Berliner Datenschutzbeauftragter will BYOD genau beobachten

KarriereMobilePolitikRecht

Alexander Dix, der Berliner Beauftragte für Datenschutz und Informationsfreiheit, hat in seinem Jahresbericht auch Probleme im Zusammenhang mit “Bring your own device” angesprochen. Außerdem gibt er zahlreiche Empfehlungen und Tipps, worauf aus Sicht von Anwendern, Organsiationen und des Datenschutzes zu achten ist.

BYOD (“Bring your own device”), also das Arbeiten mit privaten Endgeräten wie Smartphones, Notebooks oder Tablet-PCs am Arbeitsplatz wird auch in Deutschland immer intensiver diskutiert und immer häufiger diskutiert. Mitarbeiter und Firmen versprechen sich davon mehr Flexibilität, manchmal auch Einsparungen und vor allem die Möglichkeit, in Zeiten immer kürzerer Produktzyklen gerade bei mobilen Geräten mit modernen Produkten arbeiten zu können.

Nach Ansicht des Berliner Beauftragten für Datenschutz und Informationsfreiheit, Alexander Dix, birgt BYOD aber auch Risiken. Diese müssten durch eine Kombination von technischen und rechtlichen Maßnahmen beherrscht werden. In seinem aktuellen Tätigkeitsbericht empfiehlt Dix daher die Entwicklung einer Gesamtstrategie, wenn BYOD in die geschäftliche Kommunikation eines Unternehmens integriert werden soll.

Datenschutzrechtliche und technische Risiken

united-planet-byod

Problematisch sei, das sich Privatgeräte dem IT-Management, mit dem der Arbeitgeber die Geräte – auch aus Gründen des Datenschutzes – verwaltet und kontrolliert, meist entziehen. “Ihr Einsatz birgt deshalb auch datenschutzrechtliche und technische Risiken”, heißt es in dem Bericht. In der öffentlichen Verwaltung sei daher der Einsatz privater Datenverarbeitungsgeräte bisher grundsätzlich untersagt.

Auch wenn es bei BYOD zur Verarbeitung personenbezogener Daten auf privaten Geräten kommt, bleibt im Sinne des Datenschutzrechts das Unternehmen für die ordnungsgemäße Datenverarbeitung verantwortlich. “Es empfiehlt sich daher, schriftliche Festlegungen gegenüber den Beschäftigten in Form einer Betriebsvereinbarung, in bestimmten Fällen auch einer Individualvereinbarung zu treffen.” Andererseits seien die bei BYOD verwendeten Technologien grundsätzlich dazu geeignet, Verhalten und Arbeitsweise der Beschäftigten zu überwachen. Bei der Ausgestaltung der Vereinbarung und Nutzung habe daher der Betriebsrat ein Mitbestimmungsrecht.

Aus Sicht des Berliner Datenschutzbeauftragten sollte solch eine Vereinbarung mehrere Aspekte berücksichtigen. Dazu gehören Vorgaben, „wie zwischen privaten und geschäftlichen Daten getrennt werden soll, und wer wann und in welcher Form Zugriff auf die Daten hat.“ Zudem sollte festgehalten sein, dass und welche Sicherheitsvorkehrungen einzurichten sind. Das Unternehmen wiederum muss sich das Recht einräumen lasse, auf die Geräte zuzugreifen, denn ohne solch eine Genehmigung begibt sich der Administrator auf dünnes Eis und könnte sogar strafrechtlich belangt werden.

Alles andere als trivial ist auch die Antwort auf die Frage, wie mit personenbezogenen Daten Dritter auf dem privaten Gerät umgegangen wird. Das gilt zum Beispiel auch im Falle einer notwendigen Reparatur: Kann die nämlich nicht von der Unternehmens-IT durchgeführt werden, müssen vor der Weitergabe des Geräts an einen Dritten gegeben falls eine Datensicherung durchgeführt und sensible Daten gelöscht werden.

Erforderliche Sicherheitsmaßnahmen

Auch auf die aus seiner Sicht erforderlichen Sicherheitsmaßnahmen geht der Datenschützer ein. Der Nutzer soll sich am besten per Zwei-Faktoren-Authentifizierung anmelden. Beim Smartphone sollte nicht nur die SIM-Kartensperre, sondern auch die Bildschirmsperre aktiviert sein. In die Infrastruktur des Arbeitgebers sollte das Gerät nur gesichert integriert werden, zum Beispiel über VPN. Aktuelle Virenscanner auf den mobilen Geräten hält Dix für obligatorisch. Außerdem sollten Daten nur verschlüsselt gespeichert werden.

Detaillierte Hinweise aus technischer Sicht dürfen Firmen laut Dix von einem in Vorbereitung befindlichen Papier des Bundesamtes für Sicherheit in der Informationstechnik erwarten. Er geht außerdem davon aus, dass auch Maßnahmenempfehlungen im Grundschutzkatalog des BSI folgen.

Das Fazit von Dix aus Datenschutzsicht: “Das Phänomen BYOD ist weiter zu beobachten. Bestimmte Probleme, Bedrohungen und Sicherheitsmaßnahmen sind bekannt, Lösungen bereits diskutiert und verfügbar. Durch die Kombination verschiedener technischer und rechtlicher Maßnahmen müssen die Risiken beherrscht werden, die durch die Nutzung privater Datenverarbeitungsgeräte im beruflichen Umfeld entstehen.” In der in der öffentlichen Verwaltung sollte BYOD seiner Ansicht nach aber auch weiterhin eine Ausnahme bleiben.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen