open search
close
  • Suche
    • Autoren Über uns Kliemt.de Podcast Home
    Datenschutz

    Privatnutzung des Smartphone – nur noch im Schmalspurformat?

    Print Friendly, PDF & Email
    Smartphone

    Arbeitgebern dürfte hinlänglich bekannt sein, welche rechtlichen wie tatsächlichen Risiken sie eingehen, wenn sie ihren Mitarbeitern die Privatnutzung des dienstlich überlassenen Smartphones einräumen. Aufgrund der Vorgaben der EU-Datenschutz-Grundverordnung (EU-DSGVO) steht die Privatnutzungserlaubnis nun jedoch unter einem weiteren Gesichtspunkt auf dem Prüfstand: Darf der Arbeitgeber die Privatnutzung überhaupt noch erlauben, wenn diese mit einem Datensicherheitsrisiko für Beschäftigtendaten verbunden ist?

    Die bekannten Herausforderungen der Privatnutzungserlaubnis

    Arbeitsgeber sind frei darin zu entscheiden, ob sie ihren Mitarbeitern die dienstliche Informations- und Kommunikationstechnik (Telefon, Internetzugang sowie E-Mail) auch zur Privatnutzung zur Verfügung stellen. Ohne ausdrückliche oder konkludente Nutzungserlaubnis ist eine private Nutzung untersagt (BAG, Urteil vom 7. Juli 2005 – 2 AZR 581/04). Ganz überwiegend agieren Arbeitgeber an dieser Stelle großzügig und gestatten die Privatnutzung insbesondere des Smartphones. Denn sie wollen als attraktiver Arbeitgeber erscheinen und die Investition in moderne Kommunikationstechnologie zugleich als Marketing fürs Unternehmen nutzen.

    Ein solcher Schritt sollte gleichwohl gut abgewogen sein.  Denn die Gestattung der Privatnutzung erschwert mit Blick auf die betroffenen Privatdaten nicht nur einen Zugriff bei Krankheits- und Urlaubsvertretung oder eine Missbrauchskontrolle; sie klassifiziert den Arbeitgeber nach derzeit noch weit vertretener Meinung auch zum Anbieter von Telemedien im Sinne des TMG und verbindet eine unzulässige Kontrolle privater Daten aufgrund eines möglichen Verstoßes gegen das Fernmeldegeheimnis zugleich mit dem Risiko einer Strafbarkeit nach § 206a StGB.

    Konkrete Ausgestaltung der Privatnutzung

    Sofern der Arbeitgeber die Privatnutzung zulässt, sollte er dies daher in klarer und ausdrücklicher Form tun, insbesondere Nutzungsbeschränkungen und Zugriffsrechte festlegen und die Einhaltung derselben auch kontrollieren. Versäumt der Arbeitgeber ausdrückliche Regelungen, besteht das Risiko, dass unbestimmte Privatnutzungsrechte in Form der betrieblichen Übung begründet werden.

    So geht beispielweise der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz davon aus, dass schon der Umstand einer fehlenden Kontrolle eines Privatnutzungsverbots auf eine entsprechende betriebliche Übung der Privatnutzung schließen lasse (vgl. Orientierungshilfe zur datenschutzgerechten Ausgestaltung und Kontrolle der Nutzung von Informations- und Kommunikationstechnik des Unternehmens durch Beschäftigte zu betrieblichen und zu privaten Zwecken, Mai 2015).

    Es empfiehlt sich daher, sowohl die Frage der Zulässigkeit der privaten Nutzung und die konkrete Ausgestaltung der Privatnutzung als auch die allgemeinen Themen der Leistungs- und Verhaltenskontrolle so präzise wie möglich zu regeln. Dabei sind sowohl Themen der arbeitsbezogenen Zugriffsmöglichkeiten (insbesondere Zugriff in Vertretungsfällen, bei Ausscheiden des Mitarbeiters, bei Eilfällen) als auch zeitliche oder inhaltliche Nutzungsbeschränkungen und zulässige Missbrauchskontrollen aufzugreifen.

    Die jeweiligen Themen sind sowohl individualrechtlich als auch – im mitbestimmten Betrieb – kollektivrechtlich zu gestalten. So kann insbesondere die Überlassung eines Smartphones mit einer Nutzungsvereinbarung einhergehen, die den bekannten Nutzungsvereinbarungen bei Überlassung eines Dienstwagens ähnelt und eine Einwilligung des Mitarbeiters in bestimmte Zugriffsrechte enthält.

