Leise und dennoch präsent

Bring Your Own Device: Eine Standortbestimmung 2016

Dr. Veikko Krypczyk, Olena Bochkor

@shutterstock/Pixsooz

Das Thema Bring Your Own Device (BYOD) hatte vor ein bis zwei Jahren Hypestatus. Die eigenen Geräte der Mitarbeiter im Unternehmen einzusetzen wurde einerseits als starkes Mittel der Motivations- und Effizienzsteigerung gesehen, anderseits haben die Hüter des Datenschutzes schon die schlimmsten Befürchtungen heraufbeschworen. Dann wurde es ruhig – zu ruhig?

Der Erfolg eines Unternehmens bestimmt sich heute nicht nur durch die Qualität der Leistungen, sondern auch durch eine schnelle und flexible Auftragserledigung sowie eine zeitnahe Beratung der Kunden. Es genügt also nicht eine Leistung anzubieten, sondern zunehmend rückt der Faktor Zeit in den Fokus. Die Interessen der Mitarbeiter entwickeln sich diesbezüglich eher in eine andere Richtung. Längere Präsenzzeiten am Arbeitsplatz und im Büro sind nicht erwünscht. Immer mehr wird der Wunsch nach echter Vereinbarkeit von Beruf und Freizeit (Work Life Balance) präsent. Eine höhere Flexibilität der Mitarbeiter ist daher notwendig. Viele Unternehmen haben dazu bereits in den letzten Jahren die entsprechenden organisatorischen und administrativen Maßnahmen ergriffen. Sich von starren Vorgaben bezüglich Ort und Zeit für seine Mitarbeiter zu verabschieden, ist oft nicht leichtgefallen. Gerade große Unternehmen oder Organisationen mit einer gewissen Nähe zu öffentlichen Einrichtungen mussten und müssen dabei sprichwörtlich mehrfach über ihren eigenen Schatten springen. Anzupassen waren viele Bestimmungen im Unternehmen, wie Betriebsvereinbarungen und andere Arbeitsvorschriften. Das Schwierigste dabei ist jedoch, ein Umdenken in den Köpfen der Beteiligten zu erreichen.

Um den Erfordernissen nach mehr Flexibilität zu entsprechen, kam das Thema Bring Your Own Device (BYOD) gerade recht. Die Idee besteht darin, dass in den Unternehmen zunehmend der Einsatz eigener Technologie der Mitarbeiter (mobile Endgeräte wie Smartphones, Tablets oder Notebooks) nicht nur geduldet, sondern aktiv begleitet, gelegentlich sogar gefördert wird. Unterschiedliche Spielarten dieser Idee haben sich herauskristallisiert. Bei COPE (Corporate Owned, Personally Enabled) stellen die Unternehmen den Mitarbeiten leistungsfähige Geräte zur Verfügung. Dabei wird ausdrücklich eine private Nutzung der Geräte – auch in der Freizeit – in Kauf genommen. Bei der Auswahl der Technik hat der Mitarbeiter ein Mitbestimmungsrecht. Inwieweit dieses – unter Beachtung bestimmter technischer Notwendigkeiten und kostenmäßiger Aspekte – ausgestaltet wird, ist von Einzelfall zu Einzelfall unterschiedlich. Der klassische BYOD-Ansatz geht dagegen in eine andere Richtung. Hier erlauben Unternehmen die Nutzung von eigenen Geräten für dienstliche Aufgaben. Beide Ansatzpunkte dienen primär dazu, die Motivation und damit die Effektivität der Arbeit der Mitarbeiter zu steigern. Das Thema ist nicht neu, bereits vor einigen Jahren haben die Autoren sich damit auseinandergesetzt [1], [2]. Im Fokus standen damals der Problemaufriss und erste Ansatzpunkte für Lösungen. Wie bei vielen neuen Themen der IT, wird es nach einer ersten Hochphase oft ruhiger. Auch auf BYOD trifft dieses zu. Das kann zwei Ursachen haben:

  1. Das Thema wurde überbewertet und seine Relevanz ist nicht mehr gegeben.
  2. Die Probleme wurden weitgehend gelöst und man befindet sich in der Phase der Konsolidierung.

Eines vorweg: BYOD ist noch heute ein echtes Thema. Die Problemlage ist nach wie vor präsent. Es ist in der Praxis angekommen, für einige Fragen wurden Lösungen erarbeitet, manche Punkte haben sich geschärft. Wir finden: Zeit für ein inhaltliches Update.

