ich bin nicht in der Position datenschutzrechtliche Beratung durchzuführen, daher möchte ich Ihnen meine persönliche Meinung im Umgang mit Kontakten widerspiegeln, wie ich es in diversen Kundengesprächen erlebt - und vom Verständnis mitgenommen - habe. Daher erlaube ich mir Ihnen das hier mitzugeben. Einige Interessante Links dazu am Ende.
In diesen Gesprächen kristallisierte sich als vordringlichstes Problem für Unternehmen die Übermittlung der (ggf. minimalen) Kontaktinformationen (Vorname, Name, geschäftliche Telefonnummer, Mobilfunknummer) in das Mobile Device-Adressbuch.
Die Übermittlung im datenschutzrechtlichen Sinne bedarf bekanntlich stets einer Rechtsgrundlage (Gesetz oder Einwilligung des Betroffenen). Die Einwilligung der Betroffenen scheidet hier per se jedoch aus, da sie praktisch nicht umsetzbar sein wird – spätestens bei der Durchsetzung des Widerrufs der Einwilligung würde man scheitern.
Nach näherer Betrachtung dieser Problematik stellte sich in den Gesprächen jedoch heraus, dass sich der Sachverhalt datenschutzrechtlich anders darstellen könnte, als allgemein zunächst angenommen. In der Synchronisierung der o. g. Kontaktinformationen zwischen Container/BackEnd und dem lokalem Adressbuch ist keine Übermittlung im datenschutzrechtlichen Sinne zu sehen.
Eine Übermittlung liegt nach den Diskussionen nur dann vor, wenn die verantwortliche Stelle Daten einem Dritten bekannt gibt. Ein Dritter wiederum ist in § 3 Abs. 8 Satz 2 BDSG als „jede Person oder Stelle außerhalb der verantwortlichen Stelle“ definiert. Entscheidend ist, so stellt es sich mir da, dabei das Kriterium „außerhalb der verantwortlichen Stelle“, denn zu einer verantwortlichen Stelle gehören auch die von ihr beschäftigten Personen (Arbeitnehmer), zumindest insoweit, als sie für die verantwortliche Stelle in einer dienstlichen Funktion tätig sind.
Gibt die verantwortliche Stelle einem Beschäftigten also ihre Daten im Hinblick auf seine dienstliche Funktion bekannt, so bleibt der Vorgang innerhalb der verantwortlichen Stelle, auch wenn die Speicherung nicht auf firmeneigenen Speichermedien (z.B. BYOD-Geräte) erfolgt. Somit bedarf es zumindest für die Synchronisation der Kontaktinformationen keiner gesonderten Rechtsgrundlage. Das war das Ergebnis der Diskussionen.
Schnell kamen jedoch weitere Punkte hoch, die das Synchronisieren dennoch problematisch sehen. Neben der – hier unproblematischen – Rechtsgrundlage für die Erhebung, Verarbeitung und Speicherung personenbezogener Daten hat die verantwortliche Stelle gem. § 9 BDSG „die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten.“ Hierbei spricht man von den sogenannten technische und/oder organisatorische Maßnahmen (TOMs), die in der Anlage zu § 9 Satz 1 BDSG näher definiert werden. Der Gesetzgeber schreibt demnach vor, dass gewisse Maßnahmen zum Schutz der Daten ergriffen werden müssen.
Damit einher geht die Frage, wie ohne ein MDM der Schutz der Daten vor unberechtigter Übermittlung an Dritte verhindert werden soll. Dies wäre dann der Fall, wenn der Mitarbeiter eine Datensicherung in die iCloud vollzieht (das Adressbuch würde synchronisiert werden) oder vom Mitarbeiter installierte Apps eine Synchronisation des Adressbuchs vornehmen würden (WhatsApp, SwiftKey,...). Beide Fälle würden zu einem Rechtsverstoß durch die verantwortliche Stelle führen, der wiederum zu Sanktionen durch die Aufsichtsbehörde und Schadenersatzforderungen durch die Betroffenen führen kann.
Diese Diskussionen führten dann zu der Einschätzung, dass genau hier SecureContact Pro greift.
Die verantwortliche Stelle muß ihre Maßnahmen wirksam vorschreiben und dabei auch ihrer Kontrollpflicht dieser Maßnahmen nachgehen. Beim Einsatz eines MDM in Verbindung mit SecureContact ist dies unserer Meinung und der dieser Diskussionen nach relativ unproblematisch, weil dies Gegenstand dieser Lösung ist.
Zusammenfassung meines Verständnisses (wie gesagt ich darf keine Beratungen im Datenschutz / juristischen Bereich machen):
Für die Synchronisation der Kontaktinformationen BackEnd/Container > lokales Adressbuch bedarf es scheinbar keiner speziellen Rechtsgrundlage.
Unabhängig davon müssen technische- und organisatorische Schutzmaßnahmen auf dem privaten Gerät des Mitarbeiters durchgesetzt werden, wie z.B. die Verschlüsselung und der Schutz durch den automatischen Abzug der Daten.
Selbstverständlich besteht trotz der oben genannten Rechtsprobleme und quasi vorprogrammierten Rechtsverstöße die Möglichkeit, dass die verantwortliche Stelle im Rahmen einer Risikoabwägung die Entscheidung trifft, das alle Vorhaben dennoch umzusetzen und mit dem Risiko „zu leben“. Mit Blick auf die DS-GVO sind diese Sanktionen allerdings ggf. nicht unerheblich. Die finanziellen Invest in SecureContact hingegen sind dagegen minimal.
Sicherlich in diesem Atemzug interessant:
- https://slidex.tips/download/xii-ttigkeitsbericht-des-landesbeauftragten-fr-den-datenschutz
- https://www.dokuhaus.com/gesetze/
- https://www.audit-dss.com/download/gesetzestexte/9-bdsg-nebst-anlage/