07/2019 – Fachartikel Swiss Infosec AG
Einige Hinweise und Überlegungen zu BYOD im geschäftlichen Kontext
Arbeiten Sie mit Ihrem privaten Gerät (PC, Laptop, Tablet, Smartphone) für Ihr Unternehmen?
Das Datenschutzteam der Swiss Infosec AG nimmt «Bring your own device», kurz «BYOD» genauer unter die Lupe und informiert Sie über das Wichtigste.
1 Ausgangslage
Die heutige vernetzte Welt ermöglicht es immer mehr Arbeitnehmenden, ihre eigenen Laptops, Tablets, Mobiltelefone usw. als Arbeitsgeräte einzusetzen. Der Trend hin zu «Bring Your Own Device (BYOD)» bringt jedoch einige rechtliche Risiken mit sich. Was dabei seitens des Datenschutzrechts zu beachten ist, wird nachfolgend beleuchtet.
2 Risiken für den Arbeitgeber
2.1 Zugriff durch Dritte
Wenn der Arbeitnehmer ausserhalb der Firmeninfrastruktur sein für die Arbeitstätigkeit verwendetes Gerät nutzt, ist die Gefahr eines Verlusts oder Missbrauchs von Geschäftsdaten höher, als wenn das Gerät nur innerhalb der Unternehmensinfrastruktur genutzt werden kann.
Der Zugriff durch Dritte kann beispielsweise dadurch geschehen, dass das Gerät durch Familienmitglieder benutzt wird, oder wenn das Gerät verloren geht oder gestohlen wird. Das Risiko des Zugriffs durch Dritte sollte soweit möglich eingeschränkt werden, beispielsweise durch Möglichkeiten der Fernsperrung bei Verlust oder Diebstahl.
2.2 Mangelnde Sicherheitseinstellungen
Nebst physischem Diebstahl oder Verlust des Gerätes sind die Daten des Unternehmens auch durch Datenverlust oder Manipulation gefährdet: Der Arbeitnehmer könnte ein Jailbreaking (nicht-autorisiertes Entfernen von Nutzungsbeschränkungen) vornehmen, die gebotenen Sicherheitseinstellungen gar nie erst auf dem Gerät installiert haben oder keine Backups erstellt haben.
2.3 Zugriff auf private Daten
BYOD führt durch die umfassende Nutzung typischerweise zu einer Vermengung der privaten und der geschäftlichen Sphäre und somit auch der privaten und geschäftlichen Daten. Es kann unter Umständen erforderlich sein, dass der Arbeitgeber Zugriff auf das BYOD-Gerät erhält (z.B. Wartung oder Löschung von Daten bei Austritt). Ein Zugriff auf das private Gerät bedarf jedoch einer Einwilligung des Arbeitnehmers (vorzugsweise schriftlich, mit klarer Regelung der Zugriffsmöglichkeiten). Sofern der Arbeitgeber die Daten fernlöschen kann, muss sichergestellt sein, dass dadurch keine privaten Daten gelöscht werden. Andernfalls könnte die Persönlichkeit des Arbeitnehmenden verletzt werden. Um dies sicherzustellen, müssen die privaten und geschäftlichen Daten getrennt abgespeichert werden.
Dafür können so sogenannte Container-Lösungen verwendet werden, welche die strikte Trennung zwischen privaten und geschäftlichen Daten sowie installierten Applikationen ermöglichen. Mit dieser Container-Lösung wird dem Arbeitgeber eine externe Zugriffsmöglichkeit ausschliesslich auf den „geschäftlichen Container“ gewährt.
Eine andere Lösung wäre, wenn mit dem Gerät grundsätzlich keine Speicherung von geschäftlichen Daten möglich wäre, sondern das Gerät bloss als „Durchlaufposten“ (als sogenannter Thin Client) fungiert.
