1. Neue Technik – neue Möglichkeiten
Telefonieren, Nachrichten schreiben, Musik hören, fotografieren, filmen, navigieren, Essen bestellen, shoppen, gamen, Filme schauen und so weiter – heutzutage gibt es kaum etwas, das man mit seinem Smartphone oder Tablet nicht machen kann. Die Geräte werden immer schneller und besser und sind aus dem Alltag kaum mehr wegzudenken. Kein Wunder also, dass sie immer häufiger auch im Arbeitsalltag anzutreffen sind. So nimmt der Kellner die Bestellung per Smartphone auf, die Patientenakte wird über ein Tablet aufgerufen oder die letzten Dokumente werden auf dem Heimweg im Zug auf dem Laptop bearbeitet. „Das Büro“ oder „die IT-Abteilung“ wie man sie früher kannte, gibt es heutzutage in der Form kaum noch. Das Vordringen der kleinen Geräte in den Arbeitsalltag kommt nicht von ungefähr. Die Nutzung mobiler Geräte kann nämlich sowohl für den Arbeitgeber als auch für den Arbeitnehmer eine Menge Vorteile mit sich bringen. Dennoch dürfen diese Vorteile und die „Win-Win-Situation“ nicht darüber hinwegtäuschen, dass es beim Einsatz mobiler Geräte im beruflichen Alltag einiges zu beachten gibt. Wird dies nicht beachtet, kann aus der „Win-Win-Situation“ ganz schnell eine „Lose-Lose-Situation“ werden. In manchen Fällen sogar wortwörtlich, zum Beispiel wenn der Arbeitnehmer das Gerät – und der Arbeitgeber gleichzeitig Firmengeheimnisse, sensible Daten und schlussendlich Kapital verliert. Im Folgenden wird daher im Einzelnen beleuchtet, welche Vorteile mobile Geräte im Unternehmen mit sich bringen, welche Risiken damit verbunden sein können, wie der Einsatz mobiler Geräte ausgestaltet werden kann, was bei deren Einsatz beachtet werden sollte und welche Möglichkeit es in der Praxis gibt, sämtlichen Anforderungen gerecht zu werden.
2. Neue Technik – neue Vorteile und Risiken
a. Vorteile mit Risiko
Wie oben bereits angerissen, kann die Nutzung mobiler Geräte im Arbeitsalltag ein Menge Vorteile auf Arbeitnehmer- wie auf Arbeitgeberseite mit sich bringen. Erstens gewinnt der Arbeitnehmer an Flexibilität. Sollten die Kinder mal krank sein, kann er notfalls von zuhause aus arbeiten oder er kann sich von Zeit zu Zeit stressige Wege durch den Berufsverkehr sparen. Außerdem hat er beim Kunden Zugriff auf sämtliche wichtige Informationen, wie Produktblätter oder Beispielvideos. Zweitens steigt seine Produktivität, indem er sich in Echtzeit mit seinen Kollegen abstimmen, Projekte planen und Dokumente bearbeiten kann – egal wo er sich befindet. Und drittens könnte es für einige Mitarbeiter auch motivierend wirken, anstatt mit einem alten Desktop-PC mit modernen Geräten zu arbeiten. Der Arbeitgeber wiederum profitiert von dieser Flexibilität und Produktivität. Zudem ist das Unternehmen nicht zwingend auf die eigenen Räumlichkeiten angewiesen, sondern kann sofern erforderlich für eine gewisse Zeit auf andere Räume ausweichen.
Doch der mobile Einsatz bringt auch Risiken mit sich, die es an einem festen Arbeitsplatz so nicht oder zumindest nicht in dieser Intensität gibt. Auf Arbeitnehmerseite geht es vorrangig um die eigene Privatsphäre. Je nach Nutzung können sich hochsensible Informationen auf den Geräten ansammeln, von denen in der Regel nicht gewünscht wird, dass der Arbeitgeber oder jemand Drittes Kenntnis davon nimmt. Doch auch die vermeintliche, ständige Erreichbarkeit, die durch mobile Geräte geschaffen wird, kann im Einzelfall zum Nachteil für den Arbeitnehmer werden, wenn er dadurch in seiner Freizeit nicht mehr abschalten kann.
Auf Arbeitgeberseite spielen vor allem Sicherheitsbedenken eine große Rolle. Denn sobald der Mitarbeiter seinen Arbeitsplatz mit dem mobilen Gerät verlässt, verlässt er in der Regel auch das Firmennetzwerk und nimmt Daten und Firmengeheimnisse gleich mit. Schutzmechanismen wie eine Firewall oder ein Netzwerk-Virenscanner greifen dann nicht mehr. Hinzu kommt, dass das mobile Gerät, welches überall mitgenommen werden kann, auch überall abhandenkommen kann. Sei es durch, Diebstahl oder Unachtsamkeit des Mitarbeiters. Vom Wert des eigentlichen Gerätes mal abgesehen, kann der Finder oder Dieb im schlimmsten Fall auf alle wichtigen Unterlagen und Daten zugreifen, womit die Vertraulichkeit und Integrität der Daten nicht mehr gewährleistet wäre. Je nach Sensibilität der Daten oder Geheimnisse drohen dann Bußgelder, Schadensersatzzahlungen und Imageschäden.
