Datenschutz im Außendienst (Industrie und Handel)

Mitarbeiterinnen und Mitarbeiter, die im Außendienst arbeiten oder von Berufswegen generell viel unterwegs sind, müssen besondere datenschutzrechtliche Verpflichtungen erfüllen. Es ist mittlerweile üblich, dass zur Arbeitserleichterung eine Vielzahl von mobilen Endgeräten eingesetzt wird (z. B. Tablet, Smartphone). Diese müssen wiederum über besondere Sicherheits- und Sicherungsmaßnahmen zum Schutz der Unternehmensdaten verfügen (z. B. E-Mails, Kontakte, Kalendereinträge, Notizen, Aufgaben und Dokumente). Für die zuständige IT-Abteilung stellt dies genauso wie für die interne Verwaltung eine Herausforderung dar.

• Grundsätzlich sind alle ausgegebenen mobilen Endgeräte verwaltungsintern zu erfassen und personenbezogen zu registrieren.
• Jedes mobile Gerät muss vor unberechtigten Zugriffen geschützt werden, was in der Regel durch Passwortsperre umgesetzt werden kann.
• Die eingesetzten mobilen Betriebsmittel müssen zentral verwaltet werden, denn sie unterliegen hinsichtlich der IT-Sicherheit einer Pflicht zur stetigen Kontrolle (z. B. Durchführung regelmäßiger Sicherheitsupdates, Definition der Zugriffsrechte).
• Erfolgt eine Verarbeitung personenbezogener Daten im Auftrag eines Verantwortlichen, so obliegen den entsprechenden Auftragsverarbeitern bestimmte Pflichten. Sie müssen hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen (TOM) durchgeführt werden, um eine Verarbeitung im Einklang mit den Anforderungen der DSGVO zu sichern. Diese hat so zu erfolgen, dass das Recht der betroffenen Personen auf Datensicherheit geschützt ist.

• Personenbezogene Daten dürfen im Außendienst nur aufgenommen werden, wenn bei Erstkontakt eine nachweisbare Einwilligung der betroffenen Person vorliegt  oder es zur Erfüllung der vertraglichen oder im Einzelfall gesetzlichen Verpflichtungen notwendig ist.
• Eine Speicherung von privaten Daten auf betrieblichen Geräten ist untersagt; es erfolgt keine Nutzung zu privaten Zwecken.
• Betriebliche Geräte dürfen nur nach Absprache mit der IT-verantwortlich Person bzw. der fachverantwortlichen Stelle außerhalb des Unternehmens mitgenommen werden. Der Zugriff auf betriebliche Geräte sollte dort nur erfolgen, wenn es hinsichtlich der organisatorischen Rahmenbedingungen möglich erscheint (z. B. Unbefugte haben keine Einsicht, bei Telefonaten hört niemand mit).
• Die betrieblichen Geräte dürfen nicht unbeaufsichtigt gelassen werden; beim Transport sind sie sorgsam zu verwahren.
• Ein Verlust oder Defekt betrieblicher Geräte ist der IT-verantwortlichen Person unverzüglich zu melden.
• Unternehmensfremde Verbindungen (z. B. öffentlicher WLAN-Hotspot, privates WLAN) sind nicht zu nutzen. Die Daten dürfen nur über sichere Verbindungen auf den Unternehmensnetzlaufwerken abgelegt werden.
• Sicherheitseinstellungen (z. B. Firewall) dürfen nicht verändert, deaktiviert oder umgangen werden. Softwareinstallationen, Patches und Updates sowie Wartung und Reparaturen sind nur durch IT-verantwortliche Personen vorzunehmen.
• Wechseldatenträger (z. B. USB-Sticks, Speicherkarten, CDs/DVDs, externe Festplatten) dürfen nur nach Genehmigung durch die IT-verantwortliche Person genutzt werden.
• Grundsätzlich sollte das betriebliche Gerät nur für den betrieblichen Einsatz verwendet werden, da sich im Rahmen einer privaten Nutzung ansonsten weitreichende Schwierigkeiten ergeben können. Ggf. wird eine Abgrenzung der Daten schwierig. Zudem ist der Arbeitgeber dann stark in seiner Stellung eingeschränkt (z. B. Zugriff, Archivierung).