Bei der Nutzung von Dienst-Smartphones im Unternehmen hat man meist nur einen Vertrag mit dem Netzbetreiber. Wenn die Mitarbeiter das Smartphone dann einrichten, erstellen sie eine ID beim Hersteller (AppleID oder GoogleID) - auch zur Nutzung der jeweiligen Cloud-Dienste (iCloud oder Google Cloud), wo dann auch jede Menge Daten hinfließen (zumeist als Backup), sofern der Mitarbeiter das nicht alles ausschaltet.
Liegt dann da eine Auftragsverarbeitung durch den Hersteller (Apple oder Google) vor? Muss das Unternehmen einen AVV/DPA machen?
Bei Diensthandys sollte das m. E. zentral verwaltet werden , inklusive der Nutzung von Firmenaccounts für die Cloud Dienste, ansonsten haben wir ein riesen Problem (Datenschutz, Betriebsgeheimnisse, etc.) auch wenn der Mitarbeiter nachm Ausscheiden einfach per Backup die Daten auf ein eigenes Gerät wiederherstellen könnte.
MDM’s sind da natürlich der Way to go, aber wo nicht gewollt durch den Verantwortlichen muss es halt ne Dienstanweisung sein, aber die Verknüpfung von Privat/eigenen Accounts mit dem Firmenhandy muss unterlassen werden.
Also bei Google ist meines Wissens der DPA Teil der T&C für Business Accounts, ich würd vermuten bei Apple ist es ähnlich, aber die Mitarbeiter sollten die Accounts ja sowieso nicht einrichten sondern sich nur in die bereitgestellten Accounts einloggen.
Falls dieser nicht inkludiert ist, sollte natürlich ein DPA angestrebt sind, würd mich aber wie gesagt nicht wundern, wenn’s über die AGB automatisch passiert.
(Abgesehen davon, dass der Datenschutz bei diesen Diensten nur auf dem Papier (nicht mal das!) vereinbart ist und sie sich davon in ihrer Praxis wenig beeindrucken lassen… - Man lässt sich mit dem beauftragen, was man vorhat; ändert das auch mal gern.)
Bei Auftragsverabeitung sollten normale Nutzer so wenig Entscheidungen wie möglich treffen können. Stattdessen müsste ihnen der Verantwortliche (hier ihr Arbeitgeber) in seinem Sinn datenschutzkonform konfigurierte Konten zur Verfügung stellen. Z. B. mit Policies, Templates, MDM; notfalls durch Anleitungen (Weisungen), was an welcher Stelle zu tun bzw. zu unterlassen ist.
Unpassend wären Plattformen, wo man bei /mit der Nutzung irgendwelche Vereinbarungen mit dem Anbieter eingeht, beiläufig /zwangsweise Einwilligungen erteilt, Schleusen zu anderen Rechtsverhältnissen wie Privatkonten öffnet, so dass man selbst oder die Plattform Daten dieser Bereiche miteinander verbindet. Das alles reißt Löcher in die geregelte dienstliche Nutzung.
Z. B. wird nicht jede nutzende Person bevollmächtigt sein, für den Arbeitgeber Entscheidungen zu treffen oder Leistungen hinzuzubuchen. Einwilligungen würde man evtl. für sich selbst erteilen können; doch nicht für Personen, deren Daten man im betrieblichen Kontext verarbeitet (Gesprächspartner, Kontakte, Inhaltsdaten). Für den Arbeitgeber gelten die höheren Anforderungen an die Freiwilligkeit im Beschäftigungsverhältnis.
Je weiter die individuellen Abweichungsmöglichkeiten auffächern, umso stärker wirkt sich das auf die vorgesehenen Schutzmaßnahmen aus. Bei Daten, die mit Folgenabschätzungen verarbeitet werden, müssten solche Nutzungs”fehler” als Risiko adressiert sein.
D., der sich wünscht, Probleme einzeln angehen zu können. Je cloudiger die Cloud wird, umso schwerer ist sie einzufangen.
(Abgesehen davon, dass der Datenschutz bei diesen Diensten nur auf dem Papier (nicht mal das!) vereinbart ist und sie sich davon in ihrer Praxis wenig beeindrucken lassen… - Man lässt sich mit dem beauftragen, was man vorhat; ändert das auch mal gern.)
Das ist sowieso ein anderes Thema, aber damit vergraule ich leider jeden Verantwortlichen (weise natürlich dennoch drauf hin), aber der Wiederstand der teilweise “nur” beim Thema Google Fonts oder ReCaptcha kommt…
Ich konkretisiere meine Frage nochmal: Ist hier jemand, der Unternehmen kennt, die Dienst-Smartphones an Mitarbeiter ausgeben. Falls ja: Wie wird in den Fällen die Cloud-Sache gelöst?
Wir haben Dienst-IPhones. Diese werden durch ein MDM gemanagt. Es gibt eine festgelegte Liste von erlaubten/freigegebenen Apps. Wir Endnutzer verwenden keine Cloud-Dienste von Apple für die Verarbeitung personenbezogener Daten… die IPhones können ohne Apple-ID genutzt werden.
Als externer DSB kann ich konkret auch bestätigen: oft MDM Systeme, die teilweise gewisse Funktionen einfach unterbinden, Nutzung von Firmenaccounts für google z. B.
Bei mir ist das jetzt schon ein Weilchen mit der Einrichtung her, daher weiß ich nicht mehr genau, wie der Ablauf war. Auf jeden Fall kann man diese Anmeldung am Apple Account unterlassen.