Angesichts der Tatsache, dass vermehrt mobile Geräte im Arbeitsalltag eingesetzt werden, muss es wohl eine Möglichkeit geben, diese Risiken zu minimieren. Die spannende Frage, die sich aufdrängt, ist wie dies in der Praxis geschieht.
b. Ausgestaltungsmöglichkeiten
Grundsätzlich kann man drei verschiedene Ausgestaltungsmöglichkeiten im Hinblick auf den Einsatz der mobilen Geräte unterscheiden. Zunächst gibt es die Möglichkeit, dass zwar mobile Geräte vom Arbeitgeber eingesetzt werden und diese vom Mitarbeiter auch mit außer Haus genommen werden dürfen, die private Nutzung jedoch gänzlich untersagt wird – die klassische Methode genannt. Dann gibt es die Möglichkeit des sog. COPE (Corporate-Owned, Privately Enabled). Auch in diesem Fall schafft der Arbeitgeber die Geräte an und überlässt diese dem Arbeitnehmer. Im Unterschied zur klassischen Methode wird der private Gebrauch, zum Beispiel das Streamen von Videos oder Musik oder die private Kommunikation, außerhalb der Arbeitszeit gestattet. Bei der dritten Ausgestaltungsmöglichkeit läuft es genau andersherum. Hierbei handelt es sich um die Vorgehensweise des sog. Bring Your Own Device (kurz: BYOD) – zu Deutsch: „Bring dein eigenes Gerät mit“. In diesem Fall bringt der Arbeitnehmer sein eigenes, privates mobiles Gerät mit zur Arbeit und nutzt es auch für berufliche Zwecke.
Alle drei Ausgestaltungsmöglichkeiten haben gemeinsam, dass bei ihnen die im vorigen Abschnitt beschriebenen Vor- und Nachteile und Risiken auftreten. Gerade bei COPE und BYOD überschneiden sich nämlich das Arbeits- und das Privatleben in einer besonderen Weise, was sich auch in den zu beachtenden Vorgaben und den zu treffenden Regelungen widerspiegelt.
Da auf beiden Seiten im Einzelfall hochsensible Bereiche betroffen sind – beim Arbeitnehmer seine Privatsphäre und beim Arbeitgeber Betriebsgeheimnisse – und das Arbeitsverhältnis ohnehin schon von einem ungleichen Kräfteverhältnis geprägt ist, gelten in Zusammenhang mit dem Einsatz von mobilen Geräten im Arbeitsalltag einige gesetzliche Regelungen, die es zu beachten gilt. So muss hinsichtlich der personenbezogenen Daten zum Beispiel die Datenschutz-Grundverordnung (kurz: DSGVO) oder hinsichtlich des Arbeitnehmerschutzes (sofern einschlägig) das Betriebsverfassungsgesetz (kurz: BetrVG) beachtet werden. Doch auch die Eigentumsverhältnisse, Entgeltvereinbarungen und weitere Bereiche müssen im Blick behalten werden.
c. Anforderungen
Je nach Wahl der Ausgestaltung bedarf es zur Beachtung sämtlicher Interessen und gesetzlicher Vorgaben mehrerer Dokumente, die die konkrete Situation näher regeln. In Betracht kommen hier Nutzungsvereinbarungen zwischen dem Arbeitgeber und dem jeweiligen Arbeitnehmer, eine datenschutzrechtliche Einwilligung (Art. 6 Abs. 1 lit. a DSGVO iVm Art. 7 DSGVO) und gegebenenfalls auch eine Betriebsvereinbarung, da die auf den mobilen Geräten zu installierende Anwendungen potenziell zur Überwachung des Arbeitnehmers geeignet sind (§ 87 Abs. 1 Nr. 6 BetrVG).
Für den Arbeitgeber bestehen darüber hinaus auch außerhalb des Verhältnisses zum individuellen Arbeitnehmer datenschutzrechtliche Verpflichtungen, für deren Erfüllung es unabdingbar ist, den Einsatz mobiler Geräte für alle Parteien klar und deutlich zu regeln. Denn unabhängig von den jeweiligen Eigentumsverhältnissen bleibt der Arbeitgeber Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO sofern auf dem Endgerät Verarbeitungen von personenbezogenen Daten zu betrieblichen Zwecken durchgeführt werden. Dies ist grundsätzlich bei sämtlichen genannten Ausgestaltungsmöglichkeiten zweifelsohne der Fall. Die Folgen dieser Einordnung sind, dass die Pflichten der DSGVO sich auf die jeweiligen Geräte und Verarbeitungen erstrecken. Neben der allgemeinen Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) sind hier angesichts der Risiken vordergründig die Meldepflichten im Fall einer Verletzung des Schutzes personenbezogener Daten (siehe Art. 33, 34 DSGVO) und die erforderlichen technischen und organisatorischen Maßnahmen (siehe Art. 32 DSGVO) betroffen.
