open search
close
Datenschutz

Privatnutzung des Smartphone – nur noch im Schmalspurformat?

Print Friendly, PDF & Email
Smartphone

Arbeitgebern dürfte hinlänglich bekannt sein, welche rechtlichen wie tatsächlichen Risiken sie eingehen, wenn sie ihren Mitarbeitern die Privatnutzung des dienstlich überlassenen Smartphones einräumen. Aufgrund der Vorgaben der EU-Datenschutz-Grundverordnung (EU-DSGVO) steht die Privatnutzungserlaubnis nun jedoch unter einem weiteren Gesichtspunkt auf dem Prüfstand: Darf der Arbeitgeber die Privatnutzung überhaupt noch erlauben, wenn diese mit einem Datensicherheitsrisiko für Beschäftigtendaten verbunden ist?

Die bekannten Herausforderungen der Privatnutzungserlaubnis

Arbeitsgeber sind frei darin zu entscheiden, ob sie ihren Mitarbeitern die dienstliche Informations- und Kommunikationstechnik (Telefon, Internetzugang sowie E-Mail) auch zur Privatnutzung zur Verfügung stellen. Ohne ausdrückliche oder konkludente Nutzungserlaubnis ist eine private Nutzung untersagt (BAG, Urteil vom 7. Juli 2005 – 2 AZR 581/04). Ganz überwiegend agieren Arbeitgeber an dieser Stelle großzügig und gestatten die Privatnutzung insbesondere des Smartphones. Denn sie wollen als attraktiver Arbeitgeber erscheinen und die Investition in moderne Kommunikationstechnologie zugleich als Marketing fürs Unternehmen nutzen.

Ein solcher Schritt sollte gleichwohl gut abgewogen sein.  Denn die Gestattung der Privatnutzung erschwert mit Blick auf die betroffenen Privatdaten nicht nur einen Zugriff bei Krankheits- und Urlaubsvertretung oder eine Missbrauchskontrolle; sie klassifiziert den Arbeitgeber nach derzeit noch weit vertretener Meinung auch zum Anbieter von Telemedien im Sinne des TMG und verbindet eine unzulässige Kontrolle privater Daten aufgrund eines möglichen Verstoßes gegen das Fernmeldegeheimnis zugleich mit dem Risiko einer Strafbarkeit nach § 206a StGB.

Konkrete Ausgestaltung der Privatnutzung

Sofern der Arbeitgeber die Privatnutzung zulässt, sollte er dies daher in klarer und ausdrücklicher Form tun, insbesondere Nutzungsbeschränkungen und Zugriffsrechte festlegen und die Einhaltung derselben auch kontrollieren. Versäumt der Arbeitgeber ausdrückliche Regelungen, besteht das Risiko, dass unbestimmte Privatnutzungsrechte in Form der betrieblichen Übung begründet werden.

So geht beispielweise der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz davon aus, dass schon der Umstand einer fehlenden Kontrolle eines Privatnutzungsverbots auf eine entsprechende betriebliche Übung der Privatnutzung schließen lasse (vgl. Orientierungshilfe zur datenschutzgerechten Ausgestaltung und Kontrolle der Nutzung von Informations- und Kommunikationstechnik des Unternehmens durch Beschäftigte zu betrieblichen und zu privaten Zwecken, Mai 2015).

Es empfiehlt sich daher, sowohl die Frage der Zulässigkeit der privaten Nutzung und die konkrete Ausgestaltung der Privatnutzung als auch die allgemeinen Themen der Leistungs- und Verhaltenskontrolle so präzise wie möglich zu regeln. Dabei sind sowohl Themen der arbeitsbezogenen Zugriffsmöglichkeiten (insbesondere Zugriff in Vertretungsfällen, bei Ausscheiden des Mitarbeiters, bei Eilfällen) als auch zeitliche oder inhaltliche Nutzungsbeschränkungen und zulässige Missbrauchskontrollen aufzugreifen.

