Manche Arbeitgeber erlauben ihren Mitarbeitern, die betriebliche IT-Infrastruktur (bspw. Notebooks, Smartphones) privat zu nutzen. Dieser Akt des guten Willens kann aber datenschutzrechtlich problematisch sein.

Freizeit-Apps auf Dienstgeräten

Anfang 2023 wurde in den Medien über den Einsatz der TikTok-App auf Diensthandys berichtet. Dies führte bereits in Ländern wie Österreich, den USA sowie Kanada und der EU-Kommission zum Nutzungsverbot auf den Dienstgeräten. In der Schweiz wurde zwar kein generelles Verbot ausgesprochen, doch auch hier wird die App als bedenklich eingestuft. Auch in Deutschland sieht man die App von TikTok durchaus als problematisch; ein generelles Verbot gibt es jedoch bisher noch nicht. Im Zuge dessen war festzustellen, dass die Nutzung von TikTok auch in vielen öffentlichen Einrichtungen von EU-Ländern zum Einsatz kommt. Wie konnte es hierzu kommen?

In der DSGVO ist nämlich wie folgt zu lesen:

• Art. 24 Abs. 1 DSGVO
  "Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert“.
  
  
• Art. 32 Abs. 1 und 2 DSGVO
  "Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (…)“; „Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch - ob unbeabsichtigt oder unrechtmäßig - Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden“.

Zusammengefasst beinhalten beide Artikel die Pflicht der Verantwortlichen, personenbezogene Daten DSGVO-konform zu verarbeiten. Darunter fällt u. a. die Verpflichtung, die Daten mittels technisch-organisatorischer Maßnahmen durch den Zugriff unbefugter Dritter zu schützen.

Bei TikTok handelt es sich um ein vom chinesischen Unternehmen ByteDance (Beijing Bytedance Technology Ltd) betriebenes Videoportal, welches Zusatzfunktionen eines sozialen Netzwerkes anbietet. Das Problem bei der TikTok-App besteht in der fehlenden Datensicherheit (Zugriffsgefahr von unberechtigten Dritten auf personenbezogene Daten und Nachrichten der Nutzer, welche auch im Zuge des Überwachungsskandals im Jahr 2022 zur Sprache gebracht wurde). In diesem Zusammenhang ist darauf hinzuweisen; dass anderen Apps ähnliche Datenschutzmängel vorgeworfen werden (bspw. WhatsApp).

Die Präsenz der Freizeit-Apps auf Dienstgeräten kann aber weitere Rechtskonsequenzen haben, wie bspw. Lizenzvertragsverstöße, Geschäftsgeheimnisverstöße sowie weitere Datenschutzverstöße (bspw. fehlender Abschluss eines Auftragsverarbeitungsvertrages gemäß Art. 28 DSGVO).

Herausforderungen bei privater Nutzung von Dienstgeräten

Im Laufe des TikTok-Skandals 2023 ist es (hoffentlich) klar geworden, wie wichtig ein geregelter Umgang der Beschäftigten mit der IT-Infrastruktur des Arbeitgebers ist. Dieses Thema wurde auch im Urteil vom LAG Baden-Württemberg vom 27.01.2023, 12Sa 56/ 21 zur Sprache gebracht. Hier ist u. a. wie folgt zu lesen:

„ (…) bei unterbliebener ausdrücklicher Regelung durch den Arbeitgeber ist grundsätzlich von einer Erlaubnis auch zur privaten Kommunikation über einen dienstlichen E-Mail-Account ausgehen können (…) Wird einem Arbeitnehmer ein Smartphone als umfassendes Kommunikations- und Organisationsgerät überlassen und erfolgt im Hinblick auf bestimmte Kommunikationsformen (WhatsApp; SMS; Telefon) ausdrücklich eine einvernehmliche Mischnutzung, darf der Arbeitnehmer annehmen, dass sich die Erlaubnis auch auf andere Kommunikationsformen (E-Mail) bezieht“.
Die geduldete bzw. gestattete Privatnutzung der betrieblichen IT-Infrastruktur führt dazu, dass „(…) der Arbeitgeber dann als Anbieter von Telekommunikationsdiensten (…) bzw. von Telemedien (…) gilt mit der Folge der Anwendbarkeit des Fernmeldegeheimnisses (…). Befinden sich auf dem Endgerät eines Mitarbeiters sowohl dienstliche als auch private E-Mails, die unter den Schutz des Fernmeldegeheimnisses fallen, besteht (…) bei erlaubter Privatnutzung ein umfassendes Verarbeitungsverbot für die privaten E-Mails, das auch auf die im Übrigen zulässige Verarbeitung der dienstlichen E-Mails "durchschlägt".
In der Folge „(…) muss der Arbeitnehmer bei erlaubter Privatnutzung vor einer Maßnahme regelmäßig vorab informiert und ihm die Gelegenheit gegeben werden, private Nachrichten in einem gesonderten Ordner zu speichern, auf die kein Zugriff erfolgt (…) Eine verdeckte Auswertung eines auch zur Privatnutzung freigegebenen E-Mail-Accounts "ins Blaue hinein" ist unzulässig (…)“.

