Smartphones vs. Datenschutz – das Interview

Datenschutzproblem Handyapps
Datenschutzproblem Handyapps

Oft haben wir im Jahr 2012 über Datenschutz und Datensicherheit geschrieben. Themen, wie die Sicherheit von Online-Datenspeichern und der Umgang mit persönlichen Daten in Social Networks, waren Dauerbrenner. Was für Privatnutzer eine Frage der persönlichen Einstellung ist, kann für Firmen allerdings rechtliche Relevanz haben. Daher beleuchten wir in diesem Artikel die Frage, ob es aus datenschutzrechtlichen Gründen überhaupt problemfrei möglich ist, den gewerblichen Einsatz von mobilen Geräten für die Datenverarbeitung zu gestatten und was man dabei beachten muss.

Da wir selbst keine Spezialisten im Bereich Datenschutz sind, haben wir für diesen Artikel einen Experten gesucht. Freundlicherweise hat sich Claus Michael Sattler (Sachverständiger und Gerichtsgutachter für Datenschutz, ausgebildet nach dem Ulmer-Modell) bereit erklärt, unsere Fragen zu beantworten.

Die Ausgangssituation

In den meisten Firmen ist es heute Realität, dass die Mitarbeiter Smartphones und/oder Tablet-PCs nutzen. Entweder kommen ihre privaten Geräte zum Einsatz (Stichwort: bring your own device) oder aber Geräte, die Ihnen von ihrem Arbeitgeber zur Verfügung gestellt wurden. Mit diesen Mobiles rufen Sie ihre E-Mails ab und meist werden die Adressbücher und Kalender aus dem Unternehmen synchronisiert.

Für die Synchronisation dient entweder ein firmeneigener Mail-Server oder ein externer Mailservice (wie zum Beispiel unser Zimbra-Service oder Office 365 von Microsoft). Oft, gerade bei Tablet-PCs, finden auch Firmendateien ihren Weg auf die mobilen Geräte. Zum Beispiel, indem Sie in einen WebDAV-Speicher oder in einen Dienst wie Dropbox gelegt werden.

Darüber hinaus finden sich auf den meisten Smartphones noch weitere Apps, wie beispielsweise Facebook, Twitter oder Messenger wie WhatsApp und diverse Spiele.

Gemeinsam mit Herrn Sattler werde ich die berufliche Nutzung von privaten Smartphones und Tablet-PCs Stück für Stück erörtern.

Marco: Herr Sattler, ist es datenschutzrechtlich bedenklich seine E-Mails, Termine und Adressbücher mit Mobilgeräten zu synchronisieren, wenn die Daten auf einem firmeneigenen Mail-Server liegen?

Herr SattlerBevor ich auf die Fragen eingehe, möchte ich festhalten, dass meine Stellungnahmen keine juristische Beratung im eigentlichen Sinne sind, sondern meine Auffassungen als Gutachter darstellen. Juristische Beratung im eigentlichen Sinne ist ausschließlich den dafür ausgebildeten Personen und Berufsgruppe wie z.B. Rechtsanwälten, vorbehalten.

Auf die o.g. Frage gibt es aus Sicht des gewerblichen Datenschutzes zwei Antworten: „Ja“ und „Nein“.

Das Bundesdatenschutzgesetz [BDSG] sagt in §1 „Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“ Das bedeutet also, dass nur personenbezogene Daten besonders schützenswert sind.

Unternehmensdaten, Umsätze, Kundendaten (zumindest solange, wie es sich um reine Unternehmensdaten handelt), Patentgeheimnisse etc., sind keine schützenswerten Informationen im Sinne des BDSG. Diese Daten werden ggf. durch besondere andere Rechte geschützt. In meinen Antworten gehe ich also immer nur von den besonders schützenswerten personenbezogenen Daten, aus Sicht des gewerblichen Datenschutzes, aus. Den behördlichen Datenschutz muss ich an dieser Stelle außen vor lassen, da dieser ausschließlich öffentlichen Institutionen vorbehalten ist.

Marco: Was muss ich bedenken, wenn kein eigener E-Mail-Server vorhanden ist und ich einen externen Anbieter für den Betrieb meines Mail-Servers nutze? Ich denke hierbei an Cloud-Angebote.