Bedeutung

Die Anzahl der Arbeitnehmer, die ihre Smartphones oder Tablets für berufliche Zwecke nutzen, steigt kontinuierlich. In Asien (insbesondere Südkorea, Singapur und Taiwan) ist es inzwischen Alltag geworden. Ebenso in der USA wird die Verwendung privater Geräte am Arbeitsplatz stark gefordert. Deutschland reagiert auf diesen Trend jedoch immer noch mit gebremster Euphorie. Die Gründe dafür sind strenge datenschutz-, steuer- arbeits- und lizenzrechtliche Aspekte. Befeuert wird die Diskussion in Deutschland und Europa mit den aktuellen Debatten um den Stand des Datenschutzes und der Notwendigkeit, diese strengeren Regeln gegenüber den lascheren Vorschriften aus den USA zu verteidigen. Die Gründe für die Motivation bleiben unverändert. Die Effektivität des Mitarbeiters soll durch die Möglichkeit der Nutzung seiner Wunschgeräte gesteigert werden. Auch das ausdrückliche Zulassen der privaten Nutzung (beispielsweise Anrufe, E-Mails, Nachrichten) auf dem „dienstlichen“ Smartphone ist heute Standard geworden. Vor zwei Jahren war es durchaus noch vorstellbar, das Thema als Unternehmen weitgehend zu ignorieren, d. h. an einem Verbot der Nutzung privater IT-Technik festzuhalten. Die Praxis hat viele Organisationen jedoch eines Besseren belehrt. Nicht überall wurde das Thema aktiv aufgegriffen, d. h. jedoch nicht, dass die Entwicklung nicht stattgefunden hat. Die Mitarbeiter haben dann gelegentlich den Schritt in die Praxis eigenständig vollzogen, und wenn es dabei nur soweit ging, dass man sich mit dem privaten Smartphone im WLAN der Firma anmeldet.

Arbeitsrecht

Grundsätzlich gilt: BYOD kann nur auf Basis freiwilliger Regelungen umgesetzt werden, da das Unternehmen nicht über Privateigentum der Mitarbeiter verfügen kann. Folgende wichtige Punkte sind zu regeln:

  • Datenzugriff durch Unternehmen: Es ist eine Einwilligung der Mitarbeiter über die Kontrolle und Überwachung der privaten Geräte durch den Arbeitgeber einzuholen. Dieses betrifft zum Beispiel ein Sperren oder Löschen des gesamten Datenspeichers aus der Ferne, sofern Missbrauch droht (Verlust, unberechtigter Zugriff).
  • Finanzierung: Es ist mit dem Arbeitnehmer zu klären, ob für die betriebliche Nutzung des privaten Geräts ein Nutzungsentgelt gezahlt wird oder andere Kosten übernommen werden. Ebenso sind folgende Fragen zu beantworten: Wer übernimmt die Kosten im Falle des Verlustes, Reparatur oder Diebstahl?
  • Datenlöschung: Welche Daten sind nach der Beendigung des Arbeitsverhältnisses zu löschen bzw. an das Unternehmen herauszugeben, und wie soll es erfolgen? Es bedarf einer wirksamen vertraglichen Regelung zwischen dem Arbeitgeber und Arbeitnehmer, die den Bestimmungen des AGB-Gesetzes und BDSG standhält.

Nur wenn zwischen den Beteiligten in den wesentlichen Punkten Konsens erzielt werden kann, ist BYOD eine Option. Bei einigen Punkten ist durchaus Spielraum gegeben, d. h. zu Fragen der Finanzierung kann man als Unternehmen kompromissbereit sein. Fragen der Datensicherheit sind dabei unter keinen Umständen verhandelbar. Da sich private Geräte dem direkten Zugriff und auch dem Schutz des Unternehmens entziehen, ist zwingend eine Regelung zu treffen, wer im Falle eines Verlustes haftet (Kasten: „Geräteverlust“).

Geräteverlust

Im Falle des Geräteverlusts kann man zwei Konstellationen unterscheiden:

  1. Die Beschädigung oder der Verlust des Geräts wurde durch den Arbeitgeber verschuldet.
  2. Die Beschädigung oder der Verlust ist dem Bereich des Arbeitnehmers zuzuordnen.