Das kann insbesondere problematisch sein, wenn ein Mitarbeiter lange im Krankenstand ist bzw. das Unternehmen verlassen hat.

Als Lösungen kommen hier die Einwilligung des Mitarbeiters bzw. eine betriebliche IT-Richtlinie in Betracht.

Einwilligung

Im Zusammenhang mit der Einwilligung (Art. 6 Abs. 1 DSGVO) sind die Voraussetzungen des Art. 7 DSGVO zu beachten:

• Die Einwilligungserklärung muss in einer nachweisbaren Form (bspw. Schriftform) vorhanden sein.
• Der Inhalt der Einwilligungserklärung muss klar und verständlich sein.
• Die Person, welche die Einwilligung erteilt, muss vor deren Abgabe auf ihr Recht hingewiesen werden, die Einwilligungserklärung jederzeit widerrufen zu können.
• Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
• Die Einwilligung muss freiwillig (d. h. ohne Zwang) erteilt werden.

Obwohl diese Rechtsgrundlage unter den Verantwortlichen sehr populär ist, kann die Freiwilligkeit einer abgegebenen Einwilligungserklärung problematisch sein (insbesondere in Fällen des Machtungleichgewichts zwischen den Verantwortlichen und den betroffenen Personen wie bspw. Dienstverhältnis). Die fehlende Freiwilligkeit kann zur Ungültigkeit der abgegebenen Einwilligung führen.

IT-Richtlinie

Auf der anderen Seite sorgt eine IT-Richtlinie; welche als eine organisatorische Maßnahme (Art. 32 DSGVO) zu betrachten ist, für Klarheit, was den Umgang mit der betrieblichen IT-Infrastruktur betrifft.

Eine betriebliche IT-Richtlinie soll u. a. folgende Themen umfassen:

• Vorgehensweise im Fall von auftretenden Defekten oder Fehlermeldungen (bspw. die unverzügliche Meldung an die IT-Abteilung).
• Software-Installation (bspw. Alleinzuständigkeit des Administrators).
• Schutz der Geräte vor Zugriffen Dritter (inkl. Familienmitglieder).
• Vorgehensweise im Fall des Verlusts eines Geräts (bspw. Meldung an die IT-Abteilung und an den Datenschutzbeauftragten).
• Verbot der Privatnutzung der IT-Infrastruktur (Wegen der datenschutzrechtlichen Problematik ist es empfehlenswert, jegliche private Nutzung der betrieblichen IT-Geräte zu verbieten).
• Verbot von der Nutzung der Privatgeräte zu dienstlichen Zwecken (bring your own device).
• Vertreterregelung (Zugriff des Vertreters aufs Postfach des vertretenen Mitarbeiters).
• Vorgehensweise im Zusammenhang mit den verdächtigen E-Mails (bspw. Meldung an Vorgesetzten bzw. die IT-Abteilung, kein Öffnen der Anhänge).
• Vorgehensweise im Fall der E-Mail-Falschversendung (bspw. Meldung an die IT-Abteilung und den Datenschutzbeauftragten).
• Nutzung privater Hard- und Software (Wegen der datenschutzrechtlichen Problematik ist es empfehlenswert, eine solche Nutzung zu verbieten).
• Passwort-Informationen (Länge, Zusammensetzung).
• Entsorgung der Datenträger usw.

Die Richtlinie sollte von jedem Mitarbeiter gegengezeichnet werden. Hierdurch wird deutlich, dass es sich um eine Unternehmensvorgabe handelt, die seitens der Mitarbeiter einzuhalten ist und das Dokument nicht nur zur Kenntnis genommen werden soll. Auf die Inhalte und Vorschriften sollten dann nochmals bei den IT-Sicherheits- und Datenschutzschulungen näher eingegangen werden, sodass diese zum Standard werden.

Schlussfolgerung

Die Einführung einer IT-Richtlinie (samt Privatnutzungsverbot) wird dazu beitragen, potenzielle Datenschutzrisiken im Zusammenhang mit der Nutzung der betrieblichen IT-Infrastruktur im Vorfeld zu reduzieren.