26. September 2014 - Internal Investigation

BYOD und unternehmensinterne Datenscreenings

In jedem Unternehmen entstehen große Datenmengen. Viele dieser Daten sind im Zeitalter von BYOD (Bring Your Own Device) auf privaten Endgeräten der Mitarbeiter gespeichert. Der Beitrag erläutert die Probleme eines unternehmensinternen Datenscreenings bei einer erlaubten und einer verbotenen Privatnutzung von geschäftlichen Endgeräten. Des Weiteren beschäftigt er sich mit einem Screening unter dem Aspekt eines möglichen Zugriffs auf private Daten der Mitarbeiter, die auf deren eigenen, geschäftlich genutzten Endgeräten gespeichert sind.

Will der Arbeitgeber Daten-Screenings durchführen, sind auch bei BYOD private Daten absolut tabu Will der Arbeitgeber Datenscreenings durchführen, sind auch bei BYOD private Daten absolut tabu (Bild: totallyPic.com/iStock/Thinkstock)

Beim Umfang eines geplanten Screenings kommt es darauf an, ob eine Privatnutzung von Internet und E-Mail-Account im Unternehmen erlaubt oder verboten ist, ob damit das Thema BYOD berücksichtigt werden muss oder nicht.

1. Private Internetnutzung auf Firmengeräten

a) Privatnutzung erlaubt

Erlaubt der Arbeitgeber die Privatnutzung ausdrücklich oder konkludent, so muss er beim Datenscreening das Fernmeldegeheimnis gemäß § 88 Telekommunikationsgesetz (TKG) beachten und eine Einschränkung seiner Kontrollrechte hinnehmen. In diesem Fall ist eine Überwachung von privaten Internetverbindungen und  E-Mail-Inhalten unzulässig.

b) Privatnutzung verboten

Ist dagegen die Privatnutzung generell verboten, darf der Arbeitgeber stichprobenartig den Internetverlauf und auch Inhalte von E-Mails einsehen, da er von einer rein dienstlichen Nutzung ausgehen kann. Eine Ausnahme gibt es aber doch: E-Mails, die als privat erkennbar sind, z.B. anhand der Betreffzeile, sind für den Arbeitgeber tabu, sogar dann, wenn er die Privatnutzung verboten hat. Außerdem dürfen gemäß § 4 Bundesdatenschutzgesetz (BDSG) personenbezogene Daten nur erhoben oder genutzt werden, wenn der Betroffene, ein Gesetz oder eine andere Rechtsvorschrift dies gestattet.

2. Geschäftliche Nutzung auf privaten Endgeräten

Da das Unternehmen die Erhebung, Nutzung und Verarbeitung dienstlicher, insbesondere personenbezogener Daten gemäß § 9 BDSG kontrollieren muss, stellt sich die Frage, inwieweit ein Screening zulässig ist, wenn Mitarbeiter ein privates Gerät verwenden, man also in den BYOD-Bereich kommt.

Regelung für BYOD ist unabdingbar

Setzen sie ihre eigenen privaten Geräte geschäftlich ein (BYOD), bedarf es einer Regelung mit dem Unternehmen über deren Einsatz. Problematisch ist in so einem Fall die Abgrenzung von privaten und geschäftlichen Daten. Hier muss eine strikte Trennung vorgenommen werden.

Einwilligung einholen und den Betriebsrat beteiligen

Grundsätzlich darf das Unternehmen nicht ohne entsprechende Einwilligung des Mitarbeiters auf private Informationen zugreifen. Außerdem hat der Betriebsrat bei der Ausgestaltung der Vereinbarung ein Mitbestimmungsrecht, da es sich um die Einführung technischer Maßnahmen handelt, die eine Überwachung der Mitarbeiter ermöglichen.

Was ist bei BYOD zu regeln?

Legen Sie in einer Bring-Your-Own-Device-Richtlinie das Vorgehen sowie Benachrichtigungs- und Verhaltensregeln im Voraus fest. Sehr wichtig sind Regelungen bezüglich der Zugriffs- und Kontrollrechte. So muss z.B. festgelegt werden, ob unterschiedliche Accounts (privat und geschäftlich) auf dem Gerät genutzt werden sollen oder ob bestimmte Unternehmensdienste durch Authentifizierungsmaßnahmen geschützt sind, damit eine Zugriffskontrolle gewährleistet ist.

Verfahrensweisen beim Screening

Um Schwierigkeiten und Diskussionen zu vermeiden, legen Sie am besten im Vorfeld die Bedingungen eines Screenings fest. Beachten Sie Folgendes:

  • Vor einem allgemeinen Screening ist es sinnvoll, die Informationen weitgehend zu anonymisieren oder zu pseudonymisieren.
  • Achten Sie bei der stichprobenartigen Durchführung von Screenings auf die Anwendung des Vier- oder auch des Sechs-Augen-Prinzips; das ist stets zu empfehlen.
  • Beharren Sie darauf, dass Sie als betrieblicher Datenschutzbeauftragter zusätzlich zum IT-Mitarbeiter bei jedem Screening hinzugezogen werden; bestenfalls ist auch ein Mitglied des Betriebsrats anwesend.
  • Dokumentieren Sie zudem alle Maßnahmen, um datenschutzrechtliche Risiken zu vermeiden.

a) Screening bei verbotener privater Nutzung

Ist die private Nutzung untersagt, so muss der Arbeitgeber die Einhaltung des Verbots konsequent kontrollieren. Dies geschieht durch stichprobenartiges Screening gemäß den Anforderungen des BDSG. Führt der Arbeitgeber nämlich keine Kontrolle durch, könnten Mitarbeiter mit einer Duldung und dem Entstehen einer betrieblichen Übung argumentieren.

b) Screening bei erlaubter privater Nutzung

Ist die private Nutzung erlaubt, muss beim Screening vorsichtiger vorgegangen werden, da möglicherweise private Daten auf dem Gerät vorhanden sind. Deshalb müssen alle als privat gekennzeichneten E-Mails technisch, sofern dies möglich ist, oder manuell (durch Sichtung) gefiltert werden. Lassen sich private und geschäftliche Nutzung (z.B. E-Mails) nicht klar unterscheiden, so sind diese Informationen als privat zu behandeln.