Herr Sattler: Hier gibt es eine besondere Sorgfaltspflicht für den Nutzer/Anwender solcher Systeme, die sich insbesondere aus der aktuellen Datenschutzrichtlinie der Europäischen Union, dem §11 BDSG (Auftragsdatenverarbeitung, also ein Dritte, z.B. HKN, betreibt den E-Mail-Server) und dem §1 BDSG in Verbindung mit Artikel 1 und 2 des Grundgesetzes – der sog. informationellen Selbstbestimmung des Bürgers – ergibt.

Diese sind im Wesentlichen:

  1. Der Nutzer muss dafür Sorge tragen, dass die Auftragsdatenverarbeitung personenbezogener Daten innerhalb der Europäischen Union erfolgen muss.
  2. Daraus ergibt sich, dass der Nutzer dafür Sorge tragen muss, dass die Server, auf denen der Mail-Server oder die Cloud-Storage betrieben werden, in den Grenzen der Europäischen Union stehen. Nutzer, die Server z.B. von Microsoft 365 oder Dropbox nutzen, verstoßen nach meiner Auffassung bereits jetzt gegen diese Gesetze der Bundesrepublik Deutschland, wenn diese entsprechenden Server in den USA stehen.
  3. Aber auch ausländische Gesetze und Verordnungen spielen eine einschneidende Rolle. So reicht es nicht aus, dass die Server in Europa stehen. Wenn das betreibende Unternehmen z.B. unter die Regelungen des amerikanischen „Patriot Acts“ fallen, dann dürfen auf den Servern dieser Unternehmen keine personenbezogenen Daten verarbeitet werden, auch wenn die Server in Europa stehen.
  4. Noch schlimmer trifft es Berufsgruppen, die dem § 203 Strafgesetzbuch1 [StGB] unterliegen. Hier bekommt der gewerbliche Datenschutz personenbezogener Daten auch noch einen strafrechtlich relevanten Aspekt, der nach meiner Rechtsauffassung ausdrücklich nicht durch die Regelungen der Standesorganisationen gedeckelt ist.

1 Diese sind lt. Gesetz „Ärzte, Zahnärzte, Tierärzte, Apotheker oder Angehörigen eines anderen Heilberufes, Berufspsychologen, Rechtsanwälte, Patentanwälte, Notare, Verteidiger in einem gesetzlich geordneten Verfahren, Wirtschaftsprüfer, vereidigte Buchprüfer, Steuerberater, Steuerbevollmächtigte oder Organe oder Mitglieder eines Organs einer Rechtsanwalts-, Patentanwalts-, Wirtschaftsprüfungs-, Buchprüfungs- oder Steuerberatungsgesellschaft, Ehe-, Familien-, Erziehungs- oder Jugendberater sowie Berater für Suchtfragen in einer Beratungsstelle, die von einer Behörde oder Körperschaft, Anstalt oder Stiftung des öffentlichen Rechts anerkannt sind, Mitglieder oder Beauftragte einer anerkannten Beratungsstelle nach den §§ 3 und 8 des Schwangerschaftskonfliktgesetzes, staatlich anerkannte Sozialarbeiter oder staatlich anerkanntem Sozialpädagogen oder Angehörige eines Unternehmens der privaten Kranken-, Unfall- oder Lebensversicherung oder einer privatärztlichen, steuerberaterlichen oder anwaltlichen Verrechnungsstelle.“

Marco: Kann es datenschutzrechtlich ein Problem sein, wenn meine Mitarbeiter ihre Adressbücher mit Sozialen Netzen oder Messengern abgleichen? Facebook, XING, Twitter, WhatsApp und Gmail zum Beispiel bieten ja den praktischen Service an, mein Adressbuch zu scannen, um dann Freunde von mir zu finden.

Herr Sattler: Nach meiner Rechtsauffassung eindeutig „Ja“, da hier evtl. private E-Mail-Adressen und andere personenbezogene Daten durch Ihre Mitarbeiter im Rahmen ihrer Berufsausübung an Systeme übergeben werden, die nicht der europäischen oder deutschen Gerichtsbarkeit unterliegen.

De jure müssen Sie sich ein schriftliches Einverständnis jedes einzelnen Kunden einholen, dass Ihre Mitarbeiter so mit den Daten Ihrer Kunden verfahren dürfen. In diesem Fall gilt wieder das o.g. informationelle Selbstbestimmungsrecht des Bürgers. Erteilt der Kunde eine solche Erklärung schriftlich, dann erlaubt der Kunde in diesem Fall Ihrem Mitarbeiter, dass er die personenbezogenen Daten einem Dritten, außerhalb der europäischen und deutschen Rechtsprechung, zur Weiterverarbeitung übermitteln darf. Eine mündliche Erklärung des Kunden reicht nicht aus.

