Fazit
Gestatten Unternehmen die Nutzung privater Smartphones für das Unternehmen, bleiben sie haftungsrechtlich für die Datenverarbeitung auf diesen Geräten verantwortlich, haben aber im Zweifel keine Möglichkeit, auf das Gerät zuzugreifen. Sollen in einem Unternehmen dennoch auch private Smartphones eingesetzt werden, ist aus rechtlicher Sicht eine vorherige Regelung mit den Beschäftigten zu treffen, um eine noch vertretbare Balance zwischen Haftungsrisiken einerseits und Vorteilen aus der Verwendung privater Smartphones andererseits zu finden.
Wie sich die Vereinbarungen zum geschäftlichen Einsatz privater Geräte auch mit technischen Maßnahmen unterstützen lassen, hängt einerseits von den Smartphone-Modellen ab, die im IT-Kontext akzeptiert werden und andererseits von der ausgewählten Lösung zum Mobile Device Management. BYOD lässt sich heute nicht generell und mit beliebigen Geräten ohne Sicherheitsrisiko für das Unternehmen oder Datenschutzbedenken gegenüber dem Beschäftigten umsetzen. Die meisten Möglichkeiten bieten heute noch die Verwaltungsfunktionen von iPhone und iPad, die Apple seinen Geräten seit iOS 5 von Haus aus mit auf den Weg gibt. Den konsequentesten Ansatz zum Trennen privater und geschäftlicher Daten auch für Android und Windows Phone findet sich heute bei den Produkten des Unternehmens Good Technology. Aber auch diese Lösung passt nicht auf jede Unternehmenssituation und sollte daher vor einem Einsatz genau geprüft werden.
Unabhängig von der letztlich eingesetzten technischen Lösung sollten zusammen mit den Datenschutzvereinbarungen alle IT-Aktivitäten auf Privatgeräten genau und für den Mitarbeiter transparent dokumentiert werden. Durch die Dynamik dieser Aufgabe empfiehlt es sich einen effektiven und pflegeleichten Dokumentationsprozess zu etablieren. Dieser kann z.B. auch Teil eines "mobilen" Intranets des Unternehmens sein.
Über die Autoren:
Dr. Sebastian Kraska (http://www.iitr.de) ist Rechtsanwalt, Externer Datenschutzbeauftragter und auf den Bereich des betrieblichen Datenschutzrechts spezialisiert. Er betreut gemeinsam mit einem Team von Regionalpartnern Unternehmen im gesamten Bundesgebiet als externer Datenschutzbeauftragter.
Peter Meuser hat sich als unabhängiger IT-Berater auf mobile Lösungen für den Unternehmenseinsatz spezialisiert und unterstützt Firmen bei der Strategieentwicklung, herstellerneutralen Produktauswahl und Lösungsimplementierung. Weitergehende Infos zum Thema und den direkten Kontakt unter http://www.itlab.de.
Kontakt:
IITR Institut für IT-Recht - IITR GmbH, Tel.: 089 51303920, E-Mail: email@iitr-de