Arbeitgebern dürfte hinlänglich bekannt sein, welche rechtlichen wie tatsächlichen Risiken sie eingehen, wenn sie ihren Mitarbeitern die Privatnutzung des dienstlich überlassenen Smartphones einräumen. Aufgrund der Vorgaben der EU-Datenschutz-Grundverordnung (EU-DSGVO) steht die Privatnutzungserlaubnis nun jedoch unter einem weiteren Gesichtspunkt auf dem Prüfstand: Darf der Arbeitgeber die Privatnutzung überhaupt noch erlauben, wenn diese mit einem Datensicherheitsrisiko für Beschäftigtendaten verbunden ist?
Die bekannten Herausforderungen der Privatnutzungserlaubnis
Arbeitsgeber sind frei darin zu entscheiden, ob sie ihren Mitarbeitern die dienstliche Informations- und Kommunikationstechnik (Telefon, Internetzugang sowie E-Mail) auch zur Privatnutzung zur Verfügung stellen. Ohne ausdrückliche oder konkludente Nutzungserlaubnis ist eine private Nutzung untersagt (BAG, Urteil vom 7. Juli 2005 – 2 AZR 581/04). Ganz überwiegend agieren Arbeitgeber an dieser Stelle großzügig und gestatten die Privatnutzung insbesondere des Smartphones. Denn sie wollen als attraktiver Arbeitgeber erscheinen und die Investition in moderne Kommunikationstechnologie zugleich als Marketing fürs Unternehmen nutzen.
Ein solcher Schritt sollte gleichwohl gut abgewogen sein. Denn die Gestattung der Privatnutzung erschwert mit Blick auf die betroffenen Privatdaten nicht nur einen Zugriff bei Krankheits- und Urlaubsvertretung oder eine Missbrauchskontrolle; sie klassifiziert den Arbeitgeber nach derzeit noch weit vertretener Meinung auch zum Anbieter von Telemedien im Sinne des TMG und verbindet eine unzulässige Kontrolle privater Daten aufgrund eines möglichen Verstoßes gegen das Fernmeldegeheimnis zugleich mit dem Risiko einer Strafbarkeit nach § 206a StGB.
Konkrete Ausgestaltung der Privatnutzung
Sofern der Arbeitgeber die Privatnutzung zulässt, sollte er dies daher in klarer und ausdrücklicher Form tun, insbesondere Nutzungsbeschränkungen und Zugriffsrechte festlegen und die Einhaltung derselben auch kontrollieren. Versäumt der Arbeitgeber ausdrückliche Regelungen, besteht das Risiko, dass unbestimmte Privatnutzungsrechte in Form der betrieblichen Übung begründet werden.
So geht beispielweise der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz davon aus, dass schon der Umstand einer fehlenden Kontrolle eines Privatnutzungsverbots auf eine entsprechende betriebliche Übung der Privatnutzung schließen lasse (vgl. Orientierungshilfe zur datenschutzgerechten Ausgestaltung und Kontrolle der Nutzung von Informations- und Kommunikationstechnik des Unternehmens durch Beschäftigte zu betrieblichen und zu privaten Zwecken, Mai 2015).
Es empfiehlt sich daher, sowohl die Frage der Zulässigkeit der privaten Nutzung und die konkrete Ausgestaltung der Privatnutzung als auch die allgemeinen Themen der Leistungs- und Verhaltenskontrolle so präzise wie möglich zu regeln. Dabei sind sowohl Themen der arbeitsbezogenen Zugriffsmöglichkeiten (insbesondere Zugriff in Vertretungsfällen, bei Ausscheiden des Mitarbeiters, bei Eilfällen) als auch zeitliche oder inhaltliche Nutzungsbeschränkungen und zulässige Missbrauchskontrollen aufzugreifen.
Die jeweiligen Themen sind sowohl individualrechtlich als auch – im mitbestimmten Betrieb – kollektivrechtlich zu gestalten. So kann insbesondere die Überlassung eines Smartphones mit einer Nutzungsvereinbarung einhergehen, die den bekannten Nutzungsvereinbarungen bei Überlassung eines Dienstwagens ähnelt und eine Einwilligung des Mitarbeiters in bestimmte Zugriffsrechte enthält.
