Wie kann man ein Diensthandy datenschutzkonform nutzen?
Die Erreichbarkeit von Mitarbeitenden spielt eine große Rolle. Wenn diese im Unternehmen sind, ist das normalerweise kein Problem. Doch sind diese vermehrt im Home Office oder geschäftlich unterwegs, so kann das schon etwas komplizierter werden. Zu diesem Zweck erhalten Mitarbeitende oft Diensthandys, über die sie dann theoretisch 24/7 erreichbar sind. Diese Geräte und deren Nutzung fallen dann aber logischerweise unter den betrieblichen Datenschutz. Was es da zu beachten gibt, klären wir jetzt.
Private Nutzung
Im digitalen Zeitalter ist es relativ unüblich den Mitarbeitenden nur Geräte zur Verfügung zu stellen, mit denen man lediglich telefonieren kann. Viel mehr sind das Smartphones auf dem aktuellen Stand der Technik, mit denen man doch einfach mal was im Internet recherchieren, oder auf die privaten Mails zugreifen könnte. Aus Sicht des betrieblichen Datenschutzes ist das nicht immer ganz so einfach. Um als Unternehmer auf der sicheren Seite zu sein ist es daher essentiell, die private Nutzung zu klären und die Vereinbarung darüber hinweg schriftlich festzuhalten. Unter anderem kann es Sinn machen bestimmte Apps zu verbieten, bzw. deren Nutzung einzugrenzen.
Social Media, Apps und Messenger
Worauf sollte bei Apps und der Nutzung also geachtet werden? Grundsätzlich sollte immer geklärt sein, was das Ursprungsland einer solchen Applikation ist. Wenn diese außerhalb des EU- Auslandes entwickelt wurden, kann es auch sein, dass dort andere Nutzungsbedingungen vorherrschen, die nicht DSGVO konform sind. Ein Beispiel dafür wären die Programme des Konzerns Facebook (Meta), wie zum Beispiel WhatsApp. Die App erhebt Metadaten, wie beispielsweise das Nutzungsverhalten, die Geräteinformationen, den Standort, die IP-Adresse und die Telefonnummer. Diese werden an den Mutterkonzern geschickt. Zudem werden die lokal gespeicherten Kontakte synchronisiert. Das verstößt gegen die DSGVO und muss unterbunden werden. Daher stellt sich auch im betrieblichen Umfeld die Frage, ob nicht auf andere Kommunikationsmittel ausgewichen werden kann. Ist der Dienst aber aus irgendwelchen Gründen unverzichtbar, hat man die Möglichkeit WhatsApp den Kontaktzugriff zu verweigern. Eine weitere Alternative wäre es, auf WhatsApp Business oder die WhatsApp Business Plattform umzusteigen. WhatsApp Business biete den Vorteil, dass Sie hier einen sogenannten Auftragsverarbeitungsvertrag (AV-Vertrag) mit dem Konzern treffen können, mit dem Sie gewährleisten können, dass WhatsApp die Daten nur für Ihre Unternehmen verarbeitet und dies nicht für eigene Zwecke tut. Die Synchronisation der gespeicherten Kontakte bleibt aber leider bestehen, weshalb WhatsApp Business keine ganz passende Lösung bietet. Die sinnvollste Alternative vom Meta Konzern ist hier die WhatsApp Business Platform (ehemals WhatsApp Business API). Bei diesem Modell wird Ihnen die Möglichkeit gegeben den Auftragsverarbeitungsvertrag nicht direkt mit WhatsApp schließen zu müssen. Vielmehr haben Sie die Möglichkeit, sich einen Dienstleister auszusuchen, der Ihren Anforderungen entspricht. Wenn man also auf WhatsApp nicht verzichten kann, bietet die WhatsApp Business Platform den sichersten Weg. Im Allgemeinen ist bei solchen Apps zur Kommunikation aber auch darauf zu achten, dass diese Ende-zu-Ende verschlüsselt sind. Somit gibt es keine ungewollten „Mithörer“ oder „Mitleser“.
Sprachassistenten und Datenschutz
Heutzutage haben die meisten Smartphones auch sogenannte Sprachassistenzsysteme an Board, die den Alltag erleichtern können, indem sie unter anderem Erinnerungen und Notizen erstellen. Im Bereich der mobilen Endgeräte sind das primär Siri und der Google Sprachassistent. Die Hersteller werben hier mit Datenschutz und solange keine Aktivierung erfolgt („Hey Siri“ oder „ok, google“) so speichern sie auch keine Gespräche. Wird das Assistenzsystem aktiviert, wird die Anfrage an die Server gesendet. Grundsätzlich ein funktionierendes System, problematisch wird es nur, wenn diese Systeme versehentlich aktiviert werden, weil sie etwas ähnliches wie Ihre Aktivierungsworte gehört haben. Dann werden doch Tonaufnahmen mit den Servern synchronisiert. Unter Umständen können das dann auch interne Gespräche oder Kundentermine sein. Um das zu vermeiden, sollte auf einem Diensthandy auf Sprachassistenten verzichtet werden.
Sicherheit
Aus betrieblicher Sicht wäre es fatal, wenn unternehmensinterne Informationen und personenbezogene Daten an Außenstehende gelangen würden. Daher ist es wichtig, das Diensthandy mit einem sicheren Passwort oder Code zu schützen. So ist man auch im Fall eines Diebstahls oder Verlustes auf der sicheren Seite. Dabei ist darauf zu achten, dass es kein einfach zu erratendes Passwort ist. „1234“ oder „Passwort“ sind zwar eingängig und leicht zu merken aber auch leicht zu erraten. Den Entwicklern von Betriebssystemen fallen immer wieder Fehler auf, die im Zweifel dazu führen könnten, dass Hacker einen Weg auf Ihr Gerät finden. Zur Vermeidung werden regelmäßig Sicherheitsupdates bereitgestellt, die auch von den Mitarbeitenden zu installieren sind. Sonst ist die Sicherheit ihrer Daten nicht gewährleistet. Außerdem kann es hilfreich sein, regelmäßige Backups durchzuführen, um die Daten zu sichern.
Kontrolle der Auflagen
Der Schutz der Unternehmensdaten auf dem Diensthandy liegt in den Händen des Mitarbeitenden. Dem Arbeitnehmer steht es zu, die Einhaltung der Datenschutzauflagen auf dem Diensthandy zu kontrollieren. Sollte ein Handy für Zwecke genutzt werden, die nicht vereinbart waren oder nicht DSGVO konform sind, kann das schon mal zu einer Abmahnung führen.
Fazit
Diensthandys an Mitarbeitende heraus zu geben erleichtert die Kommunikation in vielen Bereichen. Insgesamt ist es aber mit Vorsicht zu genießen und im Voraus klar zu definieren, was mit dem Gerät gemacht werden soll und was nicht. Diese Regelungen sind dann mit den Mitarbeitenden zu kommunizieren.