Bei der ersten Konstellation ist es klar, dass der Arbeitgeber zum Ersatz des entstandenen Schadens verpflichtet ist. Bei der zweiten Variante ist es nicht so eindeutig. Je nach Ausgestaltung des Einzelfalls ist der Arbeitgeber oder Arbeitnehmer zur Schadenstragung verpflichtet. Grundsätzlich gilt: Der Arbeitgeber haftet, wenn der Schaden im Zusammenhang mit der Arbeitsleistung entstanden ist. Die Grenzen sind jedoch fließend. Viele Unternehmen haben sich freiwillig entschieden, die Haftung oder mindestens die Reparatur- und Wartungskosten zu übernehmen. Je nach Vertragsart kann sich die Haftungslage unterscheiden. Es kommt darauf an, ob es ein Leih-, Geschäftsbesorgungs- oder ein Mietvertrag vorliegt. Die Haftung für die Daten, die sich auf dem Gerät befinden, ist ebenso zu regeln. Eine Haftung des Mitarbeiters ist durchaus möglich, wenn die auf seinem Gerät befindlichen Informationen unberechtigt gelöscht, veröffentlicht oder weitergegeben werden. In diesem Fall gelten die allgemeinen arbeitsrechtlichen Grundsätze.

Datenschutz, Datenschutz, Datenschutz

Die Fragestellungen rund um den Datenschutz und andere rechtliche Aspekte prägen das Thema BYOD von Anfang an (Abb. 1). Technik und Organisation sollen dabei helfen, die sich daraus ergebenden Probleme bestmöglich zu lösen. Welche Konsequenzen bringt es mit sich, wenn private Smartphones und Tablets in Verbindung mit der Unternehmensinfrastruktur verwendet werden? Aus der datenschutzrechtlichen Sicht geht es um die Beantwortung der Frage, wie das Unternehmen folgende Aspekte gewährleisten kann, wenn sich private und unternehmensbezogenen Daten auf einem Gerät befinden:

  1. Der Arbeitgeber ist verpflichtet, die personenbezogenen Daten der Kunden und Mitarbeiter zu schützen und sie so wenig wie möglich zu verarbeiten (§5 BDSG).
  2. Ohne entsprechende Einwilligung dürfen die Unternehmen nicht die privaten Mitarbeiterdaten einsehen oder überwachen. Dieses würde u. a. einen Verstoß gegen §87 TKG darstellen.

Brisanz erhält der erste Punkt insbesondere dadurch, dass die Unternehmensdaten oft personenbezogene Daten der Kunden des Unternehmens darstellen (Kasten: „Was sind personenbezogene Daten?“) und diese einer besonderen Schutzbedürftigkeit unterliegen [3], [4].

Abb. 1: Rechtliche Aspekte prägen das Thema BYOD

Abb. 1: Rechtliche Aspekte prägen das Thema BYOD

Was sind personenbezogene Daten?

Nach dem Bundesdatenschutzgesetz (BDSG) sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Dies sind beispielsweise:

  • Name, Alter, Familienstand und Geburtsdatum
  • Anschrift, Telefonnummer und E-Mail Adresse
  • Konto- und Kreditkartennummer
  • Kraftfahrzeugnummer und Kfz-Kennzeichen
  • Personalausweisnummer und Sozialversicherungsnummer
  • Vorstrafen
  • Genetische Daten und Krankendaten
  • Werturteile, wie zum Beispiel Zeugnisse

Kundendaten gehören ebenso zu den personenbezogenen Daten wie die Personaldaten von Beschäftigten. Personenbezogene Kundendaten sind beispielsweise Namen von Ansprechpartnern oder E-Mail-Kontaktdaten. Dabei ist die technische Form dieser Angaben nicht von Bedeutung. Auch Fotos, Videoaufnahmen, Röntgenbilder oder Tonbandaufnahmen können personenbezogene Daten enthalten. Entscheidend für die Aussagekraft einer Angabe ist dabei ihr Verwendungszusammenhang. Um Angaben über eine bestimmte Person handelt es sich, wenn die Daten mit dem Namen der betroffenen Person verbunden sind oder sich aus dem Inhalt bzw. dem Zusammenhang der Bezug unmittelbar herstellen lässt. Bestimmbar ist eine Person, wenn ihre Identität unmittelbar oder mittels Zusatzwissen festgestellt werden kann. Die Angaben müssen sich auf einen lebenden Menschen beziehen. Einzelangaben über juristische Personen, wie zum Kapitalgesellschaften oder eingetragene Vereine, sind keine personenbezogenen Daten. Etwas anderes gilt nur, wenn sich die Angaben auch auf die hinter der juristischen Person stehenden Personen beziehen, das heißt auf sie „durchschlagen“. Dies kann beispielsweise bei der GmbH einer Einzelperson oder bei einer Einzelfirma der Fall sein, wenn enge finanzielle, persönliche oder wirtschaftliche Verflechtungen zwischen der natürlichen und der juristischen Person bestehen. Diese Daten sind gemäß den gesetzlichen Bestimmungen besonders schutzbedürftig, dürfen nur unter Kenntnisnahme und Zustimmung der betroffenen Person erhoben werden und müssen für den Zweck der Verarbeitung notwendig sein. Darüber hinaus dürfen die Daten auch nicht anderweitig (zweckentfremdet) genutzt werden.

