Äpfelliebhaber wissen es schon lange, Smartphones und iPhones im Besonderen sind super und werden darüber hinaus immer beliebter. Laut einer Studie des Branchenverbandes Bitkom, besaß bereits Ende 2010 jeder fünfte Handynutzer ein Smartphone. In einer weiteren Studie prognostiziert Bitkom eine Steigerung des Smartphone-Absatzes für das Jahr 2011 von 39 Prozent. Auch Unternehmen gehen derzeit nach und nach dazu über, ihren Mitarbeitern anstatt eines herkömmlichen Mobilfunkgerätes ein Smartphone bereitzustellen. Was aus Arbeitnehmergesichtspunkten natürlich gut ist, bringt aus Sicht des Arbeitgebers jedoch Probleme im Hinblick auf Datenschutz und IT-Sicherheit in Unternehmen mit sich.
Der Inhalt im Überblick
Risikomanagement bzgl. IT-Sicherheit ist Pflicht
Der Arbeitgeber ist gemäß § 91 Absatz 2 AktG dazu verpflichtet, Risikomanagement zu betreiben. Dazu dient auch Risikomanagement im Hinblick auf IT-Sicherheitsrisiken.
Nach der Gesetzesbegründung gilt diese Verpflichtung auch für GmbHs. Geschäftsführungsmitglieder, welche diese Pflicht verletzen, machen sich gegenüber der Gesellschaft schadensersatzpflichtig (§ 93 Absatz 2 AktG, § 43 Absatz 2 GmbHG).
Neue Technik, neue Risiken
Da ein Smartphone ein Hybrid aus Mobilfunkgerät und PC darstellt, ergeben sich insoweit zum Teil die gleichen Probleme, genannt sei an dieser Stelle beispielsweise die private Internetnutzung mittels betrieblicher PCs.
Gleichwohl ergeben sich auch weitere Herausforderungen, welche über den Betrieb herkömmlicher Mobilfunkttelefone hinausgehen. Hilfreiche Allgemeinhinweise gibt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) an verschiedenen Stellen.
Datenschutz gilt auch für Smartphones
§ 9 BDSG verlangt organisatorische und technische Maßnahmen zum Datenschutz, dabei ist es gleichgültig ob sich diese auf einem PC oder einem iPhone befinden. So hatten wir bereits jüngst darüber berichtet, dass iPhone-Apps ihre Nutzer ausspionieren, es sind darüber hinaus jedoch auch Apps denkbar, welche weit mehr Daten ausspionieren als bloße Nutzungsdaten, denn Wirtschaftsspionage ist bereits jetzt existent.
Was sollte in einer Nutzungsvereinbarung geregelt werden?
Aufgrund der Komplexität können nicht alle Regelungen samt Inhalten erschöpfend dargestellt werden, zumal die Regelungen je nach gewünschten Inhalt im Detail variieren können. Daher konzentrieren wir uns vorliegend auf stichwortartige Darstellungen (von wegen Betriebsgeheimnis und so…).
Zu folgenden Punkten sollte eine Nutzungsvereinbarung für Smartphones Regelungen bereithalten:
- Mindestsicherheitseinstellungen
- Grundkonfigurationen
- Fernlöschung
- Installation von Herstellerupdates
- Installation von Fremdprogrammen (ggf. Blacklist/Whitelist)
- Zugriffseinschränkungen von Apps (z.B. Ortungsdienste)
- Aushebeln von Smartphone-Sperren (z.B. Jailbreak)
- Einzelverbindungsnachweise
- Rechnungskontrollen (Voraussetzungen und Inhalt)
- Tarifinhalte, Kosten, kostenauslösende Dienste
- Datenlöschung bei Rückgabe oder Defekt
- Weitergabe der dienstlichen Telefonnummer
- Nutzung von SMS-Diensten
- Nutzung von FAX-Diensten
- Nutzung von E-Mail und Internet (privat und betrieblich)
- Nutzung von Telefon-Diensten
- Geräteverlust
- Verlust der SIM-Karte
- Passwortspeicherungen im Handy
- Komplexitätsanforderungen an verwendete Passworte (herstellerabhängig)
- Nutzung/Konfiguration Mailbox
- Aufbewahrung des Smartphones
- Weitergabe des Smartphones
- Nutzungshinweise (z.B. Umfeld)
- Verhaltensgrundsätze (z.B. Abruf von Pornographie)
- ggf. Freiwilligkeitsvorbehalt (bzgl. Privatnutzung und Geräteüberlassung)
Papiertiger beißen nicht
Damit Nutzungsregelungen jedoch keine bloßen Papiertiger bleiben, sind unternehmensseitig die dazugehörigen Strukturen und Prozesse zu schaffen. Denn es muss für den Arbeitnehmer und die IT von vornherein klar sein, was beispielsweise für Schritte zu unternehmen sind, wenn ein Gerät verlorengegangen ist. Falls ein Betriebsrat vorhanden ist, so dürften diese Regelungen zudem als Ordnungsverhalten mitbestimmungspflichtig sein.
Jemand der Ihnen bei den zu beachtenden Punkten bestimmt hilfreich zur Seite stehen kann, ist Ihr betrieblicher Datenschutzbeauftragter.