Der Datenschutz als Spielverderber
Weit über eine Milliarde Menschen nutzen täglich Messengerdienste. Schnelle Kommunikation zu zweit, aber auch die Einrichtung von Gruppenchats machen diese auch für Unternehmen interessant. Arbeitgeber können mit Messengerdiensten ihre Mitarbeiter während und außerhalb der Arbeitszeiten unkompliziert und schnell erreichen, auch im Kontakt mit Kunden oder Geschäftspartnern sind Messengerdienste wie WhatsApp, Threema oder Skype sinnvoll einsetzbar. Das haben die Dienste-Anbieter ebenfalls erkannt, laut Medienberichten plant beispielsweise WhatsApp aktuell eine Businessversion. In der aktuell verfügbaren Grundversion verarbeiten die meisten angebotenen Messengerdienste aber umfassend Daten auf dem Smartphone. Neben dem Zugriff auf das Adressbuch, den der Nutzer bei der Installation erlauben muss, lesen die Dienste zahlreiche Metadaten aus, etwa solche zur Häufigkeit der Nutzung und zum Chat-Verhalten. Die eigentlichen Inhalte der Unterhaltungen bleiben dabei nach Angaben der Messengerdienste geheim und werden lediglich verschlüsselt versendet.
Messengerdienste auf dem Geschäftshandy?
Unternehmen, die Messenger einsetzen wollen, sollten hinsichtlich der Verarbeitung und Nutzung der Daten aus den Adressbüchern einen Blick in die Datenschutzrichtlinien des jeweiligen Anbieters werfen. Auf Diensthandys von Arbeitnehmern befinden sich im Adressbuch regelmäßig personenbezogene Daten über andere Mitarbeiter, Kunden des Unternehmens und sonstige Geschäftspartner. Datenschutzrechtlich verantwortlich für diese Informationen ist der Arbeitgeber. Das heißt, er muss auch dafür Sorge tragen, dass diese Daten auf den Diensthandys seiner Mitarbeiter im Einklang mit dem geltenden Datenschutzrecht verarbeitet werden. Eine Übermittlung aller auf den Diensthandys gespeicherten Geschäftskontakte an einen Messengerdienst ist aber mit dem geltenden Bundesdatenschutzgesetz (BDSG) oder der kommenden EU-Datenschutz-Grundverordnung (DSGVO) nur schwer in Einklang zu bringen. Zwar ließe sich diese Nutzung durch Einwilligungen sämtlicher betroffenen Geschäftspartner und Mitarbeiter regeln. Eine solche Lösung ist jedoch logistisch für Unternehmen nur schwer durchführbar, zumal eine einmal erteilte Einwilligung jederzeit widerrufen werden kann.Datensicherheit muss der Arbeitgeber gewährleisten
Auch wenn das Bundesdatenschutzgesetz die Datenverarbeitung aus anderen Gründen erlaubt – etwa, weil es um die eigenen Geschäftszwecke oder das Beschäftigungsverhältnis geht – dürfen Arbeitgeber Messengerdienste nur anwenden, wenn die Datensicherheit und der Schutz vor unberechtigten Datenzugriffen sichergestellt sind. Die Übermittlung von personenbezogenen Daten an einen Drittanbieter ohne Bezug zum Geschäftsverhältnis ist regelmäßig weder notwendig noch zumutbar. Entsprechend erklärte auch der Bayerische Landesdatenschutzbeauftragte bereits Anfang 2016, dass ein großer Messengerdienst aus seiner Sicht auf dienstlichen mobilen Geräten für die Kommunikation im Unternehmensbereich derzeit nicht datenschutzkonform eingesetzt werden kann. Das gilt umso mehr für Rechtsanwälte oder andere Geheimnisträger nach § 203 Abs. 1 StGB. Diese können sich beim unbedarften dienstlichen Einsatz von Messengerdiensten gegebenenfalls strafbar machen. Plant ein Unternehmen Messengerdienste auf den Diensthandys der Mitarbeiter einzusetzen, muss es sicherstellen, dass dieser Dienst die Geschäftsdaten auf dem Handy nicht in unzulässiger Weise für eigene Zwecke verarbeitet. Außerdem muss der Messengerdienst sonstige Datenschutzanforderungen einhalten. Gerade in Bezug auf eine angemessene Verschlüsselung besteht auch hier bei einigen Messengerdiensten noch Nachbesserungsbedarf. An diesen Anforderungen der Wirtschaft sollten sich die Anbieter von Messengerdiensten bei der Entwicklung von Businessversionen orientieren.Ein Apparat, dienstlich und privat genutzt
Eine private Nutzung der aktuell angebotenen Messengerdienste auf dem Diensthandy kann hingegen unter Umständen rechtlich zulässig sein. Der Arbeitgeber muss dazu durch technische Mittel und durch Anweisungen an den Arbeitnehmer sicherstellen, dass der Sofortnachrichtendienst eben nicht flächendeckend auf berufliche Daten zugreifen kann. So kann das Unternehmen die Geschäftsdaten auf dem Diensthandy in einem sogenannten Container strikt von den privaten Daten des Arbeitnehmers trennen. Nachteilig ist daran, dass andere gängige Anwendungen des Geräts dann nicht auf die getrennten Geschäftsdaten zugreifen können. Dies kann beispielsweise dazu führen, dass das dienstliche Handy beim Anruf eines Geschäftskontakts oder eines Kollegen den Namen nicht anzeigen kann. Gleiches gilt, wenn ein Arbeitgeber den Mitarbeitern gestattet, Dienstliches auf ihren privaten Mobiltelefonen zu regeln (bring your own device – BYOD). Dann können Anbieter von Messengerdiensten gegebenenfalls auf dienstliche Daten zugreifen, die der Mitarbeiter auf seinem privaten Gerät speichert. Entsprechend muss der Mitarbeiter die geschäftlichen und die privaten Daten technisch trennen, um den Messengerdienst datenschutzrechtlich rechtmäßig nutzen zu können.2/2: Messengernachrichten im Job – und im Feierabend?
