In Kürze
Wenn Beschäftigte private Geräte für die Arbeit nutzen (BYOD), bleibt der Arbeitgeber datenschutzrechtlich verantwortlich. DSGVO und BDSG stellen dabei klare Anforderungen an Datenschutz, Datentrennung und Sicherheit.
Definition
„Bring your own device" (BYOD) bedeutet, dass Beschäftigte ihr privates Smartphone, Tablet oder Notebook auch beruflich nutzen. Das klingt praktisch, bringt aber datenschutzrechtliche Pflichten mit sich – vor allem für den Arbeitgeber.
Verantwortlichkeit des Arbeitgebers: Auch wenn die Datenverarbeitung auf einem Privatgerät stattfindet, bleibt der Arbeitgeber nach Art. 4 Nr. 7 DSGVO und § 46 Nr. 7 BDSG datenschutzrechtlich verantwortlich. Da er auf fremde Geräte nur eingeschränkt Einfluss nehmen kann, muss er diesen Nachteil durch klare Vereinbarungen ausgleichen.
Trennung von privaten und geschäftlichen Daten: Geschäftliche Daten müssen technisch sauber von privaten Daten getrennt sein. Idealerweise verbleiben sie auf dem Firmenserver oder in einer gesicherten Cloud. Der Zugriff sollte nur über eine gesicherte VPN-Verbindung möglich sein – und nur so lange, wie diese Verbindung aktiv ist. Auf dem Privatgerät selbst dürfen keine Geschäftsdaten dauerhaft gespeichert werden.
Schriftliche Vereinbarung mit dem Beschäftigten: BYOD erfordert zwingend eine schriftliche datenschutzrechtliche Vereinbarung. Darin muss geregelt sein, wer wann und wie auf das Gerät zugreifen darf – zum Beispiel bei Geräteverlust oder beim Ausscheiden aus dem Unternehmen. Auch ein Fernlöschbefehl für gespeicherte Daten muss vorab vereinbart werden, da davon unter Umständen auch private Daten betroffen sein können.
Überwachungstools (Monitoring): Werden Programme zur Überwachung des Systemzustands eingesetzt, muss der Zweck der Datenverarbeitung von Anfang an transparent kommuniziert werden. Beim Einsatz externer Dienstleister gelten zusätzlich die datenschutzrechtlichen Vorgaben für Auftragsverarbeitung.
Sicherheitseinstellungen: Der Arbeitgeber kann und muss bestimmte Sicherheitsvorgaben für das Privatgerät festlegen – etwa Passwortregeln, automatische Bildschirmsperren oder Ortungsfreigaben im Verlustfall. Außerdem darf nur der betroffene Beschäftigte selbst das Gerät nutzen; die Nutzung durch Familienmitglieder oder Dritte ist zu untersagen.
Meldepflichten bei Datenpannen: Geht ein Gerät verloren oder werden Daten unbefugt zugänglich, muss der Beschäftigte den Arbeitgeber unverzüglich informieren. Der Arbeitgeber wiederum ist nach Art. 33 DSGVO verpflichtet, Datenpannen der zuständigen Aufsichtsbehörde zu melden, und muss nach Art. 34 DSGVO unter Umständen auch die betroffenen Personen benachrichtigen.
Alle genannten Pflichten sollten in einer individuellen Vereinbarung mit dem Beschäftigten oder in einer Betriebsvereinbarung verbindlich festgehalten werden.
