Dienstliche Mails auf eigenen Geräten

Situationsbeschreibung

Fast jedes Mitglied der Universität hat ein Smartphone, doch nur einem Bruchteil von ihnen wurde es als Dienstgerät ausgehändigt. Eine flächendeckende Versorgung ist auch mittelfristig nicht möglich. Eine Überschlagsrechnung zeigt, dass die Universität bei einem niedrig angesetzten Einzelpreis von EUR 200 für 2.000 Mitarbeitern und Mitarbeiterinnen einen Betrag von EUR 400.000 budgetieren müsste. Und dies regelmäßig über zwei Jahre, weil Geräte veralten, verloren gehen oder beschädigt werden.

Und warum auch, fast jeder Mitarbeiter oder Mitarbeiterin hat schon ein Gerät, auf dem ohne Aufwand und ohne Abnutzung rasch ein paar zusätzliche Accounts eingerichtet sind. Und Smartphones sind nicht die einzige Geräteklasse, wo privates Eigentum so eingesetzt wird. Laptops lassen sich ebenso um dienstliche Accounts erweitern, und sie sind eher teurer als Smartphones. Die Mitarbeiter und Mitarbeiterinnen müssen nicht warten, bis ein Gerät genehmigt, beschafft und eingerichtet ist.

Wo liegt dann das Problem?

Kontrollverlust

Allen diesen Geräten ist gemein, dass sie nicht von einer technischen Person betreut werden, die für das Funktionieren gemäß der Vorgaben der Universität als Arbeitgeberin verantwortlich sind. Es ist nicht nachvollziehbar, welcher Gerätezoo sich mit den Systemen der Uni-IT verbindet, wie er konfiguriert ist, wo er ist, rein räumlich gesehen. Das Landesdatenschutzgesetz (LDSG) verlangt von den Betreibern informationstechnischer Systeme, dass sie jederzeit die Kontrolle haben, sofern personenbezogene Daten gespeichert oder verarbeitet werden. Für die Nutzer und Nutzerinnen stellt sich das nicht als Problem dar, für die Betreuer und Betreuerinnen der IT und die Universität als Betreiberin ist es eins.

Zwei Gedankenexperimente verdeutlichen dies. Ein Mitarbeiter aus der Zentralen Universitätsverwaltung (ZUV) erhält eine E-Mail mit den Unterlagen einer Bewerberin. Einer Professorin einer sich selbst verwaltenden Fakultät wird eine Mail mit der Entschuldigung einer Studierenden zugeschickt, die Abgabe einer Hausarbeit verzögere sich. Sobald der Mitarbeiter oder die Professorin diese Mails von unterwegs abrufen, liegen sie in diesem Moment außerhalb der Systeme der Universität. Sie sind nicht mehr unter vollständiger Kontrolle der zuständigen Administratoren bzw. Administratorinnen. Jede Taschenlampen-App mit Zugriff auf die Mails des Smartphones kann sie lesen.

Dieses Gedankenspiele allein verdeutlichen, wie diffizil die Verarbeitung dienstlicher Daten auf privaten Geräten ist. Es wird nicht legaler dadurch, dass es so einfach ist und es ein Großteil so macht.

Andererseits, der Gewinn an Effizienz ist so eklatant, besonders wenn Termine drängen oder Leute warten, denen schnell zu helfen ist. Da ist man ungern pedantisch.

Geänderte Verantwortlichkeiten

Abgesehen von den juristisch Verantwortlichen und den technischen Betreuern oder Betreuerinnen war kaum jemand unglücklich über die Nutzung privater Geräte. Mit den gestiegenen gesetzlichen Anforderungen durch die Datenschutz-Grundverordnung (DSGVO) und weiterer Regulierungen sowie der gestiegenen Sensibilität gegenüber dem Wert personenbezogener Daten verändert sich die Haltung der Betreiber von IT-Systemen, auf die mit privaten Geräten zugegriffen wird.

In Behörden des Bundes oder des Landes Baden-Württemberg ist der technische Aufwand für die Telearbeit, die von Angestellten in den eigenen vier Wänden geleistet wird, deutlich höher als noch vor ein paar Jahren. Das gilt auch schon für Mitarbeiter und Mitarbeiterinnen in der ZUV. Für sie gilt seit 2017 eine Richtlinie, die von ihnen im Umgang mit IT mehr Verantwortung verlangt. Aus dieser Richtlinie lässt sich indirekt herauslesen, dass sich ein unreflektierter Gebrauch privater Geräte verbietet.

Der Grund für dieses Verdikt ist vor allem das Bemühen, die Universität haftungsrechtlich für den Fall von Vorkommnissen freizustellen. Technisch lässt sich beispielsweise der Zugriff auf Mails kaum mit vertretbarem Aufwand abriegeln. Da sind die Administratoren und Administratorinnen der Mailserver auf die Mitwirkung der Nutzerinnen angewiesen. Ein ausgesprochenes Verbot verlagert die Haftung eindeutig auf diejenigen, die dem Verbot zuwiderhandeln.

Terms & Conditions

Üblicherweise blendet jeder Anbieter einer App beim Installieren ein seitenlanges Dokument ein, mit dem der Verwendungszweck der eingegebenen Daten beschrieben wird. Dass viele der Anbieter mit dem Mittel der juristischen Verklausulierung effektiv Verschleierung betreiben, tut nichts zur Sache.

Bei Mailaccounts sind nur die Zugangsdaten einzugeben. Als Nutzer oder Nutzerin sollte man sich der Tragweite bewusst sein, die hinter dem Eingeben von Daten eines Dienstaccounts in ein privates Smartphone steht.

Pflichten aus dem Arbeitsverhältnis

Mit dem Arbeitsvertrag unterschreibt jeder Mitarbeiter oder Mitarbeiterin eine weitere Verpflichtung, sich um den Datenschutz zu sorgen. Sie wird bekräftigt im Merkblatt zum Datengeheimnis, herausgegeben von Zendas und durch das Justiziariat der Universität verfügbar gemacht. In diesem Blatt wird „ausdrücklich zur Wahrung des Datengeheimnisses“ aufgerufen. Bei Zuwiderhandlungen greifen nominell sogar Regeln des Strafgesetzbuches. Dem Rechenzentrum sind aber keine Kollegen oder Kolleginnen bekannt, die deswegen ihre Adresse in einer Justizvollzugsanstalt haben.

Innerhalb dieser Diskrepanz muss daher jede Mitarbeiter oder Mitarbeiterin die Entscheidung selbst fällen, ob sie Dienstaccounts auf dem Privatgerät einrichtet, auf einem Dienstgerät insistiert oder Mails nur am Arbeitsplatz abruft.

Jan Leendertse, Manja Dehmer

Bildnachweis

Bild aus Wikicommons: https://commons.wikimedia.org/wiki/File:Assistent.jpg, By Pol.fores01 [CC BY-SA 4.0 (https://creativecommons.org/licenses/by-sa/4.0)], from Wikimedia Commons.