Bezüglich der Erfüllung der erstgenannten Pflichten benötigt der Arbeitgeber zunächst die Information, dass eine solche Verletzung sich überhaupt ereignet hat. Diesbezügliche Informationspflichten des Arbeitnehmers können zum Beispiel ausdrücklich in einer Nutzungsvereinbarung festgelegt werden, die ohnehin aber auch als ungeschriebene Nebenpflichten des Arbeitnehmers aus seinem Arbeitsvertrag bestehen würden. Doch auch, ob und inwiefern Dritte (zum Beispiel Haushaltsangehörige des Arbeitnehmers) das mobile Gerät nutzen dürfen und können, kann in einer Nutzungsvereinbarung geregelt werden. Um die Vorgaben zu den technischen und organisatorischen Maßnahmen effektiv einhalten zu können, benötigt der Arbeitgeber eine Administrationsberechtigung für das mobile Gerät. Denn nur so kann er Maßnahmen implementieren und durchsetzen. Dies gilt sowohl für technische Maßnahmen wie eine Antivirus-Software, die Durchführung automatisierter Backups, die Ermöglichung von Fernzugriffen oder auch der Fernlöschung , als auch für die Durchsetzung von organisatorischen Maßnahmen, wie zum Beispiel des Verbots bestimmter Software (wie WhatsApp; beachten Sie dazu auch unseren Blogeintrag: https://skysystems-datenschutz.de/blog/whatsapp-what-else/), des Verbots der Nutzung von Auto-Ausfülloptionen und des Gebots der Verwendung sicherer Passwörter oder Codes.
3. Lösungsmöglichkeit: MDM
Eine gute Möglichkeit den widerstreitenden Interessen, die Privatsphäre des Arbeitnehmers auf der einen und das Sicherheitsinteresse des Arbeitgebers auf der anderen Seite, gerecht zu werden und dabei weiterhin die beiderseitigen Vorteile der Nutzung mobiler Geräte zu genießen, stellt der Einsatz eines Mobile Device Managements (kurz: MDM) dar.
Mobile Device Management ist die Inventarisierung und zentralisierte Verwaltung mobiler Geräte. Vereinfachend könnte man sagen, dass mithilfe eines MDM die mobilen Geräte wie gewöhnliche Desktop-PC verwaltet werden können. Charakteristische Funktionen und Merkmale eines MDM sind:
- Die Möglichkeit der Anwendung und Durchsetzung unternehmensinterner Sicherheitsrichtlinien auf den mobilen Geräten
- Die Möglichkeit der Fernlöschung im Falle des Verlustes des mobilen Gerätes zur Verhinderung unbefugten Zugriffs
- Die Möglichkeit des Unterbindens schädlicher Software und Webseiten
- Die Möglichkeit der Sicherung und gegebenenfalls Wiederherstellung der Daten auf dem mobilen Gerät
- Die Möglichkeit der Installation von Updates, Patches und Software
- Die Möglichkeit der zentralen Verwaltung von Zugriffsrechten
- Die Unterstützung verschiedener mobiler Geräte und verschiedener Betriebssysteme
- Die Unterstützung einer Containerlösung (bei COPE und BYOD)
Die auf dem Markt vorhandenen Systeme unterscheiden sich natürlich im Einzelnen nach Art und Umfang ihrer Funktionen. Bei der Wahl des passenden Systems sollten für die Unternehmen vor allem drei Kriterien ausschlaggebend sein – die erforderliche Sicherheit hinsichtlich der personenbezogenen Daten und Betriebsgeheimnisse, die gewünschte und benötigte Flexibilität und die Wirtschaftlichkeit der Anschaffung und Nutzung eines solchen Systems. Logischerweise variiert dementsprechend das passende MDM-System von Unternehmen zu Unternehmen.
Außerdem sollten oder müssen an der Planung zur Anschaffung eines MDM angesichts der vielfältigen Berührungspunkte optimalerweise verschiedene Parteien, wie (sofern vorhanden) die Geschäftsführung, die IT-Abteilung, der Datenschutzbeauftragte, der Betriebsrat und die Abteilungsleiter der betroffenen Abteilungen, beteiligt werden (vgl. Art. 38 Abs. 1 DSGVO).
Sofern das passende MDM-System gefunden wurde, muss beachtet werden, dass die Zugriffsmöglichkeiten, Datenverarbeitungen und die damit zusammenhängenden Richtlinien transparent mit den Benutzern der Geräte kommuniziert und in der Regel auch schriftlich festgelegt werden. Denn während der Einsatz eines MDM-Systems überwiegend auf technischer Ebene die Einhaltung datenschutzrechtlicher Vorgaben ermöglicht, gilt es auch auf organisatorischer Ebene die jeweils erforderlichen zivil-, arbeits- und datenschutzrechtlichen Vorgaben mittels Vereinbarungen und Einwilligungen einzuhalten.
Denn nur so kann die „Win-Win-Situation“ auch eine solche bleiben und können sowohl Arbeitnehmer als auch Arbeitgeber in den Genuss des technischen Fortschritts kommen.