3 BYOD-Nutzungsweisung
Bevor ein Arbeitgeber BYOD also zulässt, sind die erwähnten Problemfelder zu klären. Werden personenbezogene Daten des Unternehmens auf dem Gerät gespeichert oder verarbeitet, bleibt der Arbeitgeber als verantwortliche Stelle für den rechtskonformen Umgang verantwortlich. Entsprechend hat der Arbeitgeber nach Art. 7 Datenschutzgesetz (DSG) die Datensicherheit durch angemessene technische und organisatorische Massnahmen sicherzustellen. Um genug hohe Sicherheitsstandards zu gewährleisten, sollte der Arbeitgeber klare Nutzungsregelungen in eindeutigen geschäftlichen Richtlinien, wie eine Nutzerweisung, schriftlich regeln. Dadurch wissen die Mitarbeitenden, was erlaubt ist und was nicht, wenn sie ihre Geräte mit der IT-Infrastruktur ihres Arbeitgebers verbinden.
Bei BYOD gilt aus datenschutzrechtlicher Sicht grundsätzlich das Gleiche wie für die Nutzung der elektronischen Infrastruktur am Arbeitsplatz: Die Grundsätze der Datensicherheit, Datenverwendung und Datenaufbewahrung müssen eingehalten werden. Dies bedeutet, dass beispielsweise die Datensicherheit durch Verschlüsselungstechniken und Passwortrichtlinien gewährleistet sein muss. Zudem sollten die Sicherheitseinstellungen hinsichtlich des Betriebssystems und die Schutzeinstellungen wie Virenschutzprogramme vom Arbeitnehmer nicht verändert oder deaktiviert werden dürfen. Auch müssen die Daten vom BYOD-Gerät auf den Server des Arbeitgebers überspielt und gelöscht werden, wenn sie nicht mehr benötigt werden. Der Arbeitgeber sollte zudem den Arbeitnehmer verpflichten, alle geschäftlichen Daten bei Beendigung des Arbeitsverhältnisses zu löschen. Dies ist besonders wichtig, weil das Gerät dem Mitarbeitenden gehört und er dieses daher dem Arbeitgeber am Ende des Arbeitsvertrages nicht übergeben muss.
4 Arbeitsrechtliche Vorgaben
Nebst datenschutzrechtlichen Aspekten sind im Übrigen auch arbeitsrechtliche Vorgaben zu beachten. So führt BYOD führt zu einer fliessenden Grenze zwischen Freizeit und Arbeitsleben, was möglicherweise die Einhaltung der wöchentlichen Höchstarbeitszeit oder des Verbots von nicht bewilligter Nacht- und Sonntagsarbeit beeinträchtigen kann. Zudem ist die Überwachung des E-Mail-Verkehrs und der Internetnutzung des Arbeitnehmers heikel: Der Einsatz von Key-Loggern oder anderen Überwachungsprogrammen stellt eine unzulässige Verhaltensbeobachtung dar. Eine solche ist nur in erhärteten Verdachtsfällen oder bei bereits festgestelltem Missbrauch zulässig, und nur, wenn die erforderlichen Datenbearbeitungsprinzipien eingehalten werden.
Weitere arbeitsrechtliche Aspekte sind beispielsweise, dass der Arbeitgeber gemäss Art. 327 OR die benötigten Arbeitsgeräte zur Verfügung zu stellen hat. Bei Einsatz von BYOD sind also auch allfällige Entschädigungsansprüche des Arbeitnehmers zu regeln.
Unser Fazit
Prüfen Sie genau, welche Sicherheitsvorkehrungen Sie implementieren müssen, bevor Sie Ihren Mitarbeitenden die Verwendung eigener Geräte erlauben. Stellen Sie sicher, dass Ihre BYOD-Vorgaben umgesetzt werden, indem Sie eine verantwortliche Person, z.B. Ihren Sicherheitsbeauftragten, mit der Konzeption, Durchsetzung und Kontrolle beauftragen.
Gerne beantworten wir Ihre Fragen und unterstützen Sie bei der Einhaltung von Schweizer Datenschutz und DSGVO.