Smartphone und Tablet sind für viele Nutzer kaum noch aus dem Alltag wegzudenken und bewähren sich als ständige Begleiter für Freizeit und Beruf. Damit neigen sich auch die Zeiten ihrem Ende, in denen nur privilegierte Mitarbeiter Zugriff auf das geschäftliche Kommunikationsgeschehen und Unternehmensdaten von unterwegs erhielten. Der folgende Beitrag erläutert welche datenschutzrechtlichen und technischen Rahmenbedingungen Unternehmen beachten sollten, wenn der Einsatz privater Smartphones im Unternehmen beabsichtigt wird (abgekürzt „Bring-Your-Own-Device“ oder „BYOD“).

Ein Beitrag von Peter Meuser (unabhängiger IT-Berater) und Dr. Sebastian Kraska (Rechtsanwalt und externer Datenschutzbeauftragter).

Warum ist das Datenschutzrecht überhaupt relevant?

Ein Unternehmen bleibt (als so genannte „verantwortliche Stelle“ nach § 3 Abs. 7 BDSG) auch dann für die ordnungsgemäße Verarbeitung von personenbezogenen Daten haftungsrechtlich verantwortlich, wenn diese Verarbeitung auf privaten Smartphones der Beschäftigten stattfindet. Aber anders als bei Smartphones, die Eigentum des Unternehmens sind, hat das Unternehmen ohne vorhergehende Vereinbarungen dabei nur eingeschränkte Möglichkeiten, technische und organisatorische Vorgaben hinsichtlich der sicheren Datenverarbeitung auf Privatgeräten zu treffen und diese auch durchzusetzen.

Empfehlung: Vorab Regelung mit Beschäftigten treffen

An sich lautet die Empfehlung daher, im Unternehmen grundsätzlich nur unternehmenseigene Hardware einzusetzen. Sollen in einem Unternehmen dennoch auch private Smartphones Einsatz finden ist es rechtlich unerlässlich, insbesondere zur Vermeidung von Haftungsproblemen, zur Entschärfung möglicher Konflikte bspw. mit dem Fernmeldegeheimnis und zur Sicherstellung einer ordnungsgemäßen Verarbeitung von Geschäftsdaten auf Privatgeräten zu Beginn eine schriftliche Regelung mit den Beschäftigten zu treffen. Der folgende Katalog enthält die zentralen Themen, welche in einer solchen Regelung beinhaltet sein sollten:

Vorgabe zur Trennung privater und geschäftlicher Daten

Zur Meidung von Zugriffsrestriktionen (insb. durch das Fernmeldegeheimnis in Bezug auf private E-Mails ) sollten private und geschäftliche Daten möglichst klar voneinander getrennt werden.

Diese Trennung stellt die zentrale Anforderung, die es innerhalb einer BYOD-Strategie zu lösen gilt. Alle heute verbreiteten und aktiv fortentwickelten Smartphone-Plattformen wie Apple iPhone (iOS), Google Android, RIM BlackBerry und Microsoft Windows Phone bieten grundsätzlich die Möglichkeit, mehrere Mail-Konten „getrennt“ voneinander auf einem Gerät zu verwalten. Unternehmen nutzen als „Messaging System“, das auch geschäftliche Kalender- und Kontaktdaten zur Synchronisation auf dem Smartphone bereitstellt, meist Microsoft Exchange („Outlook“) oder Lotus Domino („Lotus Notes“).

Ohne weitere Maßnahmen kann allerdings kaum von einer „sauberen“ Trennung privater und geschäftlicher Daten die Rede sein. Beide Bereiche werden zunächst gleichberechtigt auf den Geräten behandelt. Kommt ein ungeschütztes Privatgerät mit geschäftlichen Daten in fremde Hände, liegen daher beide Bereiche gleichermaßen offen. Werden private Mails über das Firmen-Mail-Konto weitergeleitet, geraten sie in das Kontrollsystem des Messaging Systems im Unternehmen (z.B. gesetzliche Mail-Archivierung). Umgekehrt besteht ebenso das Risiko Firmendaten unkontrolliert über das Privatkonto weiterzuleiten. Privat installierte Apps auf den Smartphones können (je nach Mobilplattform) vom Anwender unbemerkt Zugriff auf Mail-Konten erhalten und leiten vertrauliche Information selbsttätig nach außen.

Sobald ein Privatgerät mit der Unternehmens-IT verbunden wird, gilt es diese Risiken zu kontrollieren, minimieren und möglichst zu unterbinden. iPhones, BlackBerries, wie auch Geräte unter Android und Windows Phone bringen dazu von Haus aus bereits unterschiedliche Voraussetzungen mit, auf die verschiedene Ansätze zum „Mobile Device Management“ (MDM) aufsetzen (siehe vertiefend[ „](http://www.itlab.de/s/mdmov) Überblick: Kontrollmöglichkeiten der aktuellen Mobilplattformen im Unternehmenseinsatz“ ).

Ihr Ansprechpartner

Dr. Sebastian Kraska

Dr. Sebastian Kraska
Rechtsanwalt

Tel.: 089-1891 7360

sk@iitr.de
http://www.iitr.de

Soziale Netzwerke

Ihr Ansprechpartner zum Datenschutz:

Elisabeth Keller-Stoltenhoff

Rechtsanwältin

Tel.: 089 / 130 14 33 - 0
Fax: 089 / 130 14 33 - 60

e.keller@it-recht-kanzlei.de

Ihr externer Datenschutzbeauftragter:


Dr. Sebastian Kraska

Rechtsanwalt

Tel.: 089-1891 7360

sk@iitr.de
http://www.iitr.de

Was kostet ein Datenschutzbeauftragter?

Über eine unverbindliche Kostenanfrage beim IITR können Sie ermitteln, welche Kosten beim Einsatz eines externen Datenschutzbeauftragten für Ihr Unternehmen entstehen.

» Weitere Informationen

Kommentar schreiben

Zu diesem Artikel existieren keine Leser-Kommentare.

Möchten Sie der Erste sein?

Kommentar schreiben

Prüfzeichen der IT-Recht Kanzlei

Wie aus einer aktuellen Umfrage des Markt-forschungsinstituts Ears and Eyes hervorgeht, legen Kunden bei der Wahl des Onlineshops großen Wert auf bestimmte Details wie Impressum, Zahlungsweise und Vorhandensein von AGB. Mit dem Prüfzeichen der IT-Recht Kanzlei dokumentiert der Webseiten-Betreiber, dass er seine Internetpräsenz und insbesondere seine rechtlichen Texte einer Rechtsprüfung durch die IT-Recht Kanzlei München unterzogen hat.

TÜV Sued

TÜV-SÜD Prüfsiegel

Die IT-Recht Kanzlei ist eine enge Kooperation mit dem TÜV Süd eingegangen. Exklusiv bietet der TÜV SÜD für Update-Service-Mandanten der IT-Recht Kanzlei einen Rabatt von zehn Prozent auf den Festpreis der Erst-Zertifizierung im Rahmen des "TÜV-s@fer-shoping" für Online-Shops an.

EHI Geprüfter Online-Shop

Gütesiegel des EHI Retail Institute

Die IT-Recht Kanzlei ist offizieller Partner des EHI Retail Institute, dem Anbieter des renommierten Gütesielgels "EHI Geprüfter Online-Shop“ für Online-Shops. Das EHI Retail Institute bietet unseren Mandanten exklusiv das Gütesiegel zu einem Rabatt von 50 % an.

Kontakt:

IT-Recht Kanzlei

Alter Messeplatz 2
80339 München

Tel.: +49 (0)89 / 130 1433 - 0
Fax: +49 (0)89 / 130 1433 - 60

E-Mail: info@it-recht-kanzlei.de