Private Nutzung von Firmenhandys oder Tablets im Handwerk

Lässt sich das DSGVO-konform abbilden?

Ein Gastbeitrag von Anke Hofmeyer.

In vielen Handwerksunternehmen ist es üblich, dass die Mitarbeitenden Unternehmensgeräte wie z.B. Firmenhandys auch für private Zwecke nutzen dürfen. Doch wie lässt sich dies mit den geltenden Datenschutzvorschriften vereinbaren?

Im optimalen Fall sollte eine private Nutzung der Firmen-IT komplett ausgeschlossen und formal untersagt sein. Warum ist das so? Was sind die Hintergründe? Arbeitgebende sind sogenannte »Verantwortliche« im Sinne von Art. 4 Nr. 7 DSGVO, denn er bzw. sie entscheidet über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten. Das heißt, er bzw. sie ist verantwortlich für die Einhaltung des Datenschutzes in Bezug auf die personenbezogenen Daten, die im Unternehmen verarbeitet werden (z. B. Kunden- oder Mitarbeiter:innendaten). Arbeitgebende sind dafür verantwortlich, dass ausreichende technische und organisatorische Maßnahmen (sogenannte TOMs, vgl. Art. 32 DSGVO) getroffen werden.

Was bedeutet das für den Unternehmer?

Die Verantwortlichen tragen dafür Sorge, dass personenbezogene Daten auf den Geräten so sicher wie möglich sind. Berufliche und private Daten müssen strikt voneinander getrennt werden. Darüber hinaus müssen die Verantwortlichen jederzeit die Möglichkeit haben, die beruflichen Daten (auch per Fernzugriff) zu
löschen. Denn was passiert, wenn ein Gerät verloren geht, gestohlen wird oder die Mitarbeitenden ausscheiden?

Was passiert, wenn ein Mitarbeiter geht?

Bleibt das Gerät im Unternehmen, müssen die privaten Daten vor Rückgabe komplett vom Gerät gelöscht werden, ansonsten dürfen Arbeitgebende nicht auf die Inhalte zugreifen, da sie sonst unter Umständen Kenntnis von privaten Informationen der Mitarbeitenden bekommen könnten. Sollte das Gerät in das Eigentum des Mitarbeitenden übergehen, muss gewährleistet sein, dass sämtliche berufliche personenbezogene Daten sicher vom Gerät gelöscht wurden.

Ein Lösungsansatz: Mobile-Device-Management und Container-Lösung

Die rechtlichen Anforderungen (Datentrennung, Verschlüsselung, Fernlöschung, Unterbinden von Copy-&-Paste, zentrale Aufbewahrung) kann eine spezielle Anwendungssoftware (App) erfüllen. Die Container-Technologie trennt dabei die privaten von den beruflichen Daten. Zum Öffnen der App müssen die Nutzer eine zusätzliche, vom Gerätepasswort unabhängige Authentifizierung durchführen, sodass Dritte keinen Zugriff auf die Daten nehmen können. Mit dem Mobile-Device-Management kann
sichergestellt werden, dass per Fernzugriff schnell firmeninterne Daten gelöscht werden und Sicherheitsupdates regelmäßig aufgespielt werden.

Weitere Fragen, die neben dem Datenschutz geklärt werden müssen:

Vertragsrecht: Wer kümmert sich um Wartung und Reparatur?
Steuerrecht: Liegt ein geldwerter Vorteil vor? Gibt es Regelungen hierfür?
Haftungsrecht: Wer haftet bei Verlust oder Beschädigung bei rein privatem Gebrauch wie z.B. Urlaubs- oder Freizeitaktivitäten?
Arbeitsrecht: Permanente Erreichbarkeit?

Tipps von Anke Hofmeyer:

1. Frühzeitig die/den Datenschutzbeauftragten hinzuziehen, damit die Sicherheit der personenbezogenen Daten von Beginn an gewährleistet ist.
2. Betriebsvereinbarungen schließen, um allgemeine Regelungen unternehmensweit zu treffen zur privaten Nutzung der Geräte.
3. Nutzungsvereinbarungen definieren, die sämtliche Dos & Don’ts im alltäglichen Umgang klären, aber auch Regelungen, wie Mitteilungspflichten bei Verlust oder Diebstahl, Passwortrichtlinien, klare Trennung von privaten und beruflichen Daten, Patch- & Updatemanagement und Virenschutz, enthalten muss.

Mehr zu Anke Hofmeyer auf ihrer Webseite: https://www.hofmeyer.net/datenschutz.html

AGB | Impressum | Datenschutz