Nutzung privater Mittel durch die Organisation vs. private Nutzung von Mitteln der Organisation

Darf ein Mitarbeiter einer Organisation für seine Tätigkeit private Mittel, z.B. einen privaten Computer oder eine private Emailadresse verwenden? Und umgekehrt, darf er seine Emailadresse oder den Computer der Organisation privat nutzen? Ich weiß, dass das in vielen Organisationen normal ist, aber ich rate davon ab. Die konsequenteste Lösung ist die beste – trenne Deine Mittel nach Rollen. Klingt nach Schizophrenie – genau das sollte man hier üben. Privat meint dabei alles was nicht der eigenen Organisation zuzurechnen ist, also auch Mittel einer anderen Organisation. Diese Klarstellung vermisse ich übrigens in ganz vielen Information Security Management Systemen (ISMS).

Mich interessiert das arbeitsrechtliche oder auch Haftungsfragen dabei nicht wirklich, sondern für mich stehen Sicherheit und Datenschutzaspekte im Vordergrund.

Wo sehe ich die Probleme privater Mittel?

Eine Organisation muss die Kontrolle über die Daten der Organisation behalten. Sie muss das, um die Sicherheit zu gewährleisten und Datenpannen zu vermeiden, aber auch um Auskunft vollständig erteilen oder Daten nach Aufbewahrungsfristen löschen zu können. Sie will aber auch die Daten weiter nutzen können, wenn ein Mitarbeiter krank wird oder die Organisation verlässt.

Internetzugang
wenn die Organisation alle Kommunikationsverbindungen verschlüsselt halte ich das für unkritisch.
Emailkonten
da die Organisation darauf keinen Zugriff hat ist das m.E. strikt zu verbieten. Auch ist gar nicht klar, ob das Emailkonto nur von einer Person oder von mehreren verwendet wird, und damit gegen Geheimhaltungspflichten verstoßen wird oder ob der Emailanbieter geeignete Sicherheitsmaßnahmen ergreift (s.a. Emailsicherheit – der Test).
Computer
die allermeisten privaten Computer unter Windows sind nicht verschlüsselt, und damit haben Angreifer leichtes Spiel sobald sie den Computer in ihren Besitz bekommen. Bei Linux kenne ich niemanden im privaten Umfeld, der verschlüsselt, bei Macs ist das wohl etwas häufiger der Fall. Als Privatperson ist man auch nicht verpflichtet, sich über Datenschutz Gedanken zu machen, während alle Unternehmen oder anderen Organisationen das tun müssen, und dann hoffentlich verschlüsseln. Siehe auch Ist Verschlüsselung Pflicht? – bei mobilen Geräten immer, ansonsten bei Artikel 9 oder 10 Daten, oder wenn Sie Sicherheit ernst nehmen sowieso immer.
Also sollten private Computer nicht verwendet werden. Ausnahmsweise kann ich mir vorstellen, dass die Nutzung privater Computer erlaubt ist, wenn dabei
  • keinerlei Daten auf dem Computer gespeichert werden sondern ausschließlich webbasierte Anwendungen des Verantwortlichen verwendet werden (es bleibt das Restrisiko von Cookies, virtuellem Speicher, etc.).
  • z.B. – das inzwischen tote – Windows-To-Go mit aktiviertem Bitlocker verwendet wird, die "Zugriffssperre" auf private Datenträger nicht ausgehebelt werden darf, und Daten ausschließlich bei einem Dienst oder auf einem verschlüsselten Datenträger des Verantwortlichen gespeichert werden. Dabei dürfen Daten auf mobilen Datenträgern maximal Entwurfscharakter haben, denn Beauskunften kann man die nicht wirklich.
Tablet oder Mobiltelefon
die sind heute oft verschlüsselt und viele Daten sind dort eher temporär. Zum Zugriff auf Webdienste oder auf die Emailadresse der Organisation wahrscheinlich vertretbar, jedoch sollten Anlagen möglichst gleich wieder gelöscht werden. Das Adressbuch der Organisation sollte nicht über Exchange ActiveSync oder CalDAV zugänglich sein, denn das greifen fast alle Messengerdienste ab. Ggfs. sind die gleichen Maßnahmen wie bei einem Mobilgerät der Organisation umzusetzen (siehe unten).
Datenträger
Datenträger aus unklarer Quelle, insbesondere solche mit USB- oder Thunderboltanschluss muss die Organisation verbieten um Angriffen vorzubeugen. Außerdem haben Organisationsdaten nichts auf privaten Datenträgen zu suchen.
Drucker
Ein wirklich lokaler Drucker ist eher unkritisch, einer der Clouddienste verwendet ist kritisch zu sehen, weil kein Auftragsverarbeitungsvertrag besteht. Die größte Schwachstelle ist aber das entstehende Papier, das auch Familienmitglieder oder Besucher sehen könnten. Die allerwenigsten Privatpersonen verwenden zuhause einen Aktenvernichter. Aufgaben die Papier erfordern gehören eigentlich nicht ins Homeoffice.

