Allgemein

Datenschutz bei dem Einsatz von App & Smartphone

26. Juni 2020, von Silvia C. Bauer, Service Line IP/IT, Rechtsanwältin und Partnerin, Luther Rechtsanwaltsgesellschaft mbH und Heidi Schuster, Datenschutzbeauftragte, Max-Planck-Gesellschaft zur Förderung der Wissenschaften e.V.

Risiken für Unternehmen im mobilen Alltag minimieren. Die Zeiten werden digitaler, der Arbeitsalltag mobiler: Mitarbeiter arbeiten im HomeOffice, während ihrer Geschäftsreise oder sind auf an verschiedenen Orten verteilt. Die Welt vernetzt sich. Die Herausforderungen für Unternehmen werden dadurch nicht kleiner. Neben den technischen Anforderungen an die Hardware ist auch zu entscheiden, welche Apps im Unternehmen sinnvoll und vor allem datenschutzkonform eingesetzt werden können und wie der Einsatz rechtlich korrekt kontrolliert werden kann.

Schöne neue Welt: Zugriff von überall

Es ist fast schon eine Selbstverständlichkeit, dass der Geschäftsführer von überall auf die neuesten Geschäftskennziffern zugreifen kann, der Handwerker das Abnahmeprotokoll digital erstellt oder der Verbraucher den Erhalt eines Pakets digital bestätigt.

Möglich wird dies durch die Vernetzung von mobilen Endgeräten mit den im Unternehmen bestehenden Anwendungen, die wiederrum einen Zugriff auf die Unternehmensdaten erlaubt.

Dies setzt voraus, dass Unternehmen die entsprechenden technischen Voraussetzungen schaffen. Daneben müssen auch Entscheidungen getroffen werden, welche mobilen Anwendungen wie zum Einsatz kommen sollen.

Eine Entscheidung: Rein geschäftlich oder auch privat?

Auch wenn es fast ein alter Hut ist: Unternehmen müssen aufgrund der bislang weiter risikobehafteten Rechtslage entscheiden, ob sie nur die geschäftliche oder auch die private Nutzung der geschäftlichen Geräte zulassen wollen. Jedenfalls sind dazu Regelungen, die den Umfang der privaten Nutzung und die Kontrollmöglichkeiten bzw. Verwertungsmöglichkeiten der Daten festlegen, zu treffen. Wird gar die Entscheidung getroffen, dass BYOD erlaubt ist, müssen noch wesentlich umfangreichere Richtlinien, die auch die Kostentragung, Löschung von Daten oder auch die Wartung der Geräte beinhalten, vereinbart werden. Existiert ein Betriebs- oder Personalrat, ist dieser einzubinden bzw. in der Regel wird eine entsprechende Betriebs- bzw. Dienstvereinbarung geschlossen, die insbesondere Risiken zu umfassender Kontrollen der Mitarbeiter minimieren sollen.

Welche Apps von welchem Anbieter sollen genutzt werden?

Unternehmen kommen nicht umhin ein Mobile Device Management auf den genutzten Geräten zu installieren, da sie ihre unternehmenseigenen Crown Juwels und auch die jeweils gespeicherten personenbezogenen Daten vor Missbrauch, Verlust oder anderen Risiken schützen müssen. Dies umfasst auch die Kontrolle, welche Apps genutzt werden dürfen. Teilweise sind diese kostenpflichtig, teilweise erleichtert deren Nutzung den Arbeitsalltag – fraglich ist allerdings, welche darunterfallen: Die App der Deutschen Bahn oder auch What’s App? Was ist noch geschäftliche Nutzung und was eher Spaß?

Erfahren Sie mehr zu diesem Thema auf der diesjährigen IDAOCN – der Kongress für Datenschutz

Feiern Sie mit uns 20 Jahre IDACON! Das Jubiläums-Programm der IDACON wird Sie mit aktuellen Vorträgen und Top-Speakern begeistern. Freuen Sie sich auf neues Wissen, viele Impulse, neue Kontakte und die Diskussionen auf Augenhöhe.


