Nicht erst seit Home Office ist es ein großes Problem, wenn private und geschäftliche Daten auf Geräten durchmischt werden. Verwenden Mitarbeiter private Geräte zu beruflichen Zwecken, passiert dies aber regelmäßig. Das hat dann erhebliche Folgen für beide Seiten.
Als der Verantwortliche behält man die volle Verantwortung für den Schutz der Daten, hat aber nicht das Recht, diesen auf dem Gerät des Mitarbeiters zu überprüfen oder Maßnahmen durchzusetzen. Kurz gesagt: Die Pflichten bleiben, aber man verliert die Kontrolle.
Der Mitarbeiter begibt sich aber ebenfalls auf sehr dünnes Eis. Private Datenverarbeitung ist nicht Bestandteil des Gültigkeitsbereichs der DSGVO.
Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten
Art. 2 Abs. 2 DSGVO
…
c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten
…
Hier sind die Begriffe persönlich und familiär sehr eng zufassen. Private Kontakte, Daten von Familie und Freunden fallen in diesen Bereich, auch wenn keine verwandtschaftlichen Beziehungen bestehen. Werden diese Daten mit geschäftlichen Daten durchmischt, besteht diese „Haushaltsausnahme“ nicht mehr. Dann nutzt der Mitarbeiter die Daten gewerblich und die DSGVO und andere Datenschutzgesetze greifen voll. Das bedeutet, dass eine private Person eine gewerbliche Datennutzung betreibt (auch wenn damit kein Cent verdient wird) und Verstöße genau wie bei Unternehmen geahndet werden. Hier sind zwar nicht Millionenschwere Bußgelder zu befürchten, aber es wurden schon mehrfach Bußgelder zwischen 1000 und 1500 Euro gegen Privatpersonen verhängt.
Es haben folglich beide Seiten, Arbeitgeber und Arbeitnehmer ein Interesse daran, die Daten streng zu trennen und jede Durchmischung zu vermeiden.
Deshalb rate ich grundsätzlich, auf jegliche Form von BYOD zu verzichten.
- Keine dienstliche Nutzung privater Geräte (auch nicht im Home Office)
- Keine private Nutzung dienstlicher Geräte
In diesem Zusammenhang möchten ich darauf hinweisen, dass man besonders bei Smartphones darauf achten muss, keine personenbezogenen Daten in Drittländer zu übertragen. Dies betrifft nicht nur WhatsApp, sondern auch die Datensicherungsdienste von Apple und Google.
Dass WhatsApp nicht sinnvoll datenschutzkonform genutzt werden kann, haben die Aufsichtsbehörden bereits mehrfach betont. Aber nicht nur dort werden Daten in die USA übertragen. Apple und Google sichern einem nicht zu, dass die Daten des Gerätes innerhalb der EU bleiben. Als Folge davon muss davon ausgegangen werden, dass die Daten in ein Land mit niedrigerem Schutzniveau (hier besonders die USA) übertragen werden. Darum sind deren Datensicherungsdienste zu deaktivieren.