Regelung zum Einsatz von Monitoring-Tools
Beim Einsatz (technisch empfehlenswerter) Monitoring-Tools zur Überwachung des korrekten Systemzustandes und der zulässigen Systemverwendung sind datenschutzrechtlich insbesondere zwei Punkte zu beachten: a) die Art und Weise der Datenverarbeitung und der damit verbundene Zweck muss zu Beginn transparent beschrieben werden. b) Beim Einsatz von Software bei (vor allem außer-europäischen) Drittdienstleistern müssen die insoweit geltenden Datenschutzvorgaben beachtet werden (vgl. vertiefend unter http://www.iitr.de/so-funktioniert-internationaler-datenschutz.html).
Die kontinuierliche Aufzeichnung von Überwachungsdaten zu Endgeräten stellt von je her insbesondere bei Produkten amerikanischer Herkunft einen Bereich dar, den es besondere Aufmerksamkeit zu schenken gilt. So werden beispielsweise Gesprächsdaten und aufgerufene Internet-Seiten standardmäßig von der BlackBerry-Unternehmenslösung aufgezeichnet, wenn diese nicht ausdrücklich durch den Administrator ausgeschaltet werden. Im Kontext von Privatgeräten gibt es für das Sammeln dieser Daten kaum ein begründbares Erfordernis. Selbst die durchaus nützliche Möglichkeit zur Geräteortung bei Verlust, wie sie AirWatch und MobileIron für iPhones und Androids anbieten, sollte vor Aktivierung mit den Geräteinhabern definitiv vereinbart werden. Letztlich bestimmen Regelungen zur Kostenübernahme, ob die Aufzeichnung des Roaming-Status von Privatgeräten überhaupt notwendig ist. Zu beachten ist, dass die Aufzeichnung auch unverfänglich wirkender und für den Support-Fall nützlicher Informationen (z.B. die Erhebung der letzten Verbindung zwischen Endgerät und Unternehmens-IT) nicht grundsätzlich auch im Interesse des Gerätebesitzers liegen muss. Dieser sieht sich allzu leicht in der Erklärungssituation, warum geschäftliche E-Mails unbeachtet blieben, obwohl diese ganz offensichtlich technisch seinen digitalen Begleiter erreicht haben.
Sobald die Firmenanbindung eines Privatgeräts an durch den Nutzer veränderbaren Sicherheitseinstellungen wie Aktivierung eine Gerätekennworts vordefinierter Güte, Aktivierung der Geräteverschlüsselung und Nicht-Vorhandensein von Apps einer unternehmensgeführten "schwarzen" Liste gebunden wird, ist deren regelmäßige Erfassung und Abgleichung mit sich durchaus verändernden zentralen Regelwerken unumgänglich.