Wer die Nutzung eines bestimmten Messengerdienstes im Unternehmen implementieren will, kann seinen Mitarbeitern diese Vorgabe – zunächst einmal unabhängig von der Frage der datenschutzrechtlichen Rechtmäßigkeit – im Rahmen seines Weisungsrechts (§ 106 Gewerbeordnung – GewO) machen. Besteht ein Betriebsrat, hat dieser jedoch ein Mitbestimmungsrecht über die Rahmenbedingungen der Nutzung (§ 87 Abs. 1 Nr. 1 und Nr. 6 Betriebsverfassungsgesetz – BetrVG). Einen bestimmten Messengerdienst auf ihrem privaten Handy zu installieren, um so für ihn über diesen Kommunikationsweg erreichbar zu sein, kann der Arbeitgeber dagegen von seinen Mitarbeitern in der Regel nicht verlangen, ohne ihr Recht auf informationelle Selbstbestimmung (nach Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG) zu verletzen. Einer solchen Aufforderung müssten Mitarbeiter jedenfalls dann nicht nachkommen, wenn der Dienst ihre persönlichen Daten auf dem Handy verarbeitet. Ob und wie sich die Nutzung des Dienstes auf den Feierabend von Arbeitnehmern auswirkt, hat der Gesetzgeber bislang zu regeln versäumt. Die Belastung einer solchen durchgängigen Erreichbarkeit von Arbeitnehmern ist nicht mit einem Bereitschaftsdienst oder einer Rufbereitschaft vergleichbar und somit bislang gesetzlich weitgehend ungeregelt. Eine klare Regelung, wie sie sich auf die gesetzlichen Ruhezeiten auswirkt, wäre wünschenswert. Eine – in diesem Punkt sinnvollerweise an die Diskussion über bearbeitete Mails nach Feierabend angelehnte - Modernisierung des längst veralteten Arbeitszeitgesetzes ist ohnehin lange überfällig.Lohnt sich der Einsatz von Messengerdiensten für Unternehmen?
Der berufliche Einsatz von Messengerdiensten ist aktuell nur mit einem gewissen Aufwand mit den Anforderungen des Datenschutzes und des Arbeitsrechts in Einklang zu bringen. In jedem Fall sollten Arbeitgeber sich vor dem Einsatz kommerzieller Messengerdienste am Arbeitsplatz ausführlich erkundigen und notwendige technische und organisatorische Schutzmaßnahmen treffen. Sie müssen außerdem sicherstellen, dass die Anforderungen des Datenschutzes eingehalten werden. Andernfalls drohen den Unternehmen Bußgelder und Schadensersatzklagen. Dieses Risiko müssen Arbeitgeber bei der Abwägung mit dem erhofften Nutzen eines Einsatzes von Messengerdiensten gründlich abwägen. In jedem Fall sind klare und präzise Vorgaben zur erlaubten Nutzung solcher Messengerdienste notwendig. Sofern im Unternehmen ein Betriebsrat eingerichtet ist, sollten Arbeitgeber und Betriebsrat diese Vorgaben im Rahmen einer Betriebsvereinbarung regeln. Diese sollte auch die Vorgaben der neuen EU-Datenschutz-Grundverordnung und des ergänzend hierzu kürzlich neu verabschiedeten § 26 BDSG umsetzen. Hier kommt auf Arbeitgeber und Betriebsräte einige Arbeit zu. Denn sie müssen nicht nur Betriebsvereinbarungen zu Messengerdiensten an das neue Recht anpassen, sondern sämtliche Regelungen, die den Umgang mit Arbeitnehmerdaten betreffen oder voraussetzen. Tim Wybitul ist Partner bei Hogan Lovells und berät Unternehmen umfassend zum Datenschutz. Bundesgerichtshof und Bundesarbeitsgericht zitieren seine Veröffentlichungen in mehreren Entscheidungen. Dr. Lukas Ströbel ist als Associate ebenfalls bei Hogan Lovells tätig und ist auf die datenschutzrechtliche Beratung spezialisiert.Auf Jobsuche? Besuche jetzt den Stellenmarkt von LTO-Karriere.
2017 M08 11
Datenschutz
Verwandte Themen:- Datenschutz
- Smartphones
- Telekommunikation
- Beruf
- Soziale Medien
Teilen