    Das Smartphone als Datensicherheitsrisiko

    Neben diesen allgemeinen Nutzungsthemen stellt sich jedoch eine weitere Herausforderung, der sich der Arbeitgeber als verantwortliche Stelle im Sinne des Datenschutzes stellen muss. Die Privatnutzung eines Smartphones beschränkt sich heute nicht mehr auf die klassischen Funktionen des Telefonierens, der E-Mail-Korrespondenz und des Surfens. Das Smartphone eröffnet vielmehr zahlreiche weitere Kommunikationskanäle (Messenger wie WhatsApp; Micro-Blogging-Dienste wie Twitter etc.) und nahezu unbegrenzte Nutzungsmöglichkeiten auf der Basis von Apps. Die kleinen Alltagshelferlein, die für den Mitarbeiter die Privatnutzung erst richtig attraktiv machen, bergen jedoch gerade hinsichtlich der weitverbreitetsten Anbieter ein enormes Sicherheitsrisiko. Denn sie erleichtern den Datendiebstahl, unbefugte Zugriffe  und ein Aufspielen von Malware.

    Diese Sicherheitslücken hatten Arbeitgeber immer schon dann im Auge, wenn es um den Schutz des Firmen-Knowhows und wettbewerbsrelevanter Daten ging. Nun müssen aber auch Beschäftigtendaten stärker geschützt werden. Denn der Abzug von personenbezogenen Daten aufgrund eines unberechtigten Zugriffs auf Adressdateien o.ä. kann einen schuldhaften Dateneingriff darstellen, der nicht nur Individualansprüche der Betroffenen auslöst, sondern auch bußgeldbewehrt ist.

    Der Arbeitgeber hat unter Berücksichtigung des Stands der Technik, der Zwecke der Datenverarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken geeignete technische und organisatorische Maßnahmen zu treffen, um die Rechte der betroffenen Personen zu schützen (Art. 25 EU-DSGVO). Sind dem Arbeitgeber daher Sicherheitsrisiken bekannt, die mit einer Privatnutzung des Smartphones über unsichere Anwendersoftware, insbesondere in der Form von Apps, einhergehen und trifft er in den Grenzen der Verhältnismäßigkeit keine Vorsorge, handelt er fahrlässig, ggf. sogar mit bedingtem Vorsatz.

    Taugliche Sicherheitsmaßnahmen

    Da die Privatnutzung von vornherein keinen geschäftlichen Zwecken dient, insbesondere weder zur Durchführung des Beschäftigtenverhältnisses noch zur Aufrechterhaltung des Geschäftsbetriebs erforderlich ist, wird dem Arbeitgeber wohl jede technische oder organisatorische Vorsorge zumutbar sein. Denn als sicheres Mittel bliebe immer schlicht die Untersagung der Privatnutzung in der Form der unsicheren Anwendersoftware.

    Folgende Ansätze kommen in Betracht:

    • Grundsätzliches Verbot der Nutzung nicht vorinstallierter Anwendungssoftware
    • Ausgestaltung der Nutzungserlaubnis unter Vorgabe sicherer Anwendungssoftware (z.B. sichere Messaging-Dienste)
    • Technische Beschränkung der Installationsmöglichkeiten
    • Technische Sicherung der Beschäftigtendaten durch Zugriffsbeschränkungen (Daten-Container o.ä.).

    Bußgeld-Risiko

    Verstöße gegen den Beschäftigtendatenschutz stellen kein Kavaliersdelikt dar. Unternehmen wie ihre Vertretungsorgane sind daher gut beraten, neben den klassischen Vorgaben zur Privatnutzung auch die Grenzen der technischen Nutzungsmöglichkeiten zu regeln. Nur so kann ihnen kein schuldhaftes Unterlassen einer hinreichenden Datensicherung  oder entsprechendes Organisationsverschulden vorgeworfen werden. Damit einhergehende Aufwendungen mögen sich schnell rechnen, wenn auf diese Weise empfindliche Bußgelder vermieden werden können.

