Gerade in jungen Unternehmen ist es üblich, dass die Mitarbeiter eigene Geräte für berufliche Zwecke nutzen. BYOD (Bring Your Own Device) heißt das Stichwort. Was aber, wenn es zu einem Sicherheitsvorfall kam und die privaten Geräte der Mitarbeiter IT-forensisch untersucht werden müssen. Wäre dies zulässig?
Der Inhalt im Überblick
Das Kostenargument
Gerade für kleine Unternehmen ist es eine interessante Option: Bring Your Own Device, kurz BYOD. Dahinter steht der Gedanke, dass die Mitarbeiter ihre privaten Geräte beruflich nutzen. In der Start-Up-Szene ist das ein Quasistandard, in größeren Unternehmen eher die Ausnahme. Die Vorteile liegen auf der Hand. Der wohl wichtigste: es ist kostengünstig. Fast kein Arbeitnehmer, der beruflich viel am Rechner sitzt, hat zu Hause nicht wenigstens einen Laptop. Viel eindrücklicher wird es, wenn man sich die Smartphone-Statistiken anschaut. Laut Statista lag die Zahl der Smartphone-Nutzer in Deutschland 2019 bei rund 58 Millionen Menschen, Tendenz steigend. Dadurch reift auch bei Unternehmen der Gedanke, warum nicht diese Ressource fast zum Nulltarif zu nutzen.
Kosten sind nicht alles
Problematisch wird es aber, wenn Umstände nicht so laufen, wie sie sollten. Bedenken wir, die unterschiedlichen Geräte sind der Kontrolle des Unternehmens weitestgehend entzogen. Trotzdem werden auf ihnen zwangsläufig viele personenbezogene Daten und Geschäftsgeheimnisse oder wenigsten sensible Zahlen verarbeitet. An ein einheitliches IT-Sicherheitslevel ist nicht zu denken. Um die Anforderungen des Art. 32 DSGVO zu erfüllen, müssen sich die Verantwortlichen schon ziemlich viel einfallen lassen. Besonders heikel wird es, wenn es tatsächlich zu einem Datenschutzvorfall der schweren Sorte kommt. Dann ist der Verantwortliche gem. Art. 33 und 34 DSGVO in der Pflicht, den Vorfall aufzuklären. Es folgt die Verpflichtung zur Meldung an die Behörde und die Verpflichtung zur Benachrichtigung der Betroffenen. Abgesehen davon ist es für ihn zwingend, Vorkehrungen zu treffen, damit sich ein Vorfall dieser Art nicht wieder ereignet. Für alle diese Maßnahmen braucht er Informationen der BYOD-Geräte.
Private Geräte – und nun?
In der üblichen Konstellation – berufliche Geräte – berufliche Untersuchung des Verantwortlichen – ist eine IT-forensische Untersuchung in aller Regel kein Problem. Im Falle eines schweren Vorfalls ist sie ohnehin alternativlos. Dabei kommen zwei Rechtsgrundlagen in Frage. Der Verantwortliche kann sich gem. EG 49 auf sein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO oder, je nach Fall, auf § 26 Abs. 1 S. 1 oder S. 2 BDSG berufen. So weit, so gut. Aber was, wenn zur Aufklärung eines Vorfalls auf ein BYOD-Gerät zugegriffen werden muss? Das bringt nämlich eine neue Komponente mit ins Spiel: Das Eigentum des Mitarbeiters. Dieser kann, aus nachvollziehbaren Gründen, etwas dagegen haben, dass das Unternehmen sein privates Gerät untersucht.
Herausgabepflicht für den Mitarbeiter?
Eine Pflicht, sein Gerät herauszugeben, besteht für den betroffenen Mitarbeiter nicht. Natürlich kann das Gerät als Beweisstück beschlagnahmt werden. Aber so weit sind wir noch nicht. Bei Datenschutz- und IT-Sicherheitsvorfällen geht es mitunter um Minuten. Ein richterlicher Beschluss kommt daher oftmals zu spät. Ein Innentäter bspw. könnte Beweisdaten noch rechtzeitig beseitigen. Um es kurz zu machen: wenn der Mitarbeiter nicht mitspielt, hat das Unternehmen praktisch keine Möglichkeit, rechtzeitig an das Gerät zu kommen.
Technische Lösungsansätze
Ist eine Nutzung von BYOD trotz Sicherheits- und Datenschutzbedenken geplant oder umgesetzt, bedarf es einer vernünftigen Strategie. Diese setzt sich aus technischen und organisatorischen Maßnahmen zusammen und kann ein Risiko jedenfalls mindern. Technisch bieten sich Virtualisierungstechniken und Containerlösungen an. Letztere trennen private von beruflichen Daten. Das alleine reicht aber nicht. Informationen, die auf den Workstations oder Laptops verarbeitet werden, sind nur auf Netzwerklaufwerken des Unternehmens zu speichern. Dieses räumt sich für den Notfall einen technischen Zugang auf das Gerät ein, um dienstliche Inhalte im schlimmsten Fall sogar löschen zu dürfen. Aber auch der Zugriff aus der Ferne auf bestimmte Systemressourcen zum Zwecke IT-forensischer Untersuchungen sind ungemein wichtig.
Organisatorische Lösungsansätze
An dieser Stelle wird es auch schon organisatorisch. Ein solcher Zugang muss auch rechtlich belastbar sein. Das erfordert den Abschluss einer tauglichen Nutzungsvereinbarung. Wenn der Arbeitnehmer ein Zugriffsrecht nicht einräumen möchte, ist ihm ein Gerät zu stellen. Andernfalls bekommt das Unternehmen ein Problem mit der erforderlichen Freiwilligkeit. Denn die oben gennanten Rechtsgrundlagen stoßen an ihre Grenzen, wenn es um private personenbezogene Daten geht. Es ist nicht vermeidbar, diese bei einer IT-forensischen Untersuchung automatisch mitzuverarbeiten. D.h. bezogen auf diese Daten rechtfertigt nur eine Einwilligung das Vorgehen. Und diese setzt nun einmal die Freiwilligkeit voraus.
BYOD – eine sportliche Angelegenheit
Halten wir fest: bei BYOD gibt es Probleme mit der IT-Sicherheit, mit den Rechtsgrundlagen, mit dem Zugriff auf die Geräte und mit IT-forensischen Untersuchungen. Das sind keine Lappalien. Ein Unternehmen sollte sich also genau überlegen, ob die Kostenersparnis des BYOD diese Nachteile aufwiegt. Wenn ja, sind genaue Nutzungsregeln aufzustellen, um für Konfliktsituationen vorbereitet zu sein.
Es gibt noch zahlreiche andere Kriterien, die zu beachten wären: Sicherheitsbestimmungen, Qualitätskriterien, Lizenzbestimmungen, Garantiefragen für gewerblich genutzte Geräte, die für den Privathaushalt gedacht sind, usw. Im Arbeitsrecht hat es zu dieser Thematik bereits zahlreiche Verfahren gegeben. Wer all das nicht beachtet, nur weil er ein Start-up ist, der hat Pech gehabt. In etablierten Unternehmen gilt: Private Geräte haben im Dienst nichts zu suchen und dienstliche Geräte sind nicht privat zu nutzen.