26. Juni 2020, von Silvia C. Bauer, Service Line IP/IT, Rechtsanwältin und Partnerin, Luther Rechtsanwaltsgesellschaft mbH und Heidi Schuster, Datenschutzbeauftragte, Max-Planck-Gesellschaft zur Förderung der Wissenschaften e.V.
Risiken für Unternehmen im mobilen Alltag minimieren. Die Zeiten werden digitaler, der Arbeitsalltag mobiler: Mitarbeiter arbeiten im HomeOffice, während ihrer Geschäftsreise oder sind auf an verschiedenen Orten verteilt. Die Welt vernetzt sich. Die Herausforderungen für Unternehmen werden dadurch nicht kleiner. Neben den technischen Anforderungen an die Hardware ist auch zu entscheiden, welche Apps im Unternehmen sinnvoll und vor allem datenschutzkonform eingesetzt werden können und wie der Einsatz rechtlich korrekt kontrolliert werden kann.
Es ist fast schon eine Selbstverständlichkeit, dass der Geschäftsführer von überall auf die neuesten Geschäftskennziffern zugreifen kann, der Handwerker das Abnahmeprotokoll digital erstellt oder der Verbraucher den Erhalt eines Pakets digital bestätigt.
Möglich wird dies durch die Vernetzung von mobilen Endgeräten mit den im Unternehmen bestehenden Anwendungen, die wiederrum einen Zugriff auf die Unternehmensdaten erlaubt.
Dies setzt voraus, dass Unternehmen die entsprechenden technischen Voraussetzungen schaffen. Daneben müssen auch Entscheidungen getroffen werden, welche mobilen Anwendungen wie zum Einsatz kommen sollen.
Auch wenn es fast ein alter Hut ist: Unternehmen müssen aufgrund der bislang weiter risikobehafteten Rechtslage entscheiden, ob sie nur die geschäftliche oder auch die private Nutzung der geschäftlichen Geräte zulassen wollen. Jedenfalls sind dazu Regelungen, die den Umfang der privaten Nutzung und die Kontrollmöglichkeiten bzw. Verwertungsmöglichkeiten der Daten festlegen, zu treffen. Wird gar die Entscheidung getroffen, dass BYOD erlaubt ist, müssen noch wesentlich umfangreichere Richtlinien, die auch die Kostentragung, Löschung von Daten oder auch die Wartung der Geräte beinhalten, vereinbart werden. Existiert ein Betriebs- oder Personalrat, ist dieser einzubinden bzw. in der Regel wird eine entsprechende Betriebs- bzw. Dienstvereinbarung geschlossen, die insbesondere Risiken zu umfassender Kontrollen der Mitarbeiter minimieren sollen.
Unternehmen kommen nicht umhin ein Mobile Device Management auf den genutzten Geräten zu installieren, da sie ihre unternehmenseigenen Crown Juwels und auch die jeweils gespeicherten personenbezogenen Daten vor Missbrauch, Verlust oder anderen Risiken schützen müssen. Dies umfasst auch die Kontrolle, welche Apps genutzt werden dürfen. Teilweise sind diese kostenpflichtig, teilweise erleichtert deren Nutzung den Arbeitsalltag – fraglich ist allerdings, welche darunterfallen: Die App der Deutschen Bahn oder auch What’s App? Was ist noch geschäftliche Nutzung und was eher Spaß?
Insbesondere bei der Nutzung der Apps international tätiger Anbieter ist Vorsicht geboten, da nicht immer die geschäftliche Nutzung erlaubt ist und der Transfer in einen unsicheren Drittstaat ggf. nicht im Einklang mit der DSGVO umgesetzt werden kann. Damit ist hier sorgfältig abzuwägen, welche Apps erlaubt werden.
Wird ein Cloud-Anbieter eingesetzt, ist zudem zu prüfen, ob daneben die nach DSGVO erforderlichen Anforderungen an Auftragsverarbeiter oder Joint-Controller eingehalten werden und die erforderlichen Verträge abgeschlossen werden können. Insbesondere der Einsatz von Subunternehmern durch den Cloud-Anbieter oder die fehlende Weisungsgebundenheit können hier ein erhöhtes Risikopotential bergen.
Mitunter macht es Sinn, eine eigene App zu entwickeln, um einen mobilen Zugriff auf die vom Unternehmen genutzten nicht-mobilen Anwendungen zu ermöglichen. Dann muss geprüft werden, ob und welche Schnittstellen erforderlich sind bzw. ob die Anbindung so ohne Weiteres technisch überhaupt möglich ist. Zudem sind hier die Anforderungen an die Datensicherheit und u.a. des Privacy by Designs and Default oder auch die Empfehlungen der Datenschutzaufsichtsbehörden zu berücksichtigen.
Der Einsatz von mobilen Geräten und Apps ist in der heutigen Zeit nicht mehr wegzudenken; Unternehmen sollten sich der Risiken bewusst sein und prüfen, welche Geräte und Anwendungen sinnvoll in die eigene IT-Infrastruktur eingebunden werden können. Daneben sind Richtlinien zum Umgang mit mobilen Szenarien und der Kontrolle der Einhaltung durch die Mitarbeiter zwingend geboten.
Silvia C. Bauer, Service Line IP/IT, Rechtsanwältin und Partnerin, Luther Rechtsanwaltsgesellschaft mbH und Heidi Schuster, Datenschutzbeauftragte, Max-Planck-Gesellschaft zur Förderung der Wissenschaften e.V.
Silvia C. Bauer ist Rechtsanwältin und Partnerin der Luther Rechtsanwaltsgesellschaft mbH. Schwerpunkt ihrer Tätigkeit ist unter anderem die datenschutz- und IT-rechtliche Beratung von international tätigen Unternehmen. Sie ist auch als Datenschutzbeauftragte für mehrere Unternehmen bestellt. Daneben veröffentlicht sie im Bereich des Datenschutzrechts und hält regelmäßig Vorträge.
Heidi Schuster ist Juristin und Datenschutzbeauftragte der Max-Planck-Gesellschaft zur Förderung der Wissenschaften e.V.. Sie ist Lehrbeauftragte an der Hochschule München für Datenschutz, Telekommunikations- und Telemedienrecht und hält regelmäßig Fachvorträge zu diesen Themengebieten.
FFD Forum für Datenschutz
eine Marke der TALENTUS GmbH
Friedrichstraße 16-18
65185 Wiesbaden
Telefon 0611 23 600 50
info@ffd-seminare.de