    Verstöße gegen die EU-DSGVO werden bei Unternehmen je nach konkretem Verstoß mit einer Geldbuße bis zu 2% bzw. bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet. Dabei ist erschwerend zu berücksichtigen, dass auf EU-Ebene eine erweiterter Unternehmensbegriff zur Anwendung kommt, welcher auf die für den Marktauftritt relevante wirtschaftliche Einheit abstellt – mit anderen Worten: den Konzern.

    Prof. Dr. Barbara Reinhard
    Rechtsanwältin
    Fachanwältin für Arbeitsrecht
    Partner
    Barbara Reinhard berät Unter­neh­men ins­be­son­dere in kol­lek­tiv­recht­li­chen Ange­le­gen­hei­ten wie etwa Restruk­tu­rie­run­gen, Sanie­rungs­ta­rif­ver­trä­gen, alternativen Mit­be­stim­mungs­struk­tu­ren sowie betrieb­li­chen Mit­be­stim­mungsthemen zu Arbeitsschutz-, Arbeits­zeit- und Ver­gü­tungs­mo­del­len. Sie ist darüber hinaus renommierte Expertin im Arbeit­neh­mer-Daten­schutz­recht sowie in Fra­ge­stel­lun­gen zur arbeits­recht­li­chen Com­p­li­ance und Betrieb­li­chen Alters­ver­sor­gung. Zudem unterstützt sie Organ­mit­glie­der in Trennungs- und Anstellungsprozessen. Barbara Reinhard ist Autorin zahlreicher Fachbeiträge und hält regelmäßig Vorträge. Sie ist Mitglied der Fokusgruppe "Private Equity / M&A".
    vCard downloaden Prof. Dr. Barbara Reinhard auf Xing Prof. Dr. Barbara Reinhard auf LinkedIn
    Verwandte Beiträge
    Digitalisierung in Unternehmen Neueste Beiträge

    Self-Service Portale für Auskunftserteilung: Effizient, aber nicht ohne Risiko

    Digitale Self-Service-Lösungen sind längst Standard in der Personalverwaltung. In modernen HRIS-Systemen können Mitarbeitende ihre Stammdaten aktualisieren, Lohnabrechnungen abrufen oder Urlaubsanträge stellen. Diese Funktionen schaffen Transparenz und entlasten die Personalabteilung. Doch Self-Service kann mehr: Er wird zunehmend als Instrument zur Erfüllung gesetzlicher Auskunftspflichten diskutiert. Auskunft nach Art. 15 DS-GVO: Self-Service als Lösung? Auch bei datenschutzrechtlichen Auskunftsansprüchen nach Art. 15 DS-GVO wird über Self-Service-Portale diskutiert. Eine Auskunft…
    Datenschutz Neueste Beiträge

    Datenschutzrechtliche Auskunftsansprüche im arbeitsgerichtlichen Vergleich miterledigen? – Möglichkeiten & Grenzen

    In arbeitsgerichtlichen Vergleichen sind Erledigungsklauseln Standard. Sie sollen für Klarheit und Rechtssicherheit zwischen den Parteien sorgen. Doch was passiert, wenn ein Arbeitnehmer nach Abschluss eines arbeitsgerichtlichen Vergleichs an einem geltend gemachten datenschutzrechtlichen Auskunftsverlangen nach Art. 15 DSGVO festhält? In einem aktuellen Urteil hat sich das OVG Saarland mit der Frage auseinandergesetzt, ob ein datenschutzrechtlicher Auskunftsanspruch von der Erledigungsklausel in einem arbeitsgerichtlichen Vergleich umfasst ist (OVG…
    Compliance Datenschutz Individualarbeitsrecht Neueste Beiträge

    Deepfakes im Bewerbungsprozess

    Was passiert, wenn KI nicht nur zur Unterstützung, sondern zur Manipulation, etwa in Bewerbungsprozessen, eingesetzt wird? Mit digitalisierten Bewerbungsverfahren, Remote-Recruiting-Prozessen und virtuellen Jobinterviews steigt nicht zuletzt auch das Risiko, dass Bewerber Deepfakes einsetzen. Deepfake-Technologien ermöglichen es, Bewerbungsunterlagen wie Zeugnisse und Referenzschreiben täuschend echt zu fälschen oder gar Vorstellungsgespräche zu manipulieren und sich so einen Vorteil im Bewerbungsprozess zu verschaffen. Für Arbeitgeber stellt sich die Frage,…
    Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
    Jetzt anmelden und informiert bleiben.

     

    Die Abmeldung ist jederzeit möglich.