Im Rahmen von BYOD hat der Schutz der Unternehmensdaten somit Priorität. Technisch gesehen müssen private Daten und Unternehmensdaten getrennt werden (Kasten: „Smartphones mit Unternehmensbereich“). Maßnahmen der Verschlüsselung und Authentifizierung sind zu verwenden, ein unberechtigter Zugriff und eine Weitergabe der Daten sind unbedingt zu verhindern. Genau dieser Punkt hat sich in der Praxis als schwierig herausgestellt. Kann man in den Räumen eines Unternehmens durchaus sicherstellen, dass nur berechtigte Personen mit den entsprechenden Geräten und Daten arbeiten, wird dieses außerhalb des Unternehmens schwer bis vollständig unmöglich. Dabei muss es sich nicht einmal um einen Vorsatz des Mitarbeiters handeln. Ein Beispiel: In Unternehmen wird gern das Prinzip der Desktopvirtualisierung verwendet. Damit kann über das Internet eine Remote-Verbindung zum Server und der betrieblichen Arbeitsumgebung von fast überall auf der Welt hergestellt werden. Die besten Voraussetzungen, um Homeofficeszenarien umzusetzen. Doch wie ist es mit der Arbeitsplatzsicherheit zu Hause bestellt? Der Mitarbeiter arbeitet bei aktiver Remote-Verbindung mit den schutzbedürftigen Unternehmensdaten. Aus welchen Gründen auch immer, verlässt er den heimischen Arbeitsplatz, und die Verbindung wird nicht getrennt. Andere Mitbewohner haben in seiner Abwesenheit nun direkten Zugriff auf die Daten. Alleinig der Umstand, dass sie brisante Daten lesen können, ist nicht zu akzeptieren. Schlimmer ist, sie können die Daten auch versehentlich löschen (das Kind spielt bei offenen Dateiexplorer am PC …) oder verändern.

Smartphones mit Unternehmensbereich

Smartphones mit Windows Phone als Betriebssystem bieten hier einen interessanten Ansatz. Beispielweise können Arbeitgeber ein Unternehmensbereichskonto erstellen. Über ein solches Konto können spezifische Apps für das Unternehmen installiert werden, d. h. der Zugang über den öffentlichen Store ist entbehrlich. Im Falle eines Geräteverlusts ist ein Zugriff von außen möglich. So könnte das Unternehmen beispielsweise die Speicherkarte deaktivieren, das Smartphone auf die Werkeinstellungen zurücksetzen, verhindern, dass Apps geöffnet oder heruntergeladen werden und das Unternehmenskonto deaktiviert wird.

Mit dem Wissen aus diesen Umständen gilt daher: Neben der Absicherung auf technischer Ebene müssen organisatorische und rechtliche Maßnahmen direkt und unmittelbar verbunden werden. Aus organisatorischer Sicht ist eine entsprechende Schulung der Arbeitnehmer notwendig. Die Weitergabe des Gerätes an Dritte (auch an Familienangehörige) ist unzulässig. Im Falle der beschrieben PC-Nutzung kann man natürlich dieses nicht verlangen, denn es wäre unrealistisch. Aber der Mitarbeiter ist über die Situation zu belehren und im Falle des Verstoßes auf die Konsequenzen rechtlicher Art hinzuweisen. Ein Leitfaden (schriftlich) über notwendige Verhaltensregeln ist aufzustellen. In Bezugnahme auf das obige Beispiel könnte es bedeuten, dass der Mitarbeiter auf dem heimischen PC die Remote-Verbindung bei Verlassen des Arbeitsplatzes zu trennen hat. Die Unternehmens- und Mitarbeiterdaten dürfen von den Benutzern nicht vermischt werden. Es gehört zu den Mitarbeiterpflichten, sich um einen stets aktuellen Malware- und Virenschutz und regelmäßige Systemupdates zu kümmern. Gegebenenfalls muss man als Unternehmen auch so weit gehen, dass man auf den Geräten die Nutzung bestimmter sicherheitskritischer Services untersagt, beispielsweise File-Sharing-Applikationen und Cloud-Dienste.