Die jeweiligen Themen sind sowohl individualrechtlich als auch – im mitbestimmten Betrieb – kollektivrechtlich zu gestalten. So kann insbesondere die Überlassung eines Smartphones mit einer Nutzungsvereinbarung einhergehen, die den bekannten Nutzungsvereinbarungen bei Überlassung eines Dienstwagens ähnelt und eine Einwilligung des Mitarbeiters in bestimmte Zugriffsrechte enthält.


Das Smartphone als Datensicherheitsrisiko

Neben diesen allgemeinen Nutzungsthemen stellt sich jedoch eine weitere Herausforderung, der sich der Arbeitgeber als verantwortliche Stelle im Sinne des Datenschutzes stellen muss. Die Privatnutzung eines Smartphones beschränkt sich heute nicht mehr auf die klassischen Funktionen des Telefonierens, der E-Mail-Korrespondenz und des Surfens. Das Smartphone eröffnet vielmehr zahlreiche weitere Kommunikationskanäle (Messenger wie WhatsApp; Micro-Blogging-Dienste wie Twitter etc.) und nahezu unbegrenzte Nutzungsmöglichkeiten auf der Basis von Apps. Die kleinen Alltagshelferlein, die für den Mitarbeiter die Privatnutzung erst richtig attraktiv machen, bergen jedoch gerade hinsichtlich der weitverbreitetsten Anbieter ein enormes Sicherheitsrisiko. Denn sie erleichtern den Datendiebstahl, unbefugte Zugriffe  und ein Aufspielen von Malware.

Diese Sicherheitslücken hatten Arbeitgeber immer schon dann im Auge, wenn es um den Schutz des Firmen-Knowhows und wettbewerbsrelevanter Daten ging. Nun müssen aber auch Beschäftigtendaten stärker geschützt werden. Denn der Abzug von personenbezogenen Daten aufgrund eines unberechtigten Zugriffs auf Adressdateien o.ä. kann einen schuldhaften Dateneingriff darstellen, der nicht nur Individualansprüche der Betroffenen auslöst, sondern auch bußgeldbewehrt ist.

Der Arbeitgeber hat unter Berücksichtigung des Stands der Technik, der Zwecke der Datenverarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken geeignete technische und organisatorische Maßnahmen zu treffen, um die Rechte der betroffenen Personen zu schützen (Art. 25 EU-DSGVO). Sind dem Arbeitgeber daher Sicherheitsrisiken bekannt, die mit einer Privatnutzung des Smartphones über unsichere Anwendersoftware, insbesondere in der Form von Apps, einhergehen und trifft er in den Grenzen der Verhältnismäßigkeit keine Vorsorge, handelt er fahrlässig, ggf. sogar mit bedingtem Vorsatz.

Taugliche Sicherheitsmaßnahmen

Da die Privatnutzung von vornherein keinen geschäftlichen Zwecken dient, insbesondere weder zur Durchführung des Beschäftigtenverhältnisses noch zur Aufrechterhaltung des Geschäftsbetriebs erforderlich ist, wird dem Arbeitgeber wohl jede technische oder organisatorische Vorsorge zumutbar sein. Denn als sicheres Mittel bliebe immer schlicht die Untersagung der Privatnutzung in der Form der unsicheren Anwendersoftware.

Folgende Ansätze kommen in Betracht:

  • Grundsätzliches Verbot der Nutzung nicht vorinstallierter Anwendungssoftware
  • Ausgestaltung der Nutzungserlaubnis unter Vorgabe sicherer Anwendungssoftware (z.B. sichere Messaging-Dienste)
  • Technische Beschränkung der Installationsmöglichkeiten
  • Technische Sicherung der Beschäftigtendaten durch Zugriffsbeschränkungen (Daten-Container o.ä.).

Bußgeld-Risiko

Verstöße gegen den Beschäftigtendatenschutz stellen kein Kavaliersdelikt dar. Unternehmen wie ihre Vertretungsorgane sind daher gut beraten, neben den klassischen Vorgaben zur Privatnutzung auch die Grenzen der technischen Nutzungsmöglichkeiten zu regeln. Nur so kann ihnen kein schuldhaftes Unterlassen einer hinreichenden Datensicherung  oder entsprechendes Organisationsverschulden vorgeworfen werden. Damit einhergehende Aufwendungen mögen sich schnell rechnen, wenn auf diese Weise empfindliche Bußgelder vermieden werden können.

