Private Daten auf dienstlichen Geräten

Private Daten auf dienstlichen Geräten

In Beschäftigungsverhältnissen kommt es nicht selten vor, dass private Daten auf dienstlichen Geräten verarbeitet werden. Dabei ergeben sich allerdings auch im Zusammenhang mit dem Datenschutz zu bedenkende Aspekte. Welche sind sie? Gibt es Lösungen? Wenn ja, welche?

Wo können private Daten auftauchen?

Um diese Frage zu beantworten, kommt es u. a. darauf an, um welches Gerät es sich handelt. Ein Arbeitgeber stellt den Beschäftigten möglicherweise ein Mobiltelefon , einen Laptop, einen Drucker, externe Speichermedien etc. bereit. Dabei besteht die Möglichkeit, dass sich auf all diesen Geräten private Daten befinden können. Möglicherweise speichert ein Beschäftigter private Bilder auf einem dienstlichen USB-Stick, um sie später in einem Laden auszudrucken. Vom dienstlichen Mobiltelefon aus versendet er Nachrichten in privater Angelegenheit und nutzt dabei eventuell WhatsApp. Mithilfe des dienstlich bereitgestellten Druckgerätes, vervielfältigt der Beschäftigte Dokumente, die er für einen Antrag bei den Behörden benötigt.

Verarbeitung gemäß der DSGVO

So mag es sein, dass ein Arbeitgeber selbst gar kein Interesse daran hat, die privaten Daten der Beschäftigten einzusehen oder diese proaktiv zu verwenden. Art. 4 Nr. 2 DSGVO schließt bei der Definition der Verarbeitung jedoch u. a. Erhebung, Organisation und Speicherung von personenbezogenen Daten ein. – Mehr zum Begriff der Verarbeitung erfahren Sie in diesem Beitrag. – Wenn ein Beschäftigter also eine E-Mail mit privatem Inhalt erhält, hat der Arbeitgeber bzw. der Administrator eine Zugriffsmöglichkeit, die E-Mail wird in einer bestimmten Weise gespeichert, möglicherweise auch in einem Backup (weiterer Server, Cloud o. Ä.) abgelegt. Etwaige private Kopien landen vielleicht in einem Speicher für eine bestimmte Zeit, die der Arbeitgeber für solche Geräte definiert hat. Weitere Szenarien, inwiefern der Arbeitgeber die privaten Daten – eventuell ungewollt – verarbeiten könnte, gibt es natürlich.

Was ist zu beachten?

Wenn Beschäftigte private Daten auf dienstlichen Geräten verarbeiten, entstehen hauptsächlich für den Arbeitgeber als Verantwortlichen Risiken. Im Folgenden eine Auswahl der zu beachtenden Aspekte:

Rechtsgrundlage zur Verarbeitung dieser privaten personenbezogenen Daten

Bei der Verarbeitung von personenbezogenen Daten gilt ein Verbot mit Erlaubnisvorbehalt. Die Verarbeitung von personenbezogenen Daten ist also nur erlaubt, wenn eine Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO oder Art. 9 Abs. 2 DSGVO (bei personenbezogenen Daten besonderer Kategorien) vorliegt. Nun stellt sich allerdings die Frage, auf welche Rechtsgrundlage ein Arbeitgeber die Verarbeitung der privaten Daten stützt.

Sicherheit und Schutz der privaten personenbezogenen Daten

In jedem Unternehmen, jeder Einrichtung, jedem Verein, jeder Behörde etc. werden personenbezogene Daten verarbeitet. Folglich muss ein Verantwortlicher auch die Sicherheit der personenbezogenen Daten sicherstellen. Das bedeutet, dass er hierfür wieder wissen muss, welche personenbezogenen Daten vorliegen, um adäquate technische und organisatorische Maßnahmen ergreifen zu können. Wenn diese Daten private Daten umfassen, kann sich das als schwierig herausstellen. Wieder: Welche Rechtsgrundlage zieht er heran, um dies zu erfahren?!

Aufbewahrungsfristen und Löschvorgänge

Ein Verantwortlicher muss die Grundsätze der Verarbeitung personenbezogener Daten gemäß Art. 5 Abs. 1 DSGVO einhalten. Einer dieser Grundsätze zielt auf die Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DSGVO) ab. Dafür benötigt der Verantwortliche ein Löschkonzept, welches festlegt, wer wann welche wie zu löschen hat. Die Löschung von personenbezogenen Daten gilt gemäß der DSGVO auch als Verarbeitungstätigkeit. Also benötigt der Verantwortliche auch hier eine Rechtsgrundlage für die Verarbeitung. Da es sich um die privaten personenbezogenen Daten der Beschäftigten handelt, gibt es keine vorgegebenen Aufbewahrungs- oder Löschfristen. Wenn ein Verantwortlicher einen bestimmten Datensatz löscht, kann es demnach auch vorkommen, dass er die privaten Daten des Beschäftigten löscht – dieser wollte das möglicherweise gar nicht.

Datenschutz- und Sicherheitsvorfälle

Es ist nicht auszuschließen, dass es zu einem Datenschutz- und/oder Sicherheitsvorfall kommen kann. Bei solch einem Ereignis wäre es nicht auszuschließen, dass auch die privaten Daten betroffen sein könnten. Eine Schlussfolgerung wäre dabei auch, dass der Verantwortliche auch für diese Daten haften würde.

Unsere Empfehlung

Wir empfehlen die Verarbeitung privater Daten auf dienstlichen Geräten nicht. Der Grund hierfür ist u. a. das Risiko des Verantwortlichen in verschiedenen Situationen, so zum Beispiel im Fall eines Datenschutz- und/oder Sicherheitsvorfalls. Wie löst der Verantwortliche etwaige Vorwürfe eines (ehemaligen) Beschäftigten, dass der Arbeitgeber eventuell aktiv auf die Daten zugegriffen haben soll – z. B. den Vorwurf des Zugriffes auf private E-Mails im dienstlichen Postfach? Wie vermeidet der Verantwortliche, dass er nicht sogar für eine unrechtmäßige Verarbeitung personenbezogener Daten durch den Beschäftigten haftet? Zusätzlich sind dann weitere Gesetze wie das TTDSG zu beachten.

Um die Verarbeitung private Daten auf dienstlichen Geräten zu vermeiden, empfehlen wir, dies sowohl in expliziter Form – z. B, während der Sensibilisierung der Beschäftigten zum Datenschutz – als auch in einer entsprechenden Richtlinie zu kommunizieren. Sofern es umsetzbare technische Maßnahmen gibt, um die Verarbeitung privater Daten auf dienstlichen Geräten zu unterbinden, empfehlen wir auch dies.

Gern unterstützen und beraten wir Sie bei der Umsetzung dieser Maßnahme und auch der datenschutzrechtlichen Vorgaben. Kontaktieren Sie uns für ein kostenloses Erstgespräch und ein individuelles Angebot.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.