Meine Meinung ist, eine Organisation muss ihren Angestellten oder Helfern geeignete Arbeitsmittel bereitstellen, und zwar sowohl in Form von Benutzerkonten der Organisation als auch in Form von Geräten. Statt Geräte zu verteilen kann man ggfs. auch das Arbeiten über webbasierte Anwendungen, ggfs. auch Remote-Desktop oder Terminalserver über webbasierte Gateways (bei mir ist Apache Guacamole im Einsatz) ermöglichen.

Weniger problematisch ist das ganze z.B. bei Freiberuflern – da kann man durchaus auch Auftragsverarbeitungsverträge schließen, die die Kontrolle sicherstellen.

In diesem Kontext sind mir keine Orientierungshilfen bekannt, obwohl dieses Problem seit der Corona-Pandemie sehr verbreitet sein dürfte. Eine Auswahl anderer Stimmen:

Wo sehe ich die Probleme privater Nutzung?

Die private Nutzung kann die Kontrolle erschweren und bringt zusätzliche Risiken.

Internetzugang und Emailkonten
Internetzugang und Email fallen unter das Fernmeldegeheimnis. Nimmt man das ernst, dann darf die Organisation weder einen Proxy für das Internet verwenden, noch den Internetzugrang protokollieren, noch Emails nach Spam oder Viren klassifizieren, noch Emails einsehen im Falle einer Krankheit oder des Ausscheidens oder durchsuchen um eine Auskunft zu erstellen. Da Proxies eher aussterben halte ich den Internetzugang ohne Proxy, Filterung oder Protokollierung für vertretbar, Email nicht. Dass die Organisation mitlesen kann ist sicher den meisten Mitarbeitern bewusst, aber nur die Spezialisten setzen dann konsequent ein virtuelles privates Netz (VPN) ein.
Zu diesem Themenkomplex gibt es eine ältere Orientierungshilfe Email- und Internetdienste, die aber die Probleme Auskunft und Nachfolge ignoriert bzw. diese haben die Scheinlösung privater/persönlicher Ordner, der in der Praxis erfahrungsgemäß ignoriert wird, insbesondere wenn Krankheit, Tod, oder Ausscheiden überraschend eintreten. Außerdem muss man Einwilligungen mit Arbeitnehmern oder Betriebsvereinbarungen, wie sie in der Orientierungshilfe vorgesehen sind, als kritisch einstufen, wenn sie nicht Bestandteil des Arbeitsvertrags sind. Oder zumindest ist das die Empfehlung in Guidelines on consent under Regulation 2016/679 der nicht mehr existierenden Working Party Article 29 (die 29 bezieht sich auf die alte Datenschutzrichtlinie 95/46/EG).
Computer
das halte ich für datenschutzrechtlich unkritisch, wenn vom Computer keine zentral gemanagten Backups erstellt werden, in dem dann Kopien privater Dokumente landen. Allerdings sind private Emailkonten auf Organisations-Computern leider ein Einfallstor für Malware – denn die kommen eher über die Adressen der kostenlosen Emailanbieter – Ausnahmen bestätigen die Regel – als über einen gut gemanagten Emailserver der Organisation, insofern kann man auch da zum Verbot neigen.
Tablet oder Mobiltelefon
dafür gibt es spezielle Lösungen die privat und Organisation trennen sollen und typischerweise auch den Zugriff von Messengerdiensten auf das Adressbuch der Organisation blockieren. Wenn man erreichen will, dass Mitarbeiter das Telefon der Organisation mitnehmen, dann muss man das verwenden, denn zwei Telefone will niemand herumtragen, aber ohne Trennung fließen zu viele Daten der Organisation an Apple, Google, Facebook (s.a. https://www.datenschutz.rlp.de/de/themenfelder-themen/whatsapp/), und andere.
Datenträger
das ist selten ein Thema, aber auch hier sollte man ein Verbot aussprechen, um die Angriffsfläche zu minimieren.
Drucker
wenn der Drucker lokal ist oder den Abholer authentifiziert, dann ist das in meinen Augen unkritisch. Moderne größere Drucker speichern allerdings Druckaufträge für längere Zeit – darauf sollte man zumindest hinweisen.

In diesem Problembereich wird immer gerne betriebliche Übung oder Besitzstand als Hindernis angeführt. Nun, ich bin nicht auf Arbeitsrecht spezialisiert, aber schon als Arbeitnehmer wollte ich gar nicht die Organisationsadresse für meine private Kommunikation verwenden. Und der geldwerte Vorteil davon liegt sicher im Bereich unter 1€, also kann man diese Vorteile bestimmt im Rahmen einer Gehaltsrunde einkassieren.

