In Spanien verhängte die Datenschutzaufsicht AEPD laut einem Bericht auf datenschutzverein.de ein Bußgeld gegen ein Unternehmen, das seine Beschäftigten verpflichtete, ihre privaten Mobiltelefone zur Zwei-Faktor-Authentifizierung dienstlicher Konten zu nutzen. Hierfür wurden personenbezogene Daten der Beschäftigten an einen externen Dienstleister übermittelt. Der Datenschutzbeauftragte des Unternehmens hatte sich zuvor gegen dieses Vorgehen ausgesprochen. Die Aufsichtsbehörde sah für die verpflichtende Nutzung privater Mobiltelefone keine ausreichende Rechtsgrundlage. Insbesondere könne sich das Unternehmen nicht auf Art. 6 Abs. 1 lit. b DS-GVO (Vertragserfüllung) berufen, da die Nutzung privater Mobiltelefone für die Durchführung des Arbeitsverhältnisses nicht objektiv erforderlich sei. Auch eine Einwilligung der Beschäftigten hielt die Aufsichtsbehörde nicht ohne Weiteres für tragfähig. Nach Auffassung der AEPD setzt eine freiwillige Einwilligung voraus, dass den Beschäftigten eine Alternative angeboten wird, die keine Verarbeitung ihrer personenbezogenen Daten über das private Mobiltelefon erfordert. Zudem müsse die Einwilligung jederzeit ohne Nachteile widerrufen werden können. Darüber hinaus betonte die Aufsichtsbehörde, dass Arbeitgeber sicherstellen müssen, dass Unternehmensanwendungen keinen Zugriff auf private Daten der Beschäftigten erhalten können und eine technische Trennung zwischen beruflicher und privater Nutzung gewährleistet ist.
Bewertung
Der Fall ist mit Blick auf Schulen durchaus relevant, da auch dort die zusätzliche Absicherung von Zugängen zu dienstlich genutzten Plattformen durch eine Zwei-Faktor-Authentifizierung (2FA) zunehmend eine Rolle spielt. Hierfür stehen verschiedene Verfahren zur Verfügung. Verbreitet ist heute insbesondere die Nutzung von Authenticator-Apps, die zeitlich begrenzt gültige Einmalcodes (One-Time Passwords, OTP) erzeugen. Hierzu wird die App auf einem digitalen Endgerät durch das Scannen eines QR-Codes oder die Eingabe eines Einrichtungscodes mit dem jeweiligen Benutzerkonto verknüpft. Die sicherheitstechnische Notwendigkeit einer Zwei-Faktor-Authentifizierung ist dabei jedoch, wie der Fall aus Spanien verdeutlicht, von der Frage zu trennen, auf welchem Endgerät der zweite Faktor erzeugt beziehungsweise bereitgestellt wird, denn datenschutzrechtlich macht es einen erheblichen Unterschied, ob hierfür ein dienstliches oder ein privates Endgerät genutzt wird. Auch wenn die Mehrheit der Lehrkräfte heute über dienstliche Endgeräte verfügt, besteht für viele von ihnen weiterhin die praktische Notwendigkeit, ein privates Smartphone oder ein anderes zusätzliches Endgerät für die Zwei-Faktor-Authentifizierung zu nutzen. Wird beispielsweise auf einem dienstlichen iPad gearbeitet, kann die Nutzung einer auf demselben Gerät installierten Authenticator-App je nach Plattform und technischer Umsetzung umständlich oder nur eingeschränkt möglich sein. In der Praxis wird daher häufig auf ein privates Smartphone zurückgegriffen, auf dem die Authenticator-App installiert ist. Eine vergleichbare Situation entsteht, wenn das dienstliche Endgerät defekt ist oder Lehrkräften überhaupt kein dienstliches Endgerät zur Verfügung gestellt wurde.
Genau an diesem Punkt stellt sich jedoch die Frage, ob Lehrkräfte verpflichtet werden können, hierfür ihr privates Smartphone einzusetzen, oder ob Schulen beziehungsweise Schulträger (oder das Land) eine alternative Lösung bereitstellen müssen. Die Entscheidung der spanischen Aufsichtsbehörde spricht dafür, dass eine Verpflichtung zur Nutzung privater Endgeräte datenschutzrechtlich kritisch zu bewerten ist. Die AEPD stellt dabei maßgeblich darauf ab, dass die Nutzung eines privaten Mobiltelefons für die Erfüllung dienstlicher Aufgaben nicht als objektiv erforderlich angesehen werden kann und dass eine Einwilligung nur dann als freiwillig gelten kann, wenn eine echte Alternative besteht. Überträgt man diese Überlegungen auf den schulischen Bereich, spricht vieles dafür, dass Schulen Lehrkräfte nicht ohne Weiteres auf die Nutzung privater Smartphones für die Zwei-Faktor-Authentifizierung verweisen können. Vielmehr dürfte zu prüfen sein, ob alternative Verfahren zur Verfügung gestellt werden müssen, die keine Nutzung privater Endgeräte voraussetzen.
Zugleich ist davon auszugehen, dass viele Lehrkräfte aus praktischen Gründen auch ohne angebotene Alternativen bereit sind, ihr privates Smartphone für die Zwei-Faktor-Authentifizierung einzusetzen. Die Entscheidung der spanischen Aufsichtsbehörde verdeutlicht jedoch, dass die tatsächliche Bereitschaft vieler Beschäftigter nicht mit einer datenschutzrechtlich freiwilligen Einwilligung gleichzusetzen ist. Aus einer verbreiteten Praxis folgt daher nicht automatisch eine rechtliche Verpflichtung.