Das Smartphone als Datensicherheitsrisiko
Neben diesen allgemeinen Nutzungsthemen stellt sich jedoch eine weitere Herausforderung, der sich der Arbeitgeber als verantwortliche Stelle im Sinne des Datenschutzes stellen muss. Die Privatnutzung eines Smartphones beschränkt sich heute nicht mehr auf die klassischen Funktionen des Telefonierens, der E-Mail-Korrespondenz und des Surfens. Das Smartphone eröffnet vielmehr zahlreiche weitere Kommunikationskanäle (Messenger wie WhatsApp; Micro-Blogging-Dienste wie Twitter etc.) und nahezu unbegrenzte Nutzungsmöglichkeiten auf der Basis von Apps. Die kleinen Alltagshelferlein, die für den Mitarbeiter die Privatnutzung erst richtig attraktiv machen, bergen jedoch gerade hinsichtlich der weitverbreitetsten Anbieter ein enormes Sicherheitsrisiko. Denn sie erleichtern den Datendiebstahl, unbefugte Zugriffe und ein Aufspielen von Malware.
Diese Sicherheitslücken hatten Arbeitgeber immer schon dann im Auge, wenn es um den Schutz des Firmen-Knowhows und wettbewerbsrelevanter Daten ging. Nun müssen aber auch Beschäftigtendaten stärker geschützt werden. Denn der Abzug von personenbezogenen Daten aufgrund eines unberechtigten Zugriffs auf Adressdateien o.ä. kann einen schuldhaften Dateneingriff darstellen, der nicht nur Individualansprüche der Betroffenen auslöst, sondern auch bußgeldbewehrt ist.
Der Arbeitgeber hat unter Berücksichtigung des Stands der Technik, der Zwecke der Datenverarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken geeignete technische und organisatorische Maßnahmen zu treffen, um die Rechte der betroffenen Personen zu schützen (Art. 25 EU-DSGVO). Sind dem Arbeitgeber daher Sicherheitsrisiken bekannt, die mit einer Privatnutzung des Smartphones über unsichere Anwendersoftware, insbesondere in der Form von Apps, einhergehen und trifft er in den Grenzen der Verhältnismäßigkeit keine Vorsorge, handelt er fahrlässig, ggf. sogar mit bedingtem Vorsatz.
Taugliche Sicherheitsmaßnahmen
Da die Privatnutzung von vornherein keinen geschäftlichen Zwecken dient, insbesondere weder zur Durchführung des Beschäftigtenverhältnisses noch zur Aufrechterhaltung des Geschäftsbetriebs erforderlich ist, wird dem Arbeitgeber wohl jede technische oder organisatorische Vorsorge zumutbar sein. Denn als sicheres Mittel bliebe immer schlicht die Untersagung der Privatnutzung in der Form der unsicheren Anwendersoftware.
Folgende Ansätze kommen in Betracht:
- Grundsätzliches Verbot der Nutzung nicht vorinstallierter Anwendungssoftware
- Ausgestaltung der Nutzungserlaubnis unter Vorgabe sicherer Anwendungssoftware (z.B. sichere Messaging-Dienste)
- Technische Beschränkung der Installationsmöglichkeiten
- Technische Sicherung der Beschäftigtendaten durch Zugriffsbeschränkungen (Daten-Container o.ä.).
Bußgeld-Risiko
Verstöße gegen den Beschäftigtendatenschutz stellen kein Kavaliersdelikt dar. Unternehmen wie ihre Vertretungsorgane sind daher gut beraten, neben den klassischen Vorgaben zur Privatnutzung auch die Grenzen der technischen Nutzungsmöglichkeiten zu regeln. Nur so kann ihnen kein schuldhaftes Unterlassen einer hinreichenden Datensicherung oder entsprechendes Organisationsverschulden vorgeworfen werden. Damit einhergehende Aufwendungen mögen sich schnell rechnen, wenn auf diese Weise empfindliche Bußgelder vermieden werden können.
Verstöße gegen die EU-DSGVO werden bei Unternehmen je nach konkretem Verstoß mit einer Geldbuße bis zu 2% bzw. bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet. Dabei ist erschwerend zu berücksichtigen, dass auf EU-Ebene eine erweiterter Unternehmensbegriff zur Anwendung kommt, welcher auf die für den Marktauftritt relevante wirtschaftliche Einheit abstellt – mit anderen Worten: den Konzern.