Bring your own device (BYOD) – und immer droht ein “Datenleak”

Jeder arbeitet mit dem Gerät, dass er kennt und mit dem er am besten umgehen kann – der Arbeitgeber erspart sich die Anschaffung von Smartphones, Tablets oder Laptops. Dieser Gedanke steht hinter einer inzwischen nicht mehr ganz so neuen Entwicklung, die es Arbeitnehmern explizit erlaubt, private Geräte an ihrem Arbeitsplatz zu nutzen. Laut dem Branchenverband Bitkom ermöglichen bereits 43 Prozent der Unternehmen aus den Informations- und Telekommunikationstechnologien private Geräte am Arbeitsplatz und von diesen haben 60 Prozent den Umgang in eigenen Richtlinien geregelt. Als Vorteil wird oft angeführt, dass private Geräte leistungsfähiger und nutzerfreundlicher sind sowie dass Mitarbeiter berufliche und private Aufgaben kombinieren können. Doch genau die Verquickung von privaten und beruflichen Kontakten, Unternehmensdaten und Programmen birgt erhebliche datenschutzrechtliche Risiken.

Offizielle Richtlinien oder „Schatten-IT“

Die Mehrheit der elektronischen Geräte ist für Verbraucher ausgelegt und erfüllt nicht die hohen Anforderungen, die Unternehmen an ihre eigene IT stellen. Allerdings bieten moderne Geräte Apps zur Kalenderverwaltung, Zusammenarbeit oder Datenspeicherung, die auch den Alltag in Unternehmen einfacher und effizienter gestalten können. Selbst wenn Unternehmen den Gebrauch von privaten Geräten nicht offiziell erlauben, werden die Geräte oftmals selbstständig von Mitarbeitern in den Berufsalltag eingebaut – so entsteht eine „Schatten-IT“ ohne das Wissen der Führungspersonen und IT-Verantwortlichen. Dabei droht einerseits ein unkontrollierter Abfluss von Daten, wenn Kontakt zu einem Firmennetzwerk hergestellt wird, und andererseits können Sanktionen der Datenschutzbehörden bei Verlust von personenbezogenen Daten folgen. Denn auch wenn Daten auf einem privaten Gerät liegen, bleibt das Unternehmen die sogenannte „verantwortliche Stelle“ im Sinne des Bundesdatenschutzgesetzes. Daher empfiehlt es sich, klare, schriftliche Regelungen zu treffen, um Sicherheitsaspekte zu regeln und Rechtssicherheit zu schaffen.

Ausgestaltung einer Richtlinie (BYOD-Policy)

Eine unternehmensinterne Richtlinie sollte den freiwilligen Charakter der Nutzung eigener Geräte ausdrücklich betonen, um den Unterschied zur Nutzung von Betriebsmitteln hervorzuheben. Sie sollte sowohl ein technisches Anforderungsprofil aufzeigen, als auch rechtliche Rahmenbedingungen definieren. So kann eine Richtlinie die erlaubten Geräte auf bestimmte Hersteller reduzieren oder zugelassene Betriebssysteme bestimmen. Bei letzterem empfiehlt sich, allein aus Sicherheitsgründen, auch die Setzung von Mindestversionsnummern (z.B. nur Geräte ab Android 2.3). Neben der Verpflichtung zum Einsatz bestimmter Unternehmenssoftware kann auch der Einsatz von Antivirenprogrammen und anderer sicherheitsrelevanter Software vorgeschrieben werden. Bestimmte Apps, wie zum Beispiel Cloud-Speichermöglichkeiten, können zumindest für den geschäftlichen Bereich untersagt werden. Ein Verbot von Apps für den privaten Gebrauch stellt, genau wie ein Verbot von jailbreaks und root-Modifikationen, einen erheblichen Eingriff in die Privatsphäre des Arbeitnehmers dar, wird aber trotzdem vom Bundesamt für Sicherheit in der Informationstechnik empfohlen2.

Vorsicht geboten ist auch bei Apps, deren Lizenzen die kostenfreie Nutzung auf den privaten Bereich beschränken. Vor dem Einsatz derartiger Apps ist zunächst das Unternehmen zu informieren, um dann gegebenenfalls Lizenzen für den gewerblichen Bereich erwerben zu können. Wenn der Arbeitgeber die Nutzung ohne Lizenz duldet, kann er unter urheberrechtlichen Gesichtspunkten haften.

