BYOD und DSGVO
Private Handys und Computer in der Firma – so sorgen Sie für Datenschutz

„Bring your own Device“, so nennt man es, wenn Mitarbeiter ihr privates Handy oder Notebook im Job nutzen. Praktisch, aber für den Datenschutz problematisch. Wie lässt sich BYOD mit der DSGVO vereinbaren?

, von

Bei "Bring your own Device" (BYOD) können Mitarbeiter ihren eigenen Laptop im Job nutzen. Das kann jedoch riskant für Unternehmen sein, wenn sie die Datenschutz-Grundverordnung (DSGVO)  nicht beachten.
Bei "Bring your own Device" (BYOD) können Mitarbeiter ihren eigenen Laptop im Job nutzen. Das kann jedoch riskant für Unternehmen sein, wenn sie die Datenschutz-Grundverordnung (DSGVO) nicht beachten.

Dass Mitarbeiter berufliche Aufgaben über ihr privates Handy oder den eigenen Laptop erledigen, ist in vielen Firmen üblich. „Bring Your Own Device“ (BYOD) heißt der Trend, der Vorteile für Arbeitnehmer und Arbeitgeber hat – aber auch Risiken birgt: vor allem in Sachen Datenschutz.

Was gilt in Sachen Datenschutz bei BYOD?

„Es ist Chefsache, die Daten zu schützen, mit denen die Firma arbeitet“, sagt der auf Datenschutz spezialisierte Rechtsanwalt Thomas Jansen. Insbesondere dann, wenn es sich um personenbezogene Daten wie Kunden- oder Mitarbeiterkontakte handele. „Diese Verantwortung hat der Unternehmer auch, wenn die Mitarbeiter für die Arbeit eigene Geräte nutzen.“ Früher war dieser Schutz durch das Bundesdatenschutzgesetz (BDSG) geregelt; seit Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO).

„Für Unternehmen, die BYOD erlauben, hat sich aber nicht viel verändert“, sagt Jansen. Der größte Unterschied zwischen alter und neuer Rechtslage sei die Höhe des Bußgeldes: Bis zu 20 Millionen Euro oder bis zu vier Prozent des Jahresumsatzes könnten nach der DSGVO anfallen. Strafen würden außerdem nicht mehr erst dann verhängt, wenn tatsächlich eine Datenpanne vorliege, „sondern schon dann, wenn ein Unternehmen keine Maßnahmen zum Datenschutz oder zur Datensicherheit nachweisen kann“, sagt Jansen. „Wer seinen Mitarbeitern also BYOD erlaubt, muss geeignete technische und organisatorische Vorkehrungen treffen.“

Wie können Unternehmer Daten schützen, wenn Mitarbeiter eigene Geräte im Job nutzen?

Wenn Mitarbeiter auf Daten des Firmenservers zugreifen wollen, müssen Unternehmen einen Virtual-Private-Network-Zugang (VPN) anbieten. „Daten sollten immer auf dem Firmenserver bleiben“, sagt Jansen. Deswegen sollte die VPN-Verbindung so eingerichtet sein, dass Mitarbeiter die Daten zwar einsehen und bearbeiten, aber nicht auf dem eigenen Gerät speichern können.  Der Zugriff auf den Firmenserver ist also nur temporär möglich: Sobald die VPN-Verbindung unterbrochen ist, sind auch die Daten weg – zumindest auf dem privaten Gerät.

Achtung bei Whatsapp: „Whatsapp ist nach wie vor nicht DSGVO-konform, deswegen ist die berufliche Nutzung und Installation der App verboten“, sagt Jansen. Selbst wenn Mitarbeiter die App ausschließlich privat nutzen, dürfen sie keine Kundendaten auf dem Handy speichern. Denn der Messenger greift automatisch auf alle Kontakte zu, die im Adressbuch gespeichert sind – und das verstößt gegen den Datenschutz. Mehr Informationen finden Sie in dem Artikel DSGVO und Whatsapp: Wie gefährlich ist Whatsapp auf dem Firmenhandy?

Ist Whatsapp auf dem Smartphone installiert und wird es beruflich genutzt, lässt sich der Datenschutz nur über eine sogenannte Container-Lösung gewährleisten. Diese sorgt dafür, dass die App nicht mehr auf Daten außerhalb dieses Bereichs zugreifen kann. Die Alternative: der Umstieg auf DSGVO-konforme Messenger-Dienste – oder BYOD ganz unterbinden: „Unter Datenschutzaspekten ist immer die Nutzung von zwei Handys zu empfehlen – ein privates und ein Diensthandy“, sagt Jansen.

Was ist zu beachten, wenn Mitarbeiter ihr eigenes Gerät nutzen?

Wer seinen Mitarbeitern BYOD erlaubt, brauche entsprechende Richtlinien, so Jansen. „So stellt der Arbeitgeber klar, was der Mitarbeiter darf – und vor allem: was nicht.“ Es gelte zum Beispiel zu klären, welche Sicherheitsprogramme auf dem privaten Laptop oder Handy installiert sein müssen. Um den Datenschutz zu gewährleisten, sollten Arbeitgeber und Mitarbeiter sich auf folgende Punkte verständigen:

Zur Person
Dr. Thomas Jansen ist Spezialist für Datenschutzrecht bei der Anwaltskanzlei Heuking Kühn Lüer Wojtek.
  • Mitarbeiter müssen Verschlüsselung, einen Passwortschutz und einen Virenscanner auf den Privatgeräten installieren.
  • Mitarbeiter dürfen berufliche E-Mails nicht an ihr Privatkonto weiterleiten.
  • Mitarbeiter dürfen keine Daten aus dem Firmennetzwerk herunterladen und speichern.
  • Mitarbeiter dürfen ihre Geräte nur nutzen, wenn sichergestellt ist, dass niemand mitliest. „Das heißt, nicht im Biergarten oder im Flugzeug arbeiten, wenn Unbefugte einem über die Schulter schauen können“, sagt Jansen. Diese Regel gelte allerdings auch, wenn man den Firmenlaptop benutze. „Es braucht rechtlich gesehen einen Blickschutzfilter, sobald man in der Öffentlichkeit an Geräten arbeitet.“

Welche weiteren Punkte zu regeln sind, ist individuell vom Unternehmen zu prüfen und hängt meist von der Branche ab. Der Mitarbeiter muss den Richtlinien schriftlich zustimmen und sich zur Einhaltung verpflichten. In Unternehmen mit Betriebsrat braucht es eine Betriebsvereinbarung, in der BYOD geregelt ist.

Wer haftet, wenn durch BYOD Kundendaten abhanden kommen?

Kommen personenbezogene Daten abhanden, weil ein Gerät verloren geht oder gestohlen wird, haftet gemäß Art. 82 DSGVO zunächst einmal das Unternehmen (der Verantwortliche und/oder der Auftragsverarbeiter) gegenüber dem Geschädigten. „Das ist immer das Risiko für Unternehmen, die BYOD erlauben“, sagt Jansen. Deswegen sei es so wichtig, den Mitarbeitern klare Richtlinien an die Hand zu geben. Nach den Grundsätzen der Arbeitnehmerhaftung haften Arbeitnehmer nur dann vollumfänglich, wenn:

  • sie vorsätzlich handeln. Zum Beispiel, wenn sie Kundendaten an Dritte verkaufen.
  • sie grob fahrlässig handeln. Zum Beispiel, wenn sie vom Arbeitgeber vorgeschriebene Sicherheitssoftware nicht installieren, ohne Virenschutz arbeiten, sodass ein Virus ins Firmennetzwerk gelangt, oder Daten unverschlüsselt und ohne Passwortschutz auf mobile Datenträger kopieren.

Was passiert, wenn der Arbeitnehmer die Firma wechselt?