Jetzt weiter zum Programm

Risiko: Cloudanbieter mit Sitz im Drittland

Insbesondere bei der Nutzung der Apps international tätiger Anbieter ist Vorsicht geboten, da nicht immer die geschäftliche Nutzung erlaubt ist und der Transfer in einen unsicheren Drittstaat ggf. nicht im Einklang mit der DSGVO umgesetzt werden kann. Damit ist hier sorgfältig abzuwägen, welche Apps erlaubt werden.

Wird ein Cloud-Anbieter eingesetzt, ist zudem zu prüfen, ob daneben die nach DSGVO erforderlichen Anforderungen an Auftragsverarbeiter oder Joint-Controller eingehalten werden und die erforderlichen Verträge abgeschlossen werden können. Insbesondere der Einsatz von Subunternehmern durch den Cloud-Anbieter oder die fehlende Weisungsgebundenheit können hier ein erhöhtes Risikopotential bergen.

Eigenentwickelte Apps als Lösung?

Mitunter macht es Sinn, eine eigene App zu entwickeln, um einen mobilen Zugriff auf die vom Unternehmen genutzten nicht-mobilen Anwendungen zu ermöglichen. Dann muss geprüft werden, ob und welche Schnittstellen erforderlich sind bzw. ob die Anbindung so ohne Weiteres technisch überhaupt möglich ist. Zudem sind hier die Anforderungen an die Datensicherheit und u.a. des Privacy by Designs and Default oder auch die Empfehlungen der Datenschutzaufsichtsbehörden zu berücksichtigen.

Fazit

Der Einsatz von mobilen Geräten und Apps ist in der heutigen Zeit nicht mehr wegzudenken; Unternehmen sollten sich der Risiken bewusst sein und prüfen, welche Geräte und Anwendungen sinnvoll in die eigene IT-Infrastruktur eingebunden werden können. Daneben sind Richtlinien zum Umgang mit mobilen Szenarien und der Kontrolle der Einhaltung durch die Mitarbeiter zwingend geboten.

Die Autorinnen

Silvia C. Bauer, Service Line IP/IT, Rechtsanwältin und Partnerin, Luther Rechtsanwaltsgesellschaft mbH und Heidi Schuster, Datenschutzbeauftragte, Max-Planck-Gesellschaft zur Förderung der Wissenschaften e.V.

Silvia C. Bauer ist Rechtsanwältin und Partnerin der Luther Rechtsanwaltsgesellschaft mbH. Schwerpunkt ihrer Tätigkeit ist unter anderem die datenschutz- und IT-rechtliche Beratung von international tätigen Unternehmen. Sie ist auch als Datenschutzbeauftragte für mehrere Unternehmen bestellt. Daneben veröffentlicht sie im Bereich des Datenschutzrechts und hält regelmäßig Vorträge.

Heidi Schuster ist Juristin und Datenschutzbeauftragte der Max-Planck-Gesellschaft zur Förderung der Wissenschaften e.V.. Sie ist Lehrbeauftragte an der Hochschule München für Datenschutz, Telekommunikations- und Telemedienrecht und hält regelmäßig Fachvorträge zu diesen Themengebieten.

Erfahren Sie mehr zu diesem Thema auf der diesjährigen IDAOCN – der Kongress für Datenschutz

Feiern Sie mit uns 20 Jahre IDACON! Das Jubiläums-Programm der IDACON wird Sie mit aktuellen Vorträgen und Top-Speakern begeistern. Freuen Sie sich auf neues Wissen, viele Impulse, neue Kontakte und die Diskussionen auf Augenhöhe.


Jetzt weiter zum Programm

Das könnte Sie auch interessieren:

Allgemein

Der risikobasierte Ansatz in der DSGVO

16.09.20, von Dr. Markus Pfeifer

Der risikobasierte Ansatz in der DSGVO

Mit der DSGVO sollten einheitliche Regelungen geschaffen werden. Trotz dieser Ausrichtung ist die DSGVO kein starres „One Size fits all“-Modell. Der Europäische Gesetzgeber sieht mit dem risikobasierten Ansatz die Verhältnismäßigkeit zwischen dem Risiko einer Datenverarbeitung einerseits und den zu ergreifenden Schutzmaßnahmen andererseits als grundlegendes Prinzip in der DSGVO vor. Obwohl sich dieser Grundsatz in der DSGVO an verschiedenen Stellen zeigt, ist es nicht gelungen, dieses Prinzip konsequent umzusetzen. Weiterlesen