Trennung beruflicher und privater Daten durch Container

Das größte Problem bei BYOD ist, dass geschäftliche E-Mails, Kontakte, Kalender und Datenbanken mit persönlichen E-Mails, Apps, Urlaubsfotos und andere Dokumenten zusammentreffen. Hierbei darf der Einfluss des Arbeitgebers nicht zu weit in den privaten Bereich reichen, denn zum Beispiel die Überwachung oder gar die Löschung von privaten Daten stellt rechtlich eine Datenerhebung oder –verarbeitung dar, die nur nach einer schriftlichen Einwilligung des Arbeitnehmers erlaubt ist. Erfolgen derartige Eingriffe ohne Einwilligung drohen eine zivilrechtliche Schadensersatzpflicht und eine Strafbarkeit der handelnden Personen wegen Verletzung des Fernmeldegeheimnisses (§ 206 Strafgesetzbuch). Daher empfiehlt es sich, private und berufliche Daten möglichst weitgehend zu trennen und entsprechende Unternehmensrichtlinien auf die Regelung der beruflichen Daten zu begrenzen.

Diese Trennung kann auf technischem Weg über sogenannte Container- oder Sandbox-Programme erreicht werden. Dabei wird auf dem privaten Gerät ein verschlüsselter Bereich angelegt, den der Arbeitgeber aus der Ferne warten und mit Programmen und Daten bestücken kann. Dieser Bereich ist nur per Passwort zugänglich und nur von dort ist Zugriff auf das Firmennetzwerk gestattet. Bei neuesten Programmen dient das Gerät lediglich zum Anzeigen von Texten und Grafiken ohne dass Daten auf dem eigenen Datenträger verbleiben (ähnlich einem Stream, dadurch ist lediglich der Arbeitsspeicher des Geräts betroffen). Die Verbindung zu einem Firmenserver kann über sog. Terminal Sessions oder VPN-Clients erfolgen. Um Bring-Your-Own-Device mit Smartphones oder Tablets technisch zu ermöglichen, gibt es ganze Mobile-Device-Management-Suiten, die diese Funktionen mit einer Übersicht der im Einsatz befindlichen Geräte oder mit Programmen zum Viren- und Malware-Schutz kombinieren. Entscheidet sich der Arbeitgeber, private Geräte zuzulassen, ist er sogar gesetzlich verpflichtet, personenbezogene Daten durch technische und organisatorische Maßnahmen zu schützen, z.B. mittels Zugangs- und Zugriffskontrollen (vgl. § 9 Bundesdatenschutzgesetz).

Rechtliche Herausforderungen

Oft unberücksichtigt bleibt die Tatsache, dass geschäftliche Daten auf privaten Geräten auch den gesetzlichen Aufbewahrungspflichten unterliegen. Hier helfen nur eine regelmäßige Synchronisation mit den Servern des Unternehmens oder eine manuellen Datensicherung, um etwa steuerlich relevante Mails und Belege gesetzeskonform aufzubewahren. Weitere Probleme können beim Verlust der Geräte auftauchen – hier gilt es gegebenenfalls die Aufsichtsbehörden zu informieren und die Daten etwa durch Fernlöschung vor Zugriff zu sichern. Schließlich sind Aspekte der Kostenverteilung, der Datenlöschung bei fehlender Erforderlichkeit oder Datenherausgabe nach Beendigung des Arbeitsverhältnisses zu beachten. Hauptaufgabe einer BYOD-Policy muss es sein, diese Punkte vorherzusehen und klare Regel zu bestimmen, um mögliche Probleme zu vermeiden.

Fazit

Auf private Geräte muss im Büro oder auf Geschäftsreise nicht verzichten werden, allerdings sollte eine Richtlinie den Rahmen für eine erlaubte Nutzung definieren. Ohne derartige Richtlinien kann eine Schatten-IT innerhalb des Unternehmens entstehen und es bestehen Haftungsrisiken. Nicht umsonst wird BYOD häufig mit Bring-Your-Own-Desaster übersetzt. Mit technischen und rechtlichen Rahmenbedingungen können private Geräte jedoch zu einem Teil der modernen Unternehmenskultur werden.

Autor: Andreas Dölker ist Volljurist und als Berater für ISiCO Datenschutz tätig.Das in Berlin ansässige Unternehmen bietet Analyse, Auditierung, Beratung und Mitarbeiterschulung in den Bereichen Datenschutz, Datenschutz-Compliance und IT-Sicherheit an.Die Tätigkeitsschwerpunkte von Andreas Dölker umfassen vor allem das IT- und Datenschutzrecht. Wegen seiner Erfahrung als Serverbetreuer und Systemadministrator in Freiburg im Breisgau, berät er hauptsächlich Unternehmen an den Schnittstellen zwischen Recht und Technik.

Mehr Infos zum rechtskonformen und sicheren Handling von „BYOD“ unter www.isico-datenschutz.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>