Beispiele mit Abgrenzungsproblemen

Krankmeldung oder andere Kommunikation zum Arbeitsvertrag

Die meisten Arbeitnehmer werden vermutlich das Emailkonto der Organisation verwenden oder auch mal das private, dann aber ein schlechtes Gewissen haben. Eigentlich falsch, denn es ist keine interne Kommunikation sondern zum Arbeitsverhältnis, da ist in meinen Augen das private Emailkonto richtig. Während das bei der Krankmeldung vom Arbeitnehmer zum Arbeitgeber noch relativ unproblematisch ist, ist der andere Weg, Nachrichten vom Arbeitgeber zum Arbeitnehmer dann schon ein größeres Problem, denn der kann bei Krankheit oder auch Vorruhestand nicht erwarten, dass der Arbeitnehmer seine dienstliche Email liest. Wenn die Personalstammdaten also keine private Emailadresse enthalten, bleibt nur noch die Briefpost.

Dienstreisen

Kunden haben mir schon erzählt, dass sie die Privatnutzung auch des Emailkontos erlauben, weil die Mitarbeiter viel unterwegs sind, und man nicht erwarten könne, dass sie zwei Geräte mitnehmen. Aber zum einen ist die Nutzung des Computers der Organisation zum Surfen, Telefonieren ist – s.o. – vergleichsweise unkritisch, ein Abruf von Mails des privaten Kontos fast immer über eine Weboberfläche möglich, zum anderen kann es bei der Einreise in manche Staaten sowieso Probleme geben, da wäre ein reines Surfgerät mit Remotezugriff und ohne lokal gespeicherte Daten die beste Lösung.

Elternbeirat oder Elternvertretung

Alle die Kinder haben, wissen was Elternbeiräte bzw. Elternvertreter sind. Engagierte Eltern die mithelfen und dem Kindergarten oder der Schule oder auch anderen Eltern mit Rat und Tat zur Seite stehen. Formal muss man sagen, die Elternvertretung, oder wie auch immer sie im jeweiligen Bundesland heißt, ist ein Organ oder Gremium der Schule. Relativ klar kann man das auf Gibt es bei der Archivierung von Unterlagen des Elternbeirats eine spezielle Regelung? für Bayern nachlesen.

Wenn ich mich auf Homepages von Schulen umsehe und dort nach dem Elternbeirat suche, auch in Bayern, dann finde ich oft zwei Muster, die mir beide nicht gefallen:

Die Elternbeiräte sind mit privater Emailadresse angegeben
Das fällt in die Kategorie Nutzung privater Mittel und ist aus den oben genannten Gründen nicht in Ordnung.
Ich sehe Emailadressen elternvertreter1@example.com, elternvertreter2@example.com, usw.
Das einfache Nummernschema – mehr als drei habe ich nicht gesehen – deutet darauf hin, dass die Emailadressen von immer neuen Personen verwendet werden, und völlig unklar ist ob bei jedem Wechsel das Passwort geändert und der alte Inhalt des Postfachs gelöscht wird. Da mit dem Elternbeirat oft vertraulich kommuniziert wird, ist das bedenklich. Ich möchte wetten, dass bei dieser Variante die meiste Kommunikation nach erster Kontaktaufnahme dann doch über private Emailadressen läuft.

Was wäre besser?

Vorname.Nachname@example.com, Vorname.Nachname@elternbeirat.example.com, Vorname.Nachname.Elternbeirat@example.com
Also wie bei anderen Mitarbeitern auch, ggfs. klar gekennzeichnet mit eigener Domäne oder Namensteil. Hab ich leider auf keiner Homepage gesehen.
Elternbeirat-Klasse-6a-Schuljahr@example.com, Stv-Elternbeirat-Klasse-6a-Schuljahr@example.com
Also wie bei anderen Funktionspostfächern, jedoch ergänzt um den zeitlichen Bezug. Auch das habe ich auf keiner Homepage gesehen. Ich würde das auch eher als Ergänzung/Verteilerliste sehen, denn als die bevorzugte Lösung mit den richtigen Namen.

Meine oben dargestellte Auffassung ist natürlich überall ein großes Problem, wo ein Ehrenamt ausgeübt wird, wie z.B. in Vereinen oder Beiräten aller Art, vom Elternbeirat in der Kita bis zum Gemeinderat der Stadt. Aber dennoch denke ich, hier muss der Verantwortliche Maßnahmen ergreifen, die die Kontrolle über die Daten der Organisation sicherstellen.

Sie denken anders?

Dann lassen Sie uns darüber diskutieren...


Leserbriefe, Reaktionen, Ergänzungen

Dieser Artikel wurde unter anderem von diesem Leserbrief motiviert:

ich verfolge Ihren Blog unter blog.lindenberg.one schon eine geraume Zeit. Gerade Ihre datenschutzrechtlichen Einschätzungen zu E-Mail-Themen interessieren mich sehr.

Da mich ein Thema (leider) sehr beschäftigt schreibe ich Ihnen nun und hoffe auf Ihre Einschätzung.


Veröffentlicht am 02.07.2022.

© 2022 Joachim Lindenberg. Diese Seite spiegelt meine persönliche Meinung wieder. Sie stellt keine Rechtsberatung dar. Fragen Sie doch einen Anwalt der sich damit auskennt.