Seite 3: Private Daten sind tabu

Inhaltsverzeichnis

Private Daten sind tabu

Umgekehrt sollten die Einsichts-, Nutzungs- und Zugriffsrechte des Arbeitgebers hinsichtlich der auf dem privaten Gerät gespeicherten personenbezogenen Daten des Arbeitnehmers klar und unter Berücksichtigung der Grenzen des Beschäftigtendatenschutzes geregelt sein. Denn ohne konkreten Verdacht, dass der Mitarbeiter eine Straftat begangen hat, ist grundsätzlich ein Zugriff auf dessen private Daten unzulässig. Selbst wenn ein solcher Verdacht vorläge, brächte die Abwägung der Interessen von Arbeitgeber und Arbeitnehmer im Einzelfall eine gewisse Rechtsunsicherheit mit sich.

Der Zugriff auf private Daten unter Überwindung von Sicherheitsmechanismen des Arbeitnehmers kann sogar als Ausspähen, Abfangen oder Verändern von Daten mit Freiheits- oder Geldstrafe geahndet werden. Der IT-Administrator, der es trotzdem macht, macht sich strafbar und riskiert seinen Job. Als Lösung bieten sich wiederum der Vertragsweg, die schriftliche, dokumentierte Einwilligung des Mitarbeiters in die Kontrolle, oder die Technik an, zum Beispiel in Form einer Trennung von privaten und beruflichen Daten durch Virtualisierung oder in separaten Containern.

Bei einem eventuell nötigen Fernlöschen (Remote Wipe) wiederum lassen sich die privaten Daten meist nicht aussparen. Auch dafür sollte man zuvor das Einverständnis des Mitarbeiters eingeholt haben.

Haftung bei Verlust

Die Datenschutzrisiken stellen sich noch einmal komplexer dar, wenn Mitarbeiter auf ihren privaten Endgeräten Dienste von Cloud-Providern nutzen, die ihren Sitz außerhalb der Europäischen Union haben. Dann müsste durch spezielle Vereinbarungen ein angemessenes Datenschutzniveau hergestellt werden – einfacher ist, die Nutzung solcher Dienstleister in der Betriebsvereinbarung auszuschließen.

Was ganz teuer werden kann: Verliert der Mitarbeiter sein privates Endgerät oder wird es ihm gestohlen und funktionieren die notwendigen Maßnahmen wie Remote Wipe nicht oder zu spät, können Geschäftspartner, deren Daten mit dem Gerät verloren gegangen sind, zivilrechtliche, wettbewerbsrechtliche und datenschutzrechtliche Ansprüche auf Schadensersatz erheben. Dafür sind Geschäftsführer oder Vorstandsmitglieder haftbar, deren D&O-Versicherung (Organ- oder Manager-Haftpflichtversicherung) solche Fälle hoffentlich abdeckt.

Unkritischer aus Sicht des Arbeitgebers ist die Pflege der BYOD-Geräte. Grundsätzlich obliegt es dem Eigentümer des Endgerätes, die Hard- und Software instand zu halten. Sowohl für das private Gerät selbst als auch für das installierte Betriebssystem und die Anwendungssoftware ist ohne explizit anders lautende Vereinbarung der Mitarbeiter zuständig, selbst wenn er sie für betriebliche Zwecke nutzt. Eine Verlagerung dieser Pflichten auf den Arbeitgeber oder eine entsprechende Verpflichtung des Mitarbeiters bedürfen einer Vereinbarung.