Recht + Steuern iPhone – Fluch oder Segen für die Firmen?

Häufig nutzen Angestellte ihr eigenes iPhone, um geschäftliche Dinge zu erledigen. So praktisch es für die Mitarbeiter ist, nur noch einen Alleskönner in der Tasche zu haben, so viele Risiken ergeben sich daraus für Unternehmen. Rechtsanwältin Silvia Bauer von der Kanzlei Luther warnt vor Tücken im Datenschutzrecht.

Der Volkswagen-Konzern hat es vorgemacht: Am Wochenende und in den Abendstunden werden an tarifliche Mitarbeiter keine E-Mails mehr auf die Firmen-Handys weitergeleitet. Ziel der Maßnahme ist es, den aus der Dauer-Erreichbarkeit heraus resultierenden Druck von den Mitarbeitern zu nehmen und so einen wichtigen Krankheitsfaktor zu entschärfen. Aus Unternehmens- und aus Mitarbeitersicht ist das sicherlich eine wichtige und gute Maßnahme.

Fraglich ist allerdings, ob Volkswagen damit tatsächlich im Trend liegt: Denn immer mehr Mitarbeiter wünschen sich gerade die ständige Erreichbarkeit, um ihre Arbeitszeit flexibel einzuteilen und die Arbeit auch vom Home-Office aus erledigen zu können. Zudem ist das Firmen-Handy längst nicht mehr en vogue, da ein privates iPad oder iPhone oftmals bessere Funktionalitäten bietet, um das Tagesgeschäft zu erleichtern. IT-Abteilungen werden daher heutzutage vielmehr mit der Frage konfrontiert, unter welchen Voraussetzungen Mitarbeiter ihre privaten Geräte nutzen dürfen, um geschäftliche Dinge zu erledigen, und ob sie mit ihren Geräten auf geschäftliche Daten zugreifen dürfen.

Anzeige

So praktisch es für Mitarbeiter ist, nur noch einen Alleskönner in der Tasche zu haben, so viele Risiken ergeben sich daraus für Unternehmen: Insbesondere im Bereich des Datenschutzrechts verbergen sich Fallstricke. Die Nutzung eines privaten IT-Geräts für Unternehmenszwecke setzt voraus, dass dieses mit dem Firmennetzwerk gekoppelt wird und unternehmenseigene Daten auf dem Gerät zum Abruf zur Verfügung stehen. Naturgemäß steigt damit das Risiko unkontrollierbarer Zugriffe oder auch gezielter Angriffe Dritter, die etwaige Schwachstellen der Geräte ausnutzen.

Unternehmen sind indes dafür verantwortlich, dass ihre IT-Systeme vor genau solchen Zugriffen geschützt werden. Unterlassen sie entsprechende Schutzmaßnahmen kann das – unabhängig von den erheblichen wirtschaftlichen Schäden durch den Zusammenbruch der IT-Infrastruktur, Datenverlust oder Wirtschaftsspionage – als Verstoß gegen die Regelungen des Bundesdatenschutzgesetzes (BDSG) gewertet werden, der als Ordnungswidrigkeit geahndet wird: § 9 BDSG sieht vor, dass jeder verantwortliche Datenverarbeiter angemessene technische und organisatorische Maßnahmen zu ergreifen hat.

Unternehmen müssen daher umfassende technische Kontroll- und Steuerungsmechanismen vorsehen, bevor sie den Einsatz von privaten Geräten gestatten. Möglich ist es etwa, die Einstellungen der Geräte durch spezielle Konfigurationen zu steuern oder auch eine Software auf dem Gerät zu installieren, die es der IT-Abteilung ermöglicht, zentral auf das Gerät zuzugreifen und so bestimmte Schutzmaßnahmen zu aktivieren (wie Anti-Malware), die Archivierung von Unternehmensdaten sicherzustellen oder auch im Falle des Verlustes des Gerätes zentral die Daten zu löschen.

Technisch sicherzustellen ist auch, dass die Daten verschlüsselt zwischen Firmennetzwerk und IT-Gerät transportiert werden und der Zugriff auf das Gerät nur den tatsächlich Berechtigten mittels sichererer Passwörter oder Codes und umfassender Berechtigungssysteme möglich ist.

Ein privates IT-Gerät wird naturgemäß nicht nur für dienstliche Zwecke genutzt, sondern auch für die private Korrespondenz. Was aber, wenn sich dienstliche und private Informationen mischen? Und wenn dann das Gerät, auf dem auch Unternehmensdaten gespeichert sind, gestohlen wird? In solchen Fällen ist neben den technisch-organisatorischen Maßnahmen der Schutz des Telekommunikationsgeheimnisses von hoher datenschutzrechtlicher Brisanz: Bekanntermaßen dürfen Unternehmen nicht auf die private Korrespondenz ihrer Mitarbeiter zugreifen, da sie sich damit strafbar machen könnten.

Was in den Richtlinien nicht fehlen darf

Es muss also im Voraus sichergestellt werden, dass ein Unternehmen im Notfall eine gesonderte Erlaubnis vom Mitarbeiter einholt, um auf dessen private Korrespondenz zuzugreifen oder diese bei Verlust des IT-Gerätes löschen zu dürfen. Die Mitarbeiter, die ihr eigenes IT-Gerät nutzen wollen, werden freiwillig einwilligen. Alternativ können Unternehmen eine Trennung zwischen privater und dienstlicher Korrespondenz vorsehen. Technisch ist das etwa durch das so genannte Sandboxing möglich, das heißt bestimmte Anwendungen oder Daten werden abgeschirmt vom Rest des Systems in einem geschlossenen Bereich des Geräts gespeichert.

Um im Unternehmen für Klarheit bei der Nutzung von privaten IT-Geräten zu sorgen, sollten Unternehmen in jedem Fall Richtlinien vorgeben, zu deren Einhaltung die Mitarbeiter verpflichtet werden. Dabei darf die Verpflichtung zur Meldung des Verlustes des Gerätes, zum sorgfältigen Umgang mit dem Gerät, zur Benutzung von sicheren Passwörtern, zum regelmäßigen Update (sofern diese nicht zentral gesteuert werden) oder auch zum Verbot des Zugriffs der Familienmitglieder auf unternehmenseigene Daten nicht fehlen.

Es kann sich außerdem der Abschluss einer Betriebsvereinbarung empfehlen, die den Umgang des Unternehmens mit IT-Geräten regelt. Hier spielt insbesondere der Faktor „Kontrolle“ eine Rolle, da nicht auszuschließen ist, dass im Rahmen der Zugriffe auch Leistungs- und Verhaltenskontrollen durch das Unternehmen stattfinden. Hier schließt sich im Übrigen der Kreis: Um Mitarbeiter vor sich selbst zu schützen, können im Rahmen einer Betriebsvereinbarung selbstverständlich – wie von Volkswagen vorgemacht – spezielle Regelungen festgehalten werden, die eine Dauer-Erreichbarkeit und damit eine permanente Rufbereitschaft der Mitarbeiter ausschließen.

Autorin: Silvia Bauer, Rechtsanwältin bei der Luther Rechtsanwaltsgesellschaft, berät Unternehmen im Datenschutzrecht sowie im Umgang mit Technologie und Telekommunikation.

Hinterlassen Sie einen Kommentar

(Kommentare werden von der Redaktion montags bis freitags von 10 bis 18 Uhr freigeschaltet)

Bitte beantworten Sie die Sicherheitsabfrage (Anti-Spam-Schutz): *Captcha loading...