Gemischte (private und geschäftliche) Nutzung privater und geschäftlicher Geräte
Bei kleineren – gelegentlich auch etwas größeren – Unternehmen werden häufig Lösungen gesucht, die den Arbeitsablauf erheblich erleichtern sollen. Oft stellt sich jedoch später heraus, dass diese mit erheblichen datenschutzrechtlichen Risiken belastet sind. WhatsApp ist hier immer noch ein beliebtes Stichwort. Sind die Mitarbeiter dann auch noch freundschaftlich miteinander verbunden, verschwimmen oft die Grenzen privater und dienstlicher Kommunikation. Dieser Beitrag soll erläutern, was bei geschäftlichen Regelungen über private Smartphones zu beachten ist.
BYOD, COPE, CYOD oder doch noch etwas anderes?
Hinter den Begriffen BYOD (Bring Your Own Device), COPE (Corporate Owned, Personally Enabled) und CYOD (Choose Your Own Device) stecken Mischformen der privaten und geschäftlichen Nutzung mobiler Geräten. Beim BYOD wird ein privates Gerät auch geschäftlich genutzt, es besteht z. B. ein Zugriff auf die geschäftlichen Daten. Bei COPE und CYOD werden dienstliche Geräte auch privat genutzt.
Private oder dienstliche Kommunikation?
Wie aber beurteilt sich der Fall, wenn – vor allem bei kleinen Betrieben – das BYOD nur einem sehr beschränkten Ausmaß genutzt wird? Bei der Nutzung des Internets erfolgt die Abgrenzung anhand der arbeitsrechtlich geschuldeten Leistung. Besteht ein Bezug zwischen Arbeit und Kommunikation, ist von der geschäftlichen Nutzung auszugehen – und umgekehrt.
Die geschäftlich veranlasste Privatkommunikation, d. h. die private Mitteilung mit Bezug zum betrieblichen Umfeld, wird der geschäftlichen Kommunikation gleichgestellt. Beispiele hierfür sind eine kurzfristige Abstimmung im Rahmen des Schichtdienstes oder kurzfristige Absprachen bezüglich Vertretungen. Ob andere Themen, wie beispielsweise Absprachen bezüglich einer Mitfahrgemeinschaft, auch noch darunter fallen, ist offen.
Wo liegt das Problem?
Wie ist die Situation somit datenschutzrechtlich einzuschätzen, wenn das private Handy nicht in die IT-Infrastruktur eingebunden ist und kein Zugriff auf Firmenmails oder das Firmennetzwerk erfolgt? In einem solchen Fall spielen die typischerweise genannten Sicherheitsaspekte letztlich gar keine Rolle.
Hier stecken dennoch zwei Probleme:
– Zum einen die Nutzung der privaten Nummern. Werden private Nummern den übrigen Kollegen zur Verfügung gestellt (bspw. als Aushang, im Intranet), muss eine freiwillige (?) Einwilligung eingeholt werden. Mit der Einwilligung besteht ein erheblicher Dokumentationsaufwand und ebenso sind die anderen Risiken zu beachten. Bei der Kommunikation in einer Gruppe muss immer bedacht werden, dass der Austausch u. U. dann nicht zulässig ist, wenn einige Mitarbeiter ihre Einwilligung nicht erteilen – aus welchen Gründen auch immer.
– Ein anderes Problem ist die genutzte Kommunikationsplattform. Noch immer ist WhatsApp ein beliebter Messenger-Dienst, und das obwohl die datenschutzrechtliche Problematik inzwischen weithin bekannt sein dürfte.
Keine pragmatischere Lösung in Sicht
Nützlich wäre an dieser Stelle ein pragmatischer Vorschlag, doch ist derzeit keine Umgehungsmöglichkeit ersichtlich. Die Einholung der Einwilligung wird erforderlich sein, wenn die private Nummer für die dienstliche Kommunikation genutzt wird. Außerdem ist eine datenschutzkonforme Nutzung von WhatsApp nicht möglich.
Aus diesem Grund muss von einer Nutzung von WhatsApp im unternehmerischen Umfeld unbedingt abgeraten werden.