Der Schutz der privaten Mitarbeiterdaten darf ebenso nicht vernachlässigt werden. Den Beschäftigten schützt dabei nicht allein §32 BDSG als Konkretisierung des Allgemeinen Persönlichkeitsrechts, sondern auch die übergeordneten Grundrechte auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Beide Schutztatbestände werden aus dem Grundgesetz abgeleitet.

Lizenzrechtliche Bestimmungen

Die gewerbliche Nutzung von Programmen und Apps, die für private Zwecke lizenziert sind, ist unzulässig. Es würde eine Verletzung des Urheberrechts bedeuten. Im Rahmen von BYOD ist dieses leider oft der Fall. Consumer-Geräte werden oft mit installierten Betriebssystemen und Softwarepaketen ausgeliefert. Diese werden nun auch zum Arbeiten genutzt. Um die gewerbliche Nutzung privat lizenzierter Software zu vermeiden, sind daher entsprechende Regelungen und vertragliche Vereinbarungen zu treffen bzw. erforderliche gewerbliche Lizenzen anzuschaffen. Diese können personen- oder gerätegebunden erteilt werden. Ebenso besteht die Möglichkeit, Software parallel auf einem festen und auf einem mobilen Gerät zu installieren. Gemäß §99 UrhG haftet der Arbeitgeber verschuldensunabhängig für Urheberrechtverstöße seiner Mitarbeiter. Regelmäßige Lizenzaudits sind hilfreich, um Haftungsrisiken zu minimieren. Außerdem ist zu prüfen, ob Open-Source-Software für die betreffende gewerbliche Anwendung geeignet ist. In der Praxis stellt man oft fest, dass dieser Punkt sehr oberflächlich oder gar nicht erörtert wird. Hier ist die Verantwortung jedoch klar beim Arbeitgeber. Würde der Arbeitnehmer betriebliche Geräte nutzen, so würde die Frage der Lizenzierung der Software gar nicht zur Diskussion stehen. Bei BYOD darf das Unternehmen aufgrund der Tatsache, dass der Mitarbeiter seine eigene Hardware nutzt, die Fragen der Softwarelizenzierung auch nicht vernachlässigen. Der Arbeitgeber muss vielmehr gewerblich nutzbare Lizenzen zur Verfügung stellen. Darauf zu hoffen, der Arbeitnehmer wird schon lizenzierte Software nutzen, ist fahrlässig.

Steuern

Wie soll die private Nutzung betrieblicher Geräte versteuert werden? Grundsätzlich gibt es keine klaren Regelungen. Gemäß §3 Nr. 4 EStG ist eine Berücksichtigung in der Lohnsteuer nicht zulässig. Empfehlenswert ist eine exakte Trennung von privaten und betrieblichen Kosten. Beruflich veranlasste Aufwendungen kann der Mitarbeiter als Werbungskosten von der Einkommenssteuer absetzten. Der Arbeitgeber kann die Kosten der betrieblichen Nutzung privater Geräte als Betriebsausgaben geltend machen. Die konkrete Abgrenzung von absetzbaren Betriebsausgaben und absetzbaren Aufwendungen des Mitarbeiters ist jedoch problematisch. Für die Inanspruchnahme von Steuerbegünstigungen und Freibeträgen stellt dieses jedoch eine wichtige Voraussetzung dar. Klare steuerrechtliche Regelungen von BYOD gibt es nicht. Einige Fallbeispiele wurden vom Branchenverband BITKOM in einer Broschüre zusammengefasst.

