Wird der Einsatz von Smartphones für ein Unternehmen relevant, gibt es verschiedene Möglichkeiten wie diese eingesetzt werden können. Gerade Kleinunternehmen und Start-Ups werfen hier gerne einen Blick auf die „BYOD - Bring Your Own Device“- Variante. Dabei wird das private Gerät der Mitarbeiter für Unternehmenszwecke genutzt und es müssen keine teuren Neugeräte angeschafft werden. Dies ist eine kostengünstige Variante, aber auch eine datenschutzkonforme?

Heutzutage ist der Einsatz von mobilen Geräten aus dem Arbeitsalltag kaum wegzudenken. Ob es sich dabei um die Koordination von Mitarbeitern handelt, die Beantwortung von Vertriebsanfragen von unterwegs aus oder der erleichterte Zugriff auf den Outlook-Kalender - die digitalen Helfer sind vielfach einsetzbar. Dabei liegt der Gedanke nahe, direkt die Smartphones der Mitarbeiter einzusetzen, schließlich werden die meisten Mitarbeiter diese bereits dabeihaben. Insbesondere für Unternehmen, die nicht auf einen Schlag viele neue Smartphones einkaufen können, ist dieses Konzept eine scheinbar gute Lösung. Oder?

Vorzüge einer BYOD-Einführung im Unternehmen

Mit der Pandemie hat sich gezeigt, wie entscheidend es für Unternehmen sein kann schnell und flexibel von überall aus arbeiten zu können. Dabei spielen die mobilen Geräte wie Notebooks, Tablets und Smartphones eine wichtige Rolle. Der Einsatz der mobilen Geräte steigt seit Jahren rasant an und wenn die privaten Geräte der Beschäftigten genutzt werden, kann dies einige Vorteile bieten:

• Das Unternehmen muss keine Endgeräte zur Verfügung stellen, sondern nur den Arbeiternehmern einen regelmäßigen Ausgleich für die Nutzung der privaten Geräte zahlen. Dadurch kann ein Einsparungspotenzial entstehen, da neben der Beschaffung auch die Wartung wegfällt.
• Durch die Kopplung der privaten Geräte und den betrieblichen Systemen ergibt sich die Möglichkeit von unterwegs aus weiterarbeiten zu können (z. B. im Zug). Gleichzeitig ist den Arbeitnehmern bereits bekannt, wie genau die Geräte funktionieren und so fallen entsprechende Einweisungen weg. Dadurch werden sowohl Arbeitgeber und auch Arbeitnehmer entlastet.
• Zudem kann BYOD die Produktivität und Flexibilität erhöhen, da die Bereitschaft höher ist kleinere Aufgaben wie das Beantworten von E-Mails oder das Treffen von Terminabsprachen außerhalb der Arbeitszeiten zu erledigen.

Hürden des BYOD-Prinzips im Geschäftsalltag

Auch wenn der Einsatz von privaten Geräten zunächst attraktiv wirkt, dürfen die Nachteile und bestehende datenschutzrechtliche Vorgaben nicht außer Acht gelassen werden. Den oben aufgeführten Vorteilen stehen viele rechtliche Herausforderungen gegenüber. Bei dem Einsatz von BYOD müssen neben den datenschutzrechtlichen Vorgaben aus der DSGVO und dem BDSG auch Arbeits-, Handels-, Steuer- und Strafrechtsvorschriften berücksichtigt werden.  Leider existiert noch keine konkrete Rechtsprechung zu diesem Themenkomplex, sodass der rechtliche Rahmen direkt der DSGVO und dem BDSG zu entnehmen ist.

Verantwortlichkeit:

Der Verantwortliche gemäß Art. 4 Nr. 7 DSGVO hat stets dafür zu sorgen, dass eine ordnungsgemäße Verarbeitung von personenbezogenen Daten stattfindet. Anders ausgedrückt trägt das Unternehmen im Zweifel das Haftungsrisiko, wenn für keinen ausreichenden Schutz der personenbezogenen Daten gesorgt wurde. Natürlich schließt dies im Falle von BYOD auch die privaten Smartphones der Beschäftigten mit ein.

Technische und organisatorische Maßnahmen:

Die technischen und organisatorischen Maßnahmen sollen für eine sichere Verarbeitung der personenbezogenen Daten im Geschäftsalltag sorgen (gemäß Art. 24 Abs. 1 und 32 DSGVO). Der Aufwand der Maßnahmen für Nutzung von privaten Smartphones im Geschäftsalltag darf dabei nicht unterschätzt werden. So hat das Unternehmen keinen direkten Einfluss auf Geräte, die das Unternehmen verlassen. Zudem handelt es sich hier nicht um betriebliche Smartphones, folglich befinden sich darauf private Daten der Beschäftigten und die Kontrolle der Zugriffe auf das Smartphone (z.B. durch Kinder, Ehepartner, usw.) ist nicht immer gegeben.

Wie kann nun für einen ausreichenden Schutz gesorgt werden? Folgende technischen und organisatorischen Maßnahmen können Sie treffen, um die Sicherheit zu erhöhen. Bitte bedenken Sie, die Auflistung ist nicht abschließend und abhängig vom Einzelfall können viele weitere Möglichkeiten, um für eine starke Sicherheit zu sorgen:

• Trennung von privaten und betrieben Daten
  Eine äußerst wichtige und zentrale Anforderung an den Einsatz von BYOD ist die Trennung von privaten und betrieblichen Daten. Dies kann z.B. durch die Nutzung von getrennten Mailkonten auf den Smartphones erfolgen. Diese Funktion haben generell alle iOS- und Androidgeräte bereits im Betriebssystem integriert. Zudem sollte vermieden werden das private Mails auf den Geschäftskonten landen, sonst landen diese auch in die E-Mailarchivierung.
  
  
• Nutzung von Cloud-Diensten und VPN
  Dank zahlreicher Cloud Lösungen lassen sich BYOD-Smartphones relativ leicht mit den Unternehmensdaten verknüpfen. Somit befinden sich die Unternehmensdaten erst gar nicht auf den Endgeräten der Mitarbeiter und werden dort auch nicht gespeichert. Alternativ kann auch ein verschlüsselter VPN-Tunnel genutzt werden, um eine Verbindung mit dem Unternehmen aufzubauen. Dabei erfolgt die Verbindung in ein Netzwerksegment, dass explizit für die Verbindung mit mobilen Endgeräten bereitgestellt wurde und nicht mit dem zentralen Unternehmensnetzwerk verbunden ist.
  
  
• Nutzung von Sicherheits-Containern
  Um gleichzeitig für eine Trennung von privaten und geschäftlichen Daten zu sorgen und auch die Zugriffe zu steuern, sollten Container-Systeme genutzt werden. Alle unternehmensbezogenen Daten und notwendige Firmen-Apps werden in einen Sicherheits-Container gelegt. Dieser verschlüsselt die dortigen Daten und gleichzeitig gelangen keine Daten nach außen. Wiederum haben die Firmen-Apps durch die Container keinen Zugriff auf den privaten Bereich der BYOD-Geräte. Parallel sind die Unternehmensdaten im Falle eines Verlustes auch direkt verschlüsselt.
  
  
• Mobil-Device-Policy bzw. Einführung einer Betriebsvereinbarung zur BYOD-Nutzung
  Neben den technischen Maßnahmen sind auch die organisatorischen Maßnahmen nicht zu vergessen. So sollten Sie unbedingt eine schriftliche Vereinbarung mit den Beschäftigten treffen, die den Umgang mit den BYOD-Geräten regelt. Da es sich hier um private Geräte handelt, kann nicht automatisch vom Vorliegen eines Einsichtnahmerechts des Arbeitgebers ausgegangen werden. In dem Regelwerk sollten Sie Themenpunkte aufnehmen wie z.B. Kontrollrechte durch den Arbeitgeber, Zugriffe durch Dritte, Verhaltensregeln bei Verlust/Diebstahl/Beendigung des Arbeitsverhältnisses. Berücksichtigen Sie auch Verhaltensregeln bei Urlaubsreisen in Länder, in denen Sicherheitsorganen der Zugriff auf die privaten Endgeräte erlaubt wird.

Fazit

Zusammenfassend lässt sich festhalten, dass ein Einsatz von privaten Geräten der Beschäftigten möglich ist. Dies scheint auch in einigen Fällen sinnvoll, da dies kostensparend ist und insb. Smartphones der Beschäftigten meistens hochwertiger sind. Allerdings sollte dabei ganz genau auf die verschiedenen rechtlichen Vorgaben geachtet werden. Insbesondere die Trennung der privaten und geschäftlichen Daten zum Schutz der Privatsphäre der Arbeitnehmer sowie der Schutz der Unternehmensdaten nimmt dabei eine zentrale Rolle ein. Um das Haftungsrisiko noch weiter zu senken, sollte eine innerbetriebliche Richtline oder Vereinbarung getroffen werden, um so ggf. auch gesetzlichen Vorgaben nachkommen zu können.

dacuro GmbH

Wenn Sie gerne mehr über unsere Dienstleistungen und Services erfahren möchten oder auf der Suche nach einem externen Datenschutzbeauftragten sind, nehmen Sie gerne Kontakt zu uns auf. Unser Team besteht aus einem Gesamtpaket: wir verfügen über qualifizierte Datenschutzbeauftragte, Expertenwissen durch eigene Juristen und kompetente Kollegen mit jahrelanger technischer Erfahrung, sodass wir das Thema „Datenschutz“ komplett für unsere Kunden abbilden können. Wir betreuen unsere Kunden nicht nur im Rhein-Neckar-Kreis, sondern deutschlandweit in den verschiedensten Branchen. Einen kleinen Einblick finden Sie in unseren Referenzen. Wir freuen uns auf Sie.