open search
close
Datenschutz

Privatnutzung des Smartphone – nur noch im Schmalspurformat?

Print Friendly, PDF & Email
Smartphone

Arbeitgebern dürfte hinlänglich bekannt sein, welche rechtlichen wie tatsächlichen Risiken sie eingehen, wenn sie ihren Mitarbeitern die Privatnutzung des dienstlich überlassenen Smartphones einräumen. Aufgrund der Vorgaben der EU-Datenschutz-Grundverordnung (EU-DSGVO) steht die Privatnutzungserlaubnis nun jedoch unter einem weiteren Gesichtspunkt auf dem Prüfstand: Darf der Arbeitgeber die Privatnutzung überhaupt noch erlauben, wenn diese mit einem Datensicherheitsrisiko für Beschäftigtendaten verbunden ist?

Die bekannten Herausforderungen der Privatnutzungserlaubnis

Arbeitsgeber sind frei darin zu entscheiden, ob sie ihren Mitarbeitern die dienstliche Informations- und Kommunikationstechnik (Telefon, Internetzugang sowie E-Mail) auch zur Privatnutzung zur Verfügung stellen. Ohne ausdrückliche oder konkludente Nutzungserlaubnis ist eine private Nutzung untersagt (BAG, Urteil vom 7. Juli 2005 – 2 AZR 581/04). Ganz überwiegend agieren Arbeitgeber an dieser Stelle großzügig und gestatten die Privatnutzung insbesondere des Smartphones. Denn sie wollen als attraktiver Arbeitgeber erscheinen und die Investition in moderne Kommunikationstechnologie zugleich als Marketing fürs Unternehmen nutzen.

Ein solcher Schritt sollte gleichwohl gut abgewogen sein.  Denn die Gestattung der Privatnutzung erschwert mit Blick auf die betroffenen Privatdaten nicht nur einen Zugriff bei Krankheits- und Urlaubsvertretung oder eine Missbrauchskontrolle; sie klassifiziert den Arbeitgeber nach derzeit noch weit vertretener Meinung auch zum Anbieter von Telemedien im Sinne des TMG und verbindet eine unzulässige Kontrolle privater Daten aufgrund eines möglichen Verstoßes gegen das Fernmeldegeheimnis zugleich mit dem Risiko einer Strafbarkeit nach § 206a StGB.

Konkrete Ausgestaltung der Privatnutzung

Sofern der Arbeitgeber die Privatnutzung zulässt, sollte er dies daher in klarer und ausdrücklicher Form tun, insbesondere Nutzungsbeschränkungen und Zugriffsrechte festlegen und die Einhaltung derselben auch kontrollieren. Versäumt der Arbeitgeber ausdrückliche Regelungen, besteht das Risiko, dass unbestimmte Privatnutzungsrechte in Form der betrieblichen Übung begründet werden.

So geht beispielweise der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz davon aus, dass schon der Umstand einer fehlenden Kontrolle eines Privatnutzungsverbots auf eine entsprechende betriebliche Übung der Privatnutzung schließen lasse (vgl. Orientierungshilfe zur datenschutzgerechten Ausgestaltung und Kontrolle der Nutzung von Informations- und Kommunikationstechnik des Unternehmens durch Beschäftigte zu betrieblichen und zu privaten Zwecken, Mai 2015).

Es empfiehlt sich daher, sowohl die Frage der Zulässigkeit der privaten Nutzung und die konkrete Ausgestaltung der Privatnutzung als auch die allgemeinen Themen der Leistungs- und Verhaltenskontrolle so präzise wie möglich zu regeln. Dabei sind sowohl Themen der arbeitsbezogenen Zugriffsmöglichkeiten (insbesondere Zugriff in Vertretungsfällen, bei Ausscheiden des Mitarbeiters, bei Eilfällen) als auch zeitliche oder inhaltliche Nutzungsbeschränkungen und zulässige Missbrauchskontrollen aufzugreifen.