Empfehlungen

Aufgrund der steigenden Anzahl der BYOD-Geräte wird es immer schwieriger, sich einen Überblick und die Kontrolle über die Geräte bzw. Nutzer zu verschaffen. Eine wichtige Voraussetzung ist, dass die gewählte BYOD-Lösung in der Lage ist, eine große Anzahl von unterschiedlichen Endgeräten zu unterstützen, also Smartphones, Tablets, Notebooks und Desktop-PCs. Auch bei der Bereitschaft des Mitarbeiters, sein privates Endgerät zu integrieren, kann nicht jedes Gerät ohne Weiteres zugelassen werden. Wichtig ist die Möglichkeit, dass die Unternehmensdaten von privaten Daten getrennt und diese verschlüsselt werden können. Geräte, die diese Voraussetzungen nicht erfüllen, sollten nicht freigeschaltet werden. Bei Smartphones und Tablets soll der Mitarbeiter seine Zustimmung abgeben, dass im Verlustfall alle Daten komplett gelöscht werden. Bei Notebooks ist eine Verschlüsselung der Daten auf der Festplatte möglich. Außerdem muss der Mitarbeiter mit Kontrollen durch den Arbeitgeber bzw. Datenschutzaufsicht einverstanden sein. Es ist empfehlenswert, die o. g. Voraussetzungen und Anforderungen mit den Mitarbeitern im Vorfeld zu besprechen bzw. einen Katalog über die geeigneten Geräte zu erstellen.

Alle Geräte müssen im Unternehmensnetzwerk sicher, verständlich und einfach eingebunden sein. Weit verbreitet ist die Self-Onboarding-Lösung, d. h. das Endgerät wird durch den Benutzer eigenständig eingebunden. Letztendlich wird ein vorkonfiguriertes Profil auf das Endgerät geladen. Dieses bietet einen sicheren Zugang zum Unternehmensnetzwerk. In Zeiten klassischer Desktoparbeitsplätze genügten für die Authentifizierung Benutzername und Passwort. Für BYOD ist es nicht ausreichend. Einen abgesicherten Netzwerkzugang garantieren digitale Zertifikate. Dazu muss der Nutzer das Zertifikat einmalig manuell in den entsprechenden Zertifikatsspeicher des Endgeräts einbinden. Ebenso notwendig ist eine sichere Verwaltung der bereitgestellten Anwendungen. Alle BYOD-Geräte sind in die vorhandene Infrastruktur zu integrieren. Da Unternehmensdaten sensible Daten vorhalten, ist Datensicherheit, Datenintegrität und Datenschutz zu garantieren. Mit der Installation von Enterprise-Apps ist der direkte Zugriff vom mobilen Gerät auf das Backend des Unternehmens möglich. Wie kann man die Daten am besten schützen? Hilfe bieten so genannte Middleware-Plattformen, die eine Art Sicherheitszone zwischen dem Backend und dem mobilen Gerät darstellen. Für den Schutz der gespeicherten Daten wird entweder ein verschlüsselter Datencontainer oder die Einrichtung eines Information Rights Management (IRM) empfohlen. Das IRM legt Benutzerrechte für Dateien und Ordner an.

Fazit und Ausblick

Das Thema BYOD ist nach wie vor präsent. Es ist in der Praxis angekommen, d. h. die Mitarbeiter in den Unternehmen nutzen aktiv ihre eigenen Geräte. Manch einer vielleicht ohne explizite Zustimmung des Unternehmens. Hier muss der Arbeitgeber aktiv werden, d. h. er muss einen genauen Regelungsrahmen für BYOD im eigenen Unternehmen festlegen. Die Zeit dafür ist reif. Diese Regelungen müssen individuell auf die Situation zugeschnitten werden. Hat man darin keine Erfahrungen, sollte man externe Beratung in Anspruch nehmen. Nach zwei bis drei Jahren BYOD kann festgestellt werden, dass die Problemlage identisch ist, aber inzwischen gute Lösungsansätze verfügbar sind. Diese stellen stets einen Mix aus technischen, administrativen und organisatorischen Regelungen dar (Abb. 2). Letztendlich ist für eine größtmögliche rechtliche Absicherung zu sorgen. Hier gilt, dass eine ggf. noch lückenhafte Regelung auf jeden Fall besser ist, als ein „Aussitzen“ des Themas. Bezüglich Datenschutz gelten für BYOD keine anderen Regeln als bisher (Kasten: „Anforderungen des BDSG“), nur die Sichtweise und Präsenz ist an einigen Punkten eine andere geworden. In diesem Sinne: Werden Sie aktiv!

Abb. 2: Das BYOD-Management ist umfassend und kann nur im Methodenmix gelingen

Abb. 2: Das BYOD-Management ist umfassend und kann nur im Methodenmix gelingen

Anforderungen des BDSG

Grundsätzlich gilt es, sich an den Anforderungