Nach dem Bundesdatenschutzgesetz (BDSG) bleibt ein Unternehmen als so genannte „verantwortliche Stelle“ (§ 3 Abs. 7 BDSG) auch dann für die ordnungsgemäße Verarbeitung personenbezogener Daten haftungsrechtlich verantwortlich, wenn diese Verarbeitung auf privaten Smartphones oder Tablets der Beschäftigten stattfindet. Ohne vorhergehende Vereinbarungen zwischen Unternehmen und Beschäftigten bestehen aber nur eingeschränkte Möglichkeiten, technische und organisatorische Vorgaben zur sicheren Datenverarbeitung auf Privatgeräten zu treffen und diese letztlich auch durchzusetzen. Aus Unternehmenssicht zielen technische Maßnahmen und schriftliche Regelungen mit den Beschäftigten darauf ab, Haftungsprobleme zu vermeiden und mögliche Konflikte beispielsweise mit dem Fernmeldegeheimnis zu entschärfen. Zur Meidung späterer Rechtsstreitigkeiten ist grundsätzlich zu empfehlen, bereits zu Beginn eine unternehmensinterne Regelung zur Haftungsverteilung zwischen Arbeitnehmer und Arbeitgeber in Form einer Betriebsvereinbarung (bei vorhandenem Betriebsrat), der IT-Richtlinie oder einer individuellen Vereinbarung zu treffen. Als zentrale Anforderung einer BYOD-Strategie gilt es, private und geschäftliche Daten möglichst klar voneinander zu trennen. Aus Sicht des Unternehmens gilt es, den unkontrollierten Datenabfluss über privat genutzte Cloud-Dienste wie Dropbox oder die Weiterleitung geschäftlicher E-Mails über private E-Mail-Konten zu verhindern oder möglichst zu erschweren. Dabei bedürfen insbesondere vom Anwender unkontrollierte, daher unbewusst ausgelöste Prozesse einer besonderen Aufmerksamkeit, da ein Mitarbeiter durch sein Arbeitsverhältnis zur Wahrung von Firmengeheimnissen verpflichtet ist. Aus Mitarbeitersicht muss die Privatsphäre in Form privater Daten, Apps und deren Konfiguration wie auch die Hoheit über das Privatgerät gewahrt bleiben. Dies lässt sich im Zuge erforderlicher administrativer Maßnahmen durch die Unternehmens-IT je nach eingesetzten Verwaltungswerkzeugen mal mehr, mal weniger gewährleisten. Potentielle Konfliktbereiche für den Mitarbeiter gilt es daher herauszuarbeiten, transparent zu dokumentieren und gegebenenfalls in schriftlichen Nutzungsregelungen aufzunehmen.

Datentrennung auf Endgeräten