Die jeweiligen Themen sind sowohl individualrechtlich als auch – im mitbestimmten Betrieb – kollektivrechtlich zu gestalten. So kann insbesondere die Überlassung eines Smartphones mit einer Nutzungsvereinbarung einhergehen, die den bekannten Nutzungsvereinbarungen bei Überlassung eines Dienstwagens ähnelt und eine Einwilligung des Mitarbeiters in bestimmte Zugriffsrechte enthält.


Das Smartphone als Datensicherheitsrisiko

Neben diesen allgemeinen Nutzungsthemen stellt sich jedoch eine weitere Herausforderung, der sich der Arbeitgeber als verantwortliche Stelle im Sinne des Datenschutzes stellen muss. Die Privatnutzung eines Smartphones beschränkt sich heute nicht mehr auf die klassischen Funktionen des Telefonierens, der E-Mail-Korrespondenz und des Surfens. Das Smartphone eröffnet vielmehr zahlreiche weitere Kommunikationskanäle (Messenger wie WhatsApp; Micro-Blogging-Dienste wie Twitter etc.) und nahezu unbegrenzte Nutzungsmöglichkeiten auf der Basis von Apps. Die kleinen Alltagshelferlein, die für den Mitarbeiter die Privatnutzung erst richtig attraktiv machen, bergen jedoch gerade hinsichtlich der weitverbreitetsten Anbieter ein enormes Sicherheitsrisiko. Denn sie erleichtern den Datendiebstahl, unbefugte Zugriffe  und ein Aufspielen von Malware.

Diese Sicherheitslücken hatten Arbeitgeber immer schon dann im Auge, wenn es um den Schutz des Firmen-Knowhows und wettbewerbsrelevanter Daten ging. Nun müssen aber auch Beschäftigtendaten stärker geschützt werden. Denn der Abzug von personenbezogenen Daten aufgrund eines unberechtigten Zugriffs auf Adressdateien o.ä. kann einen schuldhaften Dateneingriff darstellen, der nicht nur Individualansprüche der Betroffenen auslöst, sondern auch bußgeldbewehrt ist.

Der Arbeitgeber hat unter Berücksichtigung des Stands der Technik, der Zwecke der Datenverarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken geeignete technische und organisatorische Maßnahmen zu treffen, um die Rechte der betroffenen Personen zu schützen (Art. 25 EU-DSGVO). Sind dem Arbeitgeber daher Sicherheitsrisiken bekannt, die mit einer Privatnutzung des Smartphones über unsichere Anwendersoftware, insbesondere in der Form von Apps, einhergehen und trifft er in den Grenzen der Verhältnismäßigkeit keine Vorsorge, handelt er fahrlässig, ggf. sogar mit bedingtem Vorsatz.

Taugliche Sicherheitsmaßnahmen

Da die Privatnutzung von vornherein keinen geschäftlichen Zwecken dient, insbesondere weder zur Durchführung des Beschäftigtenverhältnisses noch zur Aufrechterhaltung des Geschäftsbetriebs erforderlich ist, wird dem Arbeitgeber wohl jede technische oder organisatorische Vorsorge zumutbar sein. Denn als sicheres Mittel bliebe immer schlicht die Untersagung der Privatnutzung in der Form der unsicheren Anwendersoftware.

Folgende Ansätze kommen in Betracht:

  • Grundsätzliches Verbot der Nutzung nicht vorinstallierter Anwendungssoftware
  • Ausgestaltung der Nutzungserlaubnis unter Vorgabe sicherer Anwendungssoftware (z.B. sichere Messaging-Dienste)
  • Technische Beschränkung der Installationsmöglichkeiten
  • Technische Sicherung der Beschäftigtendaten durch Zugriffsbeschränkungen (Daten-Container o.ä.).

Bußgeld-Risiko

Verstöße gegen den Beschäftigtendatenschutz stellen kein Kavaliersdelikt dar. Unternehmen wie ihre Vertretungsorgane sind daher gut beraten, neben den klassischen Vorgaben zur Privatnutzung auch die Grenzen der technischen Nutzungsmöglichkeiten zu regeln. Nur so kann ihnen kein schuldhaftes Unterlassen einer hinreichenden Datensicherung  oder entsprechendes Organisationsverschulden vorgeworfen werden. Damit einhergehende Aufwendungen mögen sich schnell rechnen, wenn auf diese Weise empfindliche Bußgelder vermieden werden können.