Verstöße gegen die EU-DSGVO werden bei Unternehmen je nach konkretem Verstoß mit einer Geldbuße bis zu 2% bzw. bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet. Dabei ist erschwerend zu berücksichtigen, dass auf EU-Ebene eine erweiterter Unternehmensbegriff zur Anwendung kommt, welcher auf die für den Marktauftritt relevante wirtschaftliche Einheit abstellt – mit anderen Worten: den Konzern.

Prof. Dr. Barbara Reinhard

Rechtsanwältin
Fachanwältin für Arbeitsrecht
Partner
Barbara Reinhard berät Unter­neh­men ins­be­son­dere in kol­lek­tiv­recht­li­chen Ange­le­gen­hei­ten wie etwa Restruk­tu­rie­run­gen, Sanie­rungs­ta­rif­ver­trä­gen, alternativen Mit­be­stim­mungs­struk­tu­ren sowie betrieb­li­chen Mit­be­stim­mungsthemen zu Arbeitsschutz-, Arbeits­zeit- und Ver­gü­tungs­mo­del­len. Sie ist darüber hinaus renommierte Expertin im Arbeit­neh­mer-Daten­schutz­recht sowie in Fra­ge­stel­lun­gen zur arbeits­recht­li­chen Com­p­li­ance und Betrieb­li­chen Alters­ver­sor­gung. Zudem unterstützt sie Organ­mit­glie­der in Trennungs- und Anstellungsprozessen. Barbara Reinhard ist Autorin zahlreicher Fachbeiträge und hält regelmäßig Vorträge. Sie ist Mitglied der Fokusgruppe "Private Equity / M&A".
Verwandte Beiträge
Individualarbeitsrecht Neueste Beiträge

Wenn Arbeitgeber Bewerber googeln: Informationspflicht und Datenschutz im digitalen Zeitalter

Internetrecherchen spielen für Arbeitgeber im Bewerbungsprozess eine immer größere Rolle. Im digitalen Zeitalter gibt es eine hohe Diversität an Informationen über Personen im Netz. Dadurch kann das Internet Informationen über Bewerber bieten, die über die in den eingereichten Bewerbungsunterlagen hinausgehen. Arbeitgeber müssen allerdings einiges beachten, wenn sie die Namen von Bewerbern in eine Suchmaschine eingeben und dadurch erlangte Informationen im Auswahlverfahren verwerten möchten. Arbeitgeber müssen bei…
BEM Individualarbeitsrecht

BEM-Einladungsschreiben – keine reine Formalität!

Die Durchführung eines betrieblichen Eingliederungsmanagements („BEM“) ist in den meisten Fällen Wirksamkeitsvoraussetzung für eine krankheitsbedingte Kündigung. Das BEM gehört also zum Standardprozess. Doch bereits ein fehlerhaftes Einladungsschreiben zum BEM kann diesen Prozess zunichtemachen. Und das nicht nur, wenn der Arbeitnehmer das BEM abgelehnt hat, sondern auch wenn es tatsächlich durchgeführt wurde. In diesem Beitrag sollen daher wichtige Aspekte aufgegriffen werden, die bei der Erstellung des…
Datenschutz Neueste Beiträge

Erste europäische Richtlinie zur Nutzung von Künstlicher Intelligenz und Datenschutz

Der European Data Protection Supervisor („EDPS“) hat in seiner Funktion als Datenschutzbehörde am 3. Juni 2024 erstmalig eine Richtlinie für den richtigen Umgang mit Datenschutz im Zusammenhang mit der Nutzung von generativen KI-Systemen veröffentlicht. Vorrangig richtet sich die Richtlinie an EU-Institutionen und soll eine Orientierungshilfe zur Einhaltung der EU-DSVO sein. Die EU-DSVO findet speziell für die Verarbeitung von personenbezogenen Daten durch EU-Institutionen Anwendung, während die…
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.