Einsicht in private Geräte bei BYOD
In einigen Einrichtungen und Unternehmen ist es durchaus etabliert, dass die Mitarbeiter mit ihren eigenen privaten Endgeräten arbeiten – Bring Your Own Device oder kurz BYOD genannt. Dies kann an Kostengründen liegen, denn so muss nicht allen Mitarbeitern ein Laptop oder ein Smartphone zur Verfügung gestellt werden. Insbesondere seit dem letzten Jahr kam es aber teilweise auch zu langen Lieferzeiten für mobile Endgeräte aufgrund der verstärkten Nachfrage wegen Home Office. Daher wurde alternativ als schnelle Lösung BYOD eingeführt.
Datenschutzrechtliche Probleme
Grundsätzlich kann BYOD eine schnelle Lösung sein, um Mitarbeiter zur mobilen Arbeit zu bringen. Jedoch gibt es hierbei auch datenschutzrechtliche Probleme. Das Endgerät ist Eigentum des Mitarbeiters auf dem auch und vor allem dessen private Daten gespeichert werden. In gewissen Situationen kann es aber notwendig sein, dass der Arbeitgeber Zugriff bzw. Einblick in das Gerät nehmen muss. Dieses Problem wird am besten am Beispiel von Datenschutzvorfällen deutlich.
Wird ein Datenschutzvorfall durch einen Mitarbeiter auf seinem mobilen Endgerät verursacht, kann es notwendig sein, zur Aufklärung des Vorfalls auf dieses Gerät zuzugreifen und es zu untersuchen.
Für den Mitarbeiter gibt es keine Herausgabepflicht des Geräts, da es sein Eigentum ist. Gehört das Gerät dem Arbeitgeber, so kann dieser sich auf ein berechtigtes Interesse an der Aufklärung des Falles gem. Art. 6 Abs. 1 lit. f) DSGVO oder § 26 Abs. 1 oder 2 berufen. Bei BYOD funktioniert dies jedoch nicht. Zwar kann durch richterlichen Beschluss die Herausgabe erzwungen werden, dies dauert jedoch in den meisten Fällen zu lange, um einen etwaigen Datenschutzvorfall fristgemäß aufzuklären.
Was gibt es für Lösungsmöglichkeiten?
Technisch sollte grundsätzlich versucht werden, dass private Daten von dienstlichen Daten auf den Endgeräten getrennt werden. Dies kann beispielsweise durch Containerlösungen erfolgen. Zudem kann veranlasst werden, dass die Daten im eigenen Netzwerk des Arbeitgebers verbleiben und nur remote ein Zugriff auf die Systeme gewährt wird. Somit ist gewährleistet, dass keine Daten dem Zugriff des Arbeitgebers verwehrt werden und er jederzeit weiterhin die Kontrolle darüber hat. Bei Datenschutzvorfällen o. ä. kann dann schnell gehandelt werden indem der Zugriff auf die Daten verhindert und das Gerät vom Netzwerk getrennt bzw. ausgeschlossen wird. Organisatorisch sollte sich der Arbeitgeber hierfür ein entsprechendes Zugriffsrecht von den Mitarbeitern einräumen lassen.
Doch auch dies kann im Ernstfall nicht ausreichen. Wenn beispielsweise auch ein Einblick in private personenbezogene Daten eines Mitarbeiters bei der Untersuchung eines Endgerätes nicht verhindert werden kann, so ist zwingend eine Einwilligung des Mitarbeiters in diese Datenverarbeitung notwendig. Diese Einwilligung kann auch nicht erzwungen werden, da eine wirksame Einwilligung immer auf Freiwilligkeit basieren muss.
Abschließend lässt sich sagen, dass BYOD datenschutzrechtlich Risiken bietet, die sich nicht ausschließen lassen. Durch technische Lösungen und organisatorische Maßnahmen, wie Vereinbarungen mit den Mitarbeitern, Sensibilisierung und Schulung zum Thema lässt sich das Risiko jedoch minimieren. Es bleibt aber das Problem, dass auch bei Datenschutzvorfällen die Mitarbeiter selbst über ihr Eigentum bestimmen können und ein Zugriff ggf. nicht erzwungen werden kann. Der Arbeitgeber hat bei Geräten, die er selbst stellt, immer die besten Möglichkeiten auf die Daten und die Datenverarbeitung auf den Endgeräten Einfluss zu nehmen.