So verfahren übrigens viele Krankenhäuser. Die Datenschutzregelungen sind dort in der Regel in den Einverständniserklärungen der Patienten enthalten.

Marco: Wie steht es um die Nutzung von Onlinefestplatten. Unabhängig von der Sicherheit der Daten ist es nach europäischem Datenschutz bedenklich, Daten in der Cloud abzulegen?

Herr SattlerAuch auf diese Frage gibt es zwei Antworten: „Ja“ und „Nein“.

  1. Die Antwort muss definitiv „Ja, es gibt Bedenken“ heißen, wenn eine der o.g. Bedingungen für das Hosting und Housing bzgl. des Standortes der Server und des Betreiberunternehmens zutrifft.
  2. Die Antwort muss ebenfalls „Ja, es gibt Bedenken“ lauten, wenn zwar alle Rahmenbedingungen des Hostings und Housings und des Betreiberunternehmens erfüllt sind, die personenbezogenen Daten aber unverschlüsselt abgelegt werden.
  3. Nach meiner Rechtsauffassung kann die Frage prinzipiell mit „Nein“ beantwortet werden, wenn die Server in Europa stehen, die Betreiberunternehmen ausschließlich der europäischen Gesetzgebung unterstehen und entweder verschlüsselte Verfahren von Haus aus anbieten, z.B. HornetDrive und DictaTeam dictation cloud, oder eine Ende-zu-Ende-Verschlüsselungslösung, wie z.B. BoxCryptor, auf den Smartphones oder Tablet-PCs eingesetzt werden.

Marco:  Was ist eigentlich wenn ein Mitarbeiter sein Handy/Smartphone oder seinen Tablet-PC verliert? Kann das Konsequenzen für mich als Unternehmer haben?

Herr SattlerLassen Sie mich das sehr salopp so sagen: „Wo kein Kläger, da ist auch kein Angeklagter! Wie immer im Leben, liegt die Tücke im Detail und der Teufel ist ein Eichhörnchen oder vor dem Gericht und auf hoher See ist man in Gottes Hand.“

Wenn Sie Ihre Mitarbeiter schriftlich als Anlage zum Arbeitsvertrag darauf hingewiesen haben, dass das mobile Gerät durch einen PIN-Code oder andere Sicherungsmechanismen automatisch verriegelt werden muss und das Gerät bei Verlust durch einen Dritten kurzfristig gesperrt wird, dann gehe ich nach der aktuellen Rechtsprechung davon aus, dass die unternehmerische Haftungsfrage aus Sicht des gewerblichen Datenschutzes sehr schwer zu klären ist. Ich gehe in diesem Fall davon aus, dass Sie als Unternehmer Ihrer unternehmerischen Fürsorgepflicht nachgekommen sind.

Vielen Dank für die Antworten.

Fazit

Über ein paar Dinge sollte man sich als Unternehmer oder Selbstständiger also doch Gedanken machen, bevor man seinen Mitarbeitern oder sich selbst erlaubt ein Smartphone zu nutzen. Dazu gehören klare Anweisungen welche Dienst man nicht nutzen darf, eine gute Auswahl der genutzten Services und einiges mehr. Andrea hat für Euch die wesentlichen Punkte in einer Checkliste zusammengefasst.

Im nächsten Artikel stellen wir dann vor, wie Du dein Smartphone weitestgehend konform zum deutschen Datenschutz betreiben kannst.

Zur Person:

Claus Michael Sattler ist Gerichtsgutachter und Sachverständiger für Fragen des gewerblichen Datenschutzes sowie verantwortlicher Datenschützer bei DictaTeam UG (haftungsbeschränkt), einem großen Schreibdienst, der im Auftrag seiner Kunden Diktate in Text umwandelt. Des Weiteren ist Claus Sattler der Kopf hinter zahlreichen Apps von DictaTeam, die allesamt den europäischen und nationalen Datenschutzbestimmungen entsprechen. Nebenbei ist er Dozent und Betreuer von Bachelor- und Masterarbeiten an einer Hochschule.

 

8 Gedanken zu „Smartphones vs. Datenschutz – das Interview“

  1. Pingback: Das Interview bei HKN | digitales-diktieren.INFO

Schreibe einen Kommentar