Keine Totalüberwachung, Einsicht nur bei berechtigtem Interesse

Grundsätzlich ist eine Totalüberwachung unzulässig, d.h. eine ständige und genaue Aufzeichnung des Arbeitnehmerverhaltens während der Arbeitszeit ist nicht gestattet. In Ausnahmefällen kann bei „berechtigtem Interesse des Arbeitgebers“ das E-Mail-Konto eingesehen werden – auch bei erlaubter privater Nutzung. Wenn ein Mitarbeiter z.B. seit Monaten krank und nicht erreichbar ist, über den E-Mail-Account jedoch wichtige Anfragen für das Tagesgeschäft eingehen, ist das berechtigte Interesse gegeben. Der Arbeitgeber muss in so einer Situation versuchen, das Einverständnis des Mitarbeiters für den Zugriff auf den Account einzuholen. Erreicht er ihn nicht, darf er das E-Mail-Postfach öffnen.

Um Auseinandersetzungen und Unsicherheiten zu vermeiden, empfehlen Sie Ihrem Arbeitgeber und dem Betriebsrat, die private Internetnutzung auf Firmengeräten im Arbeitsvertrag, in einer nachträglichen Ergänzung oder in der Betriebsvereinbarung detailliert und klar zu regeln.

Verdachtsabhängiges Screening

Das Screening von Beschäftigtendaten, gleich ob auf dem Firmen- oder Privatgerät, kann im Einzelfall aus Sicherheits- und Verdachtsgründen gestattet sein. Allerdings reicht ein allgemeiner Verdacht nicht aus, er muss vorher stichhaltig begründet sein.

Konkreter Verdacht muss gegeben sein

Hat der Arbeitgeber beispielsweise konkrete Anhaltspunkte für den Verrat von Geschäftsgeheimnissen oder die Begehung einer Straftat, so darf er diesen nachgehen. E-Mails mit erkennbar privaten Inhalten sind hiervon ausgeschlossen.Liegt ein nicht personenbezogener Verdacht vor, müssen Informationen anonymisiert, der betroffene Personenkreis eingegrenzt und ggf. anhand von Stichworten gescreent werden. Ein verdachtsabhängiges Screening aller Mitarbeiter ist unzulässig. Bestätigt sich der Verdacht, kann in Ihrem Beisein als Datenschutzbeauftragter und im Beisein des Betriebsrats die jeweilige Person identifiziert werden.

Technische Lösungen: Container und Mobile Device Management

Technische Unterstützung für das Datenscreening auf BYOD-Geräten mit privater und geschäftlicher Nutzung liefern beispielsweise die Container-Lösung und das Mobile Device Management.

Die Container-Lösung ermöglicht eine getrennte Nutzung der Daten auf dem Gerät. Dabei wird im Speicherbereich ein Teil für geschäftliche Inhalte abgeschottet, der durch starke Verschlüsselung und ein Passwort abgesichert ist. Das Unternehmen kann somit nur auf den geschäftlichen Teil zugreifen und seine Kontrollen durchführen bzw. seinen sonstigen Pflichten nachkommen, ohne in die Privatsphäre des Arbeitnehmers einzugreifen.

Wird eine Mobile-Device-Management-Software eingesetzt, kann das Unternehmen die mobilen Geräte per Fernzugriff verwalten, konfigurieren und auch Daten löschen. Bei dieser Lösung ist ein Screening von privaten Inhalten technisch möglich. Aufgrund dessen müssen im Vorfeld Regelungen mit den Mitarbeitern über das Ausmaß der Kontrollen getroffen werden.

Zusammenfassung: Private Daten sind immer tabu

Eine umfassende betriebliche Vereinbarung über die Privatnutzung von firmeneigenen oder über die geschäftliche Nutzung von privaten Geräten im Unternehmen ist unabdingbar. Grundsätzlich gilt: Bei einem Screening sind private Informationen tabu. Eine Betriebsvereinbarung muss deshalb die Kontroll- und Zugriffsrechte, ob regelmäßig oder nur im Verdachtsfall und in welcher Form Screenings durchgeführt werden, unter der Mitbestimmung des Betriebsrats regeln.

Außerdem ist grundsätzlich nur eine freiwillige Nutzung von BYOD möglich, da der Arbeitgeber hinsichtlich der Kontrollrechte auf die Einwilligung der Mitarbeiter angewiesen ist. Achten Sie darauf, dass bei der Durchführung von Screenings alle Informationen möglichst anonymisiert und gefiltert werden und dass mindestens das Vier-Augen-Prinizip eingehalten wird, wobei auf Ihre Anwesenheit als betrieblicher Datenschutzbeauftragter besonders Wert gelegt werden sollte.

Anke Egelhof
Felicitas Berger
Anke Egelhof arbeitet im Bereich Datenschutz und Compliance.
Felicitas Berger ist Praktikantin bei der BDO AWT GmbH Wirtschaftsprüfungsgesellschaft und Studentin der HfWU (Hochschule für Wirtschaft und Umwelt) in Geislingen.

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln