Mitarbeiter die generell im Außendienst arbeiten oder von Berufswegen viel unterwegs sind, müssen sich besonderen datenschutzrechtlichen Verpflichtungen unterwerfen. Es ist mittlerweile üblich, dass zur Arbeitserleichterung eine Vielzahl an mobilen Endgeräten (z. B. Tablett, Smartphone) eingesetzt werden und diese wiederum mit besonderen Datensicherungsmaßnahmen für die Unternehmensdaten (z. B. E-Mails, Kontakte, Kalendereinträge, Notizen, Aufgaben und Dokumente)  ausgestattet sein müssen. Für die IT-Abteilung stellt dies genauso wie für die interne Verwaltung eine Herausforderung dar, aber in der Regel können die Anforderungen mit technischen und organisatorischen Maßnahmen unterstützt werden.

I. Welche konkreten Maßnahmen sind zur Unterstützung des Datenschutzes im Außendienst zu beachten?

Grundsätzlich sind alle ausgegebenen mobilen Endgeräte verwaltungsintern zu erfassen und personenbezogen zu registrieren. Sofern es sich um ein Gerät handelt was mehreren Mitarbeitern dient (z. B. Havarie-Mobiltelefon, Präsentations-Laptop) muss trotzdem nachvollziehbar sein, wer das Gerät wann genutzt hat (z. B. Vorgehensweise Dienstplan, Herausgabevermerk). Als Hilfestellung kann bei Ein- und Austritt von Mitarbeitern eine Checkliste sein, die herausgegebene und zurückgegebene Betriebsmittel erfasst.

Das mobile Gerät muss vor unberechtigten Zugriffen geschützt sein und in der Regel wird dies durch eine Passwortsperre (Anforderungen an das Passwort) umgesetzt. Bestenfalls sollte zudem eine Verschlüsselung auf dem aktuellen Stand der Technik vorgehalten werden.

Von großer Bedeutung ist die zentrale Verwaltung der eingesetzten Betriebsmittel, denn auch diese müssen hinsichtlich der IT-Sicherheit (z. B. regelmäßige Sicherheitsupdates, Definition Zugriffsrechte) kontrolliert werden. In der Praxis wird dies häufig durch ein Mobile Device Management realisiert und Richtlinien (z. B. Sicherheitsanforderungen bei Apps) festgelegt. Im Notfall kann so auch bei Verlust des Gerätes zugegriffen werden und beispielhaft die Daten gelöscht werden. Was auch durch ein entsprechendes Managementsystem allerdings nicht möglich sein darf, ist die Überwachung des Mitarbeiters (z. B. Verbot der Bewegungsprofilerstellung durch GPS-Ortung).

Zudem sollten die Mitarbeiter besonders sensibilisiert sein und insbesondere sollten dabei die folgende Grundsätze behandelt werden:

• personenbezogene Daten dürfen im Außendienst nur aufgenommen werden, wenn bei Erstkontakt eine nachweisbare Einwilligung des Betroffenen vorliegt oder es zur Erfüllung der vertraglichen oder im Einzelfall gesetzlichen Verpflichtungen notwendig ist;
• keine Speicherung von privaten Daten oder Nutzung zu privaten Zwecken auf dem betrieblichen Gerät;
• betriebliche Geräte dürfen nur nach Absprache mit dem IT-Verantwortlichen bzw. der fachverantwortlichen Stelle außerhalb des Unternehmens mitgenommen werden;
• der Zugriff auf das betriebliche Gerät sollte nur erfolgen, wenn es hinsichtlich der organisatorischen Rahmenbedingungen möglich erscheint (z. B. Unbefugte dürfen keine Einsicht bekommen, bei Telefonaten darf niemand mithören);
• das betriebliche Gerät darf nicht unbeaufsichtigt gelassen werden und auch beim Transport ist es sorgsam zu verwahren;
• ein Verlust oder Defekt am betrieblichen Gerät ist unverzüglich dem IT-Verantwortlichen zu melden;
• unternehmensfremde Verbindungen ( B. Hotspot Öffentlichkeit, privates W-Lan) sind nicht zu nutzen und die Daten dürfen nur über sichere Verbindungen auf den Unternehmensnetzlaufwerken abgelegt werden;
• Sicherheitseinstellungen (z. B. Firewall) dürfen nicht geändert, deaktiviert oder umgangen werden und Softwareinstallationen, Patches und Updates sowie Wartung und Reparaturen sind nur durch den IT-Verantwortlichen vorzunehmen;
• Wechseldatenträger (z.B. USB-Stick, Speicherkarte, CD/DVD, externe Festplatte) dürfen nur nach Genehmigung durch den IT-Verantwortlichen genutzt werden.

II. Welche Konstellationen können für den Einsatz im Außendienstbereich Gefahren für den Datenschutz mit sich bringen?

Grundsätzlich sollte das betriebliche Gerät nur für den betrieblichen Einsatz verwendet werden, da sich ansonsten weitreichende Schwierigkeiten bei der privaten Nutzung ergeben können und eine Abgrenzung der Daten schwierig ist. Zudem ist der Arbeitgeber dann stark in seiner Stellung eingeschränkt (z. B. Zugriff, Archivierung). Wenn ein Unternehmen dennoch nicht darauf verzichten kann die Arbeitszufriedenheit seiner Mitarbeiter zu verbessern, indem es eine private Nutzung gestattet, ist dies im Einzelfall nur durch Implementierung einer „Containerlösung“ als Trennung mit entsprechenden Verpflichtungserklärungen möglich.

Problematisch ist bei der Arbeit im Außendienst auch, die Nutzung von eigenen Geräten für Arbeitsleistungen, als sog. Bring Your Own Device (BYOD), denn grundsätzlich gibt es dazu keine Rechtfertigungsgrundlage.

Besondere personenbezogene Daten sollten grundsätzlich nicht außerhalb des Unternehmens verarbeitet werden und eine entsprechende Einzelfallentscheidung durch eine Datenschutz-Folgenabschätzung ist vorzunehmen.

Gerne stehen wir Ihnen für Rückfragen zur Verfügung.