Bring Your Own Device

Wenn der Arbeitnehmer sein privates Gerät am Arbeitsplatz benutzt, besteht die Gefahr, dass seine persönlichen Daten, die er darauf bearbeitet, nicht klar von seiner geschäftlichen Tätigkeit getrennt sind. Will der Arbeitgeber Zugriff zu gewissen geschäftlichen Daten, kann nicht ausgeschlossen werden, dass auch ein Zugriff auf private Daten des Arbeitnehmers stattfindet, was zu einer Persönlichkeitsverletzung führen kann.

Für den Arbeitgeber besteht das Risiko, dass Dritte Zugriff auf geschäftliche Daten erhalten, wenn der Arbeitnehmer diese in seiner Freizeit bearbeitet (z. B. wenn das Gerät durch Familienmitglieder genutzt wird). Auch die Gefahr eines Verlusts oder Missbrauchs von Geschäftsdaten kann bei privater Nutzung höher sein. Die Sicherheit der Daten ist auch durch allfällige Manipulationen wie z. B. Jailbreaking (nicht-autorisiertes Entfernen von Nutzungsbeschränkungen) gefährdet. Und teilweise können gewisse Aufbewahrungspflichten nicht gewährleistet werden, wenn ausserhalb des Arbeitplatzes keine Backups erstellt werden.

Massnahmen

Zur Minimierung der Datenschutzrisiken bei einer geplanten BYOD-Nutzung sollten insbesondere folgende Punkte beachtet werden: 

  • Klare Nutzungsregelung (z.B. in Form einer schriftlichen Weisung), die besagt, was erlaubt ist und was nicht. Für die BYOD-Nutzung gilt aus datenschutzrechtlicher Sicht grundsätzlich das Gleiche wie für die Nutzung der elektronischen Infrastruktur am Arbeitsplatz.
  • Trennung von geschäftlichen und privaten Daten (technisch und logisch)
  • Gewährleistung der Datensicherheit (bspw. durch Verschlüsselungstechnik, Passwörter etc.)
  • Klare Regelung, wo die geschäftlichen Daten gespeichert werden (wenn möglich auf einem lokalen Server)
  • Genehmigungspflicht durch einen bezeichneten Verantwortlichen
  • Regelung des Zugriffs auf das Gerät durch den Arbeitgeber (bspw. zur Geräteüberprüfung, Fernwartung etc.)

Neben datenschutzrechtlichen Überlegungen, kommen bei der BYOD-Nutzung noch weitere Aspekte hinzu, die geklärt werden müssen: arbeitsrechtliche Fragen wie Arbeitszeitkontrolle und ständige Verfügbarkeit, Nutzung von Lizenzen, Haftungsfragen etc.

Alternativen

Corporate Owned Personally Enabled (COPE) könnte eine bessere Lösung für die Nutzung von Smartphones im Unternehmen sein: Anstatt geschäftliche Funktionen auf privaten Geräten laufen zu lassen, definiert COPE einen Handlungsrahmen zur privaten Nutzung von Firmengeräten. Die Firma wählt bevorzugte Geräte, kauft sie ein, und gestattet den Angestellten, einige persönliche Anwendungen darauf zu installieren und das Gerät auch privat zu nutzen. Als Besitzerin bestimmt die Firma die Benutzungsbedingungen und die Kostenlimite.

Eine Zwischenvariante lautet Choose Your Own Device (CYOD), bei der der Arbeitnehmende ein ‚offiziell‘ unterstütztes Gerät (mit oder ohne Kostenbeteiligung der Firma) kauft und die Firma die Konfiguration des Gerätes bestimmt. Änderungen der eingestellten Konfigurationen sind für den Arbeitnehmenden dann verboten.

Daneben gibt es noch die Möglichkeiten von Bring Your Own Connection (BYOC), bei der ein privates Handy als Hotspot eingesetzt wird, und Bring Your Own Software (BYOS), das sich auf portable Anwendungen beschränkt, für welche eine firmenweite einheitliche Regelung gelten sollte.

Schlussfolgerung

Der Entscheid über eine BYOD-Nutzung liegt bei der Firma. Vor der Einführung eines BYOD-Systems sollten sämtliche Vor- und Nachteile wie auch Alternativen genau geprüft und gegeneinander abgewogen werden. Wir erachten die BYOD-Nutzung aus Datenschutzsicht als heikel, vor allem was die Datensicherheit und die Abgrenzung zwischen privaten und geschäftlichen Daten betrifft. Die Trennung ist technisch schwierig zu realisieren. Eine logische Abgrenzung ist zudem allenfalls nicht ausreichend, um einerseits die geschäftlichen Daten zu schützen und andererseits den Zugriff auf private Daten durch den Arbeitgeber zu verhindern. Weiter stellen sich Fragen beim Zugriff auf die geschäftlichen Daten durch den Arbeitgeber, zum Beispiel wenn ein Gerät überprüft werden soll oder bei einer Fernwartung. Werden die Geräte jedoch durch den Arbeitgeber zur Verfügung gestellt (vgl. Alternativen), hat er in diesen Fragen einen weit grösseren Spielraum, da er die Art der Geräte, der Nutzung und der Software und Applikationen bereits vorgibt, weshalb aus unserer Sicht eine solche Lösung zu bevorzugen ist.

Weiterführende Informationen / Literatur:

https://www.edoeb.admin.ch/content/edoeb/de/home/datenschutz/handel-und-wirtschaft/unternehmen/bring-your-own-device.html