungsbereich verarbeiteten Daten gewahrt bleibt, ergeben sich Probleme, diesen Pflichten nachzukommen, wenn zumindest ein Teil der Daten und Kommunikation auf ggf. nicht ausreichend gesicherten privaten Geräten erfolgt. Den Arbeitgeber treffen als auch zu erfüllende Überwachungs- und Kontrollpflichten.

Mögliche Maßnahmen

Um seinen Pflichten als Verantwortlicher nachzukommen, könnte der Arbeitgeber dann schließlich u. a. folgende Maßnahmen umsetzen:

1) Container-Management-App zur Trennung von privaten und dienstlichen Daten.

2) Einsatz eines Schutzes vor Viren, Schad-Software etc.

3) Überprüfung des Gerätes bei technischen Problemen.

4) Ende-zu-Ende-Verschlüsselung der dienstlichen Daten.

5) Vereinbarung über Art und Umfang der Nutzung privater Geräte für dienstliche Zwecke.

6) Verhinderung der Speicherung dienstlicher Informationen in privater Cloud des Beschäftigten.

7) Regelung zur Datenrückgabe oder -löschung bei Ausscheiden des Beschäftigten.

Natürlich gibt es weitaus mehr Maßnahmen, die ein Verantwortlicher je nach Art der Geräte, Einsatzzwecke und betrieblichen Besonderheiten gemäß der DSGVO ergreifen sollte, um seine Pflichten zu erfüllen. Alle dieser Maßnahmen erfordern jedoch einen gewissen Grad an Eingreifen insofern, dass der Arbeitgeber den Beschäftigten zumindest anweisen wird, gewisse Apps o. Ä. auf dem privaten Gerät zu installieren, um einen Datenschutzvorfall möglichst zu vermeiden und die Gefahr eines privaten Gerätes als Schwachstelle zu verringern.

Mögliche Risiken

Ist sich ein Arbeitgeber darüber bewusst und duldet zumindest den Einsatz privater Geräte für dienstliche Zwecke, ohne aber weitere Maßnahmen zu ergreifen, gehen damit gewisse Risiken einher. Aus Sicht des Datenschutzes lassen sich die einzelnen Risiken in einem zusammenfassen, nämlich dem eines Datenschutzvorfalles. Die Art des Datenschutzvorfalles kann jedoch vielfältig sein. Die Hessische Beauftragte für Datenschutz und Informationsfreiheit berichtet im 2023-Tätigkeitsbericht (Seite 247, Punkt 14.8) von einem Fall, in welchem die Nutzung eines privaten Gerätes zu einem Datenschutzvorfall führte: In diesem Fall lud ein Beschäftigter eine für ihn nützliche App auf sein privates Smartphone, um dienstliche E-Mails mit dem privaten Gerät abrufen zu können. Von ihm unbemerkt blieb jedoch das Abfangen der Zugangsdaten zu diesem E-Mail-Konto durch unbefugte Dritte. Diese nutzten das E-Mail-Konto des Beschäftigten dann für den Versand von Phishing- und Spam-Nachrichten.

Lösungsansätze

Wer den eben genannten Tätigkeitsbericht liest, stellt fest, dass es nicht unmöglich ist, Beschäftigten den Einsatz privater Geräte für dienstliche Zwecke zu erlauben. Als geeignete Maßnahmen schlägt der hessische Landesdatenschutzbeauftragte die Implementation folgender, u. a. auch schon oben genannter, Maßnahmen vor:

1) Richtlinien und klare Regeln zur Nutzung privater Geräte für dienstliche Zwecke.

2) Einsatz von Mobile-Device-Management (MDM)- oder Enterprise Mobility Management (EMM)-Lösungen.

3) Liste zugelassener Anwendungen („White List“).

4) Container-Apps (mehr dazu auch hier).

Generell ist es allerdings empfehlenswert, dass ein Arbeitgeber vor einem möglichen Einsatz privater Geräte für dienstliche Zwecke auch betrachtet, welche Art von personenbezogenen Daten dabei möglicherweise verarbeitet werden. Dabei empfiehlt es sich, abzuwägen und zu prüfen, ob der Einsatz privater Geräte für dienstliche Zwecke den Mehraufwand und die Risiken im Vergleich zu den Kosten für die Bereitstellung dienstlicher Geräte wert ist. Kommt es beispielsweise regelmäßig zu einer Verarbeitung personenbezogener Daten besonderer Kategorien, bietet es sich eventuell an, solche Verarbeitungstätigkeiten auf ein dienstliches Gerät zu beschränken und dies entsprechend in den Richtlinien festzuhalten.

Ansonsten ist es natürlich auch möglich, anhand von Richtlinien die Nutzung privater Geräte im dienstlichen Aufgabenfeld zu untersagen.

Fazit

Es ist nicht unmöglich, dass Beschäftigte private Geräte für die Erledigung dienstlicher Aufgaben datenschutzkonform nutzen können. Wichtig ist aber, dass der Arbeitgeber als Verantwortlicher dann zusätzliche Maßnahmen ergreift, um die Sicherheit und den Schutz dieser Daten zu gewährleisten.

Gern unterstützen und beraten wir Sie dabei. Kontaktieren Sie uns gern heute für ein kostenfreies Erstgespräch und ein unverbindliches Angebot.