Verstöße gegen die EU-DSGVO werden bei Unternehmen je nach konkretem Verstoß mit einer Geldbuße bis zu 2% bzw. bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet. Dabei ist erschwerend zu berücksichtigen, dass auf EU-Ebene eine erweiterter Unternehmensbegriff zur Anwendung kommt, welcher auf die für den Marktauftritt relevante wirtschaftliche Einheit abstellt – mit anderen Worten: den Konzern.

Prof. Dr. Barbara Reinhard

Rechtsanwältin
Fachanwältin für Arbeitsrecht
Partner
Barbara Reinhard berät Unter­neh­men ins­be­son­dere in kol­lek­tiv­recht­li­chen Ange­le­gen­hei­ten wie etwa Restruk­tu­rie­run­gen, Sanie­rungs­ta­rif­ver­trä­gen, alternativen Mit­be­stim­mungs­struk­tu­ren sowie betrieb­li­chen Mit­be­stim­mungsthemen zu Arbeitsschutz-, Arbeits­zeit- und Ver­gü­tungs­mo­del­len. Sie ist darüber hinaus renommierte Expertin im Arbeit­neh­mer-Daten­schutz­recht sowie in Fra­ge­stel­lun­gen zur arbeits­recht­li­chen Com­p­li­ance und Betrieb­li­chen Alters­ver­sor­gung. Zudem unterstützt sie Organ­mit­glie­der in Trennungs- und Anstellungsprozessen. Barbara Reinhard ist Autorin zahlreicher Fachbeiträge und hält regelmäßig Vorträge. Sie ist Mitglied der Fokusgruppe "Private Equity / M&A".
Verwandte Beiträge
Compliance Datenschutz Individualarbeitsrecht Kollektivarbeitsrecht Neueste Beiträge Top-Management

Arbeitsrecht im Jahr 2024: Die Top 5

Rechtzeitig zu den Silvester-Vorbereitungen lesen Sie hier unseren Jahresrückblick auf eine kleine Auswahl an beachtenswerten und für das Arbeitsrecht relevanten Urteilen. Besonders bewegt haben uns im Jahr 2024: Schadensersatzforderungen nach DSGVO-Auskunftsverlangen, Zielvereinbarungs-Boni, Überstundenvergütungen von Teilzeitkräften, die Konzernleihe sowie entschädigungsfreie Wettbewerbsverbote. Top 1 – Auskunftsverlangen nach Art. 15 DSGVO – Schadensersatzrisiko entschärft Schadensersatzforderungen des Arbeitnehmers wegen eines angeblichen Datenschutzverstoßes des Arbeitgebers waren ein beliebtes Instrument, um…
Internationales Arbeitsrecht Neueste Beiträge Urlaub

Perks for employees’ parents: unwrapping the new rules on holiday vouchers

Back in 2019, the government of Slovakia introduced what it called the ‘recreation allowance’ to boost domestic tourism. It requires certain employers to contribute financially to domestic trips taken by eligible employees. From 1 January 2025, the allowance will be extended to the parents of those employees. This is an innovative and, in many ways, welcome move, but it raises some questions about how employers…
Individualarbeitsrecht Kollektivarbeitsrecht Neueste Beiträge Prozessrecht

Datenschutz ist kein Tatenschutz: Beweisverwertungsverbote vor dem Revival?

Nicht selten enthalten Betriebsvereinbarungen Beweisverwertungsverbote für den Fall, dass der Arbeitgeber personenbezogene Daten unter Verstoß gegen Vorschriften des Datenschutzes oder einer Betriebsvereinbarung verarbeitet. Solche Beweisverwertungsverbote sind jedoch nach der Rechtsprechung des BAG nicht zulässig. Dies liegt auf der Linie der verwertungsfreundlichen Rechtsprechung mit dem Grundsatz „Datenschutz ist kein Tatenschutz“. Diese Rechtsprechung gerät indes zunehmend in Bedrängnis, was ein Revival der Beweisverwertungsverbote bewirken könnte. Derzeit können…
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.