Wenn ein Arbeitnehmer das Unternehmen wechselt, muss er aufgrund der Treuepflicht oder den BYOD-Bestimmungen die Daten von seinem Privatgerät löschen. „Das zu überprüfen, ist natürlich nahezu unmöglich“, sagt Jansen. „Der Arbeitgeber gibt tatsächlich weitgehend die Kontrolle über diese Daten auf.“

Mehr Kontrolle hätte der Arbeitgeber, wenn er mit seinem Mitarbeiter einen Vollzugriff auf das Gerät vereinbart. Dann könnte er alle Daten per Fernzugriff löschen. Vollzugriff würde aber bedeuten, dass der Arbeitgeber auch Zugriff auf private Daten des Mitarbeiters hätte. „Das will natürlich kein Arbeitnehmer, deswegen macht man das in der Regel nicht“, sagt Jansen.

In eigener Sache
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Online-Workshop für Unternehmer
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Im Online Workshop "Zukunft sichern: So entwickeln Sie Ihr Geschäftsmodell weiter" gehen Sie dieses Ziel an.
Dass Mitarbeiter berufliche Aufgaben über ihr privates Handy oder den eigenen Laptop erledigen, ist in vielen Firmen üblich. „Bring Your Own Device“ (BYOD) heißt der Trend, der Vorteile für Arbeitnehmer und Arbeitgeber hat - aber auch Risiken birgt: vor allem in Sachen Datenschutz. Was gilt in Sachen Datenschutz bei BYOD? „Es ist Chefsache, die Daten zu schützen, mit denen die Firma arbeitet“, sagt der auf Datenschutz spezialisierte Rechtsanwalt Thomas Jansen. Insbesondere dann, wenn es sich um personenbezogene Daten wie Kunden- oder Mitarbeiterkontakte handele. „Diese Verantwortung hat der Unternehmer auch, wenn die Mitarbeiter für die Arbeit eigene Geräte nutzen.“ Früher war dieser Schutz durch das Bundesdatenschutzgesetz (BDSG) geregelt; seit Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO). „Für Unternehmen, die BYOD erlauben, hat sich aber nicht viel verändert“, sagt Jansen. Der größte Unterschied zwischen alter und neuer Rechtslage sei die Höhe des Bußgeldes: Bis zu 20 Millionen Euro oder bis zu vier Prozent des Jahresumsatzes könnten nach der DSGVO anfallen. Strafen würden außerdem nicht mehr erst dann verhängt, wenn tatsächlich eine Datenpanne vorliege, „sondern schon dann, wenn ein Unternehmen keine Maßnahmen zum Datenschutz oder zur Datensicherheit nachweisen kann“, sagt Jansen. „Wer seinen Mitarbeitern also BYOD erlaubt, muss geeignete technische und organisatorische Vorkehrungen treffen.“ Wie können Unternehmer Daten schützen, wenn Mitarbeiter eigene Geräte im Job nutzen? Wenn Mitarbeiter auf Daten des Firmenservers zugreifen wollen, müssen Unternehmen einen Virtual-Private-Network-Zugang (VPN) anbieten. „Daten sollten immer auf dem Firmenserver bleiben“, sagt Jansen. Deswegen sollte die VPN-Verbindung so eingerichtet sein, dass Mitarbeiter die Daten zwar einsehen und bearbeiten, aber nicht auf dem eigenen Gerät speichern können.  Der Zugriff auf den Firmenserver ist also nur temporär möglich: Sobald die VPN-Verbindung unterbrochen ist, sind auch die Daten weg – zumindest auf dem privaten Gerät. Achtung bei Whatsapp: „Whatsapp ist nach wie vor nicht DSGVO-konform, deswegen ist die berufliche Nutzung und Installation der App verboten“, sagt Jansen. Selbst wenn Mitarbeiter die App ausschließlich privat nutzen, dürfen sie keine Kundendaten auf dem Handy speichern. Denn der Messenger greift automatisch auf alle Kontakte zu, die im Adressbuch gespeichert sind - und das verstößt gegen den Datenschutz. Mehr Informationen finden Sie in dem Artikel DSGVO und Whatsapp: Wie gefährlich ist Whatsapp auf dem Firmenhandy? Ist Whatsapp auf dem Smartphone installiert und wird es beruflich genutzt, lässt sich der Datenschutz nur über eine sogenannte Container-Lösung gewährleisten. Diese sorgt dafür, dass die App nicht mehr auf Daten außerhalb dieses Bereichs zugreifen kann. Die Alternative: der Umstieg auf DSGVO-konforme Messenger-Dienste - oder BYOD ganz unterbinden: „Unter Datenschutzaspekten ist immer die Nutzung von zwei Handys zu empfehlen – ein privates und ein Diensthandy“, sagt Jansen. Was ist zu beachten, wenn Mitarbeiter ihr eigenes Gerät nutzen? Wer seinen Mitarbeitern BYOD erlaubt, brauche entsprechende Richtlinien, so Jansen. „So stellt der Arbeitgeber klar, was der Mitarbeiter darf - und vor allem: was nicht.“ Es gelte zum Beispiel zu klären, welche Sicherheitsprogramme auf dem privaten Laptop oder Handy installiert sein müssen. Um den Datenschutz zu gewährleisten, sollten Arbeitgeber und Mitarbeiter sich auf folgende Punkte verständigen: Mitarbeiter müssen Verschlüsselung, einen Passwortschutz und einen Virenscanner auf den Privatgeräten installieren. Mitarbeiter dürfen berufliche E-Mails nicht an ihr Privatkonto weiterleiten. Mitarbeiter dürfen keine Daten aus dem Firmennetzwerk herunterladen und speichern. Mitarbeiter dürfen ihre Geräte nur nutzen, wenn sichergestellt ist, dass niemand mitliest. „Das heißt, nicht im Biergarten oder im Flugzeug arbeiten, wenn Unbefugte einem über die Schulter schauen können“, sagt Jansen. Diese Regel gelte allerdings auch, wenn man den Firmenlaptop benutze. „Es braucht rechtlich gesehen einen Blickschutzfilter, sobald man in der Öffentlichkeit an Geräten arbeitet.“ Welche weiteren Punkte zu regeln sind, ist individuell vom Unternehmen zu prüfen und hängt meist von der Branche ab. Der Mitarbeiter muss den Richtlinien schriftlich zustimmen und sich zur Einhaltung verpflichten. In Unternehmen mit Betriebsrat braucht es eine Betriebsvereinbarung, in der BYOD geregelt ist. Wer haftet, wenn durch BYOD Kundendaten abhanden kommen? Kommen personenbezogene Daten abhanden, weil ein Gerät verloren geht oder gestohlen wird, haftet gemäß Art. 82 DSGVO zunächst einmal das Unternehmen (der Verantwortliche und/oder der Auftragsverarbeiter) gegenüber dem Geschädigten. „Das ist immer das Risiko für Unternehmen, die BYOD erlauben“, sagt Jansen. Deswegen sei es so wichtig, den Mitarbeitern klare Richtlinien an die Hand zu geben. Nach den Grundsätzen der Arbeitnehmerhaftung haften Arbeitnehmer nur dann vollumfänglich, wenn: sie vorsätzlich handeln. Zum Beispiel, wenn sie Kundendaten an Dritte verkaufen. sie grob fahrlässig handeln. Zum Beispiel, wenn sie vom Arbeitgeber vorgeschriebene Sicherheitssoftware nicht installieren, ohne Virenschutz arbeiten, sodass ein Virus ins Firmennetzwerk gelangt, oder Daten unverschlüsselt und ohne Passwortschutz auf mobile Datenträger kopieren. Was passiert, wenn der Arbeitnehmer die Firma wechselt? Wenn ein Arbeitnehmer das Unternehmen wechselt, muss er aufgrund der Treuepflicht oder den BYOD-Bestimmungen die Daten von seinem Privatgerät löschen. „Das zu überprüfen, ist natürlich nahezu unmöglich“, sagt Jansen. „Der Arbeitgeber gibt tatsächlich weitgehend die Kontrolle über diese Daten auf.“ Mehr Kontrolle hätte der Arbeitgeber, wenn er mit seinem Mitarbeiter einen Vollzugriff auf das Gerät vereinbart. Dann könnte er alle Daten per Fernzugriff löschen. Vollzugriff würde aber bedeuten, dass der Arbeitgeber auch Zugriff auf private Daten des Mitarbeiters hätte. „Das will natürlich kein Arbeitnehmer, deswegen macht man das in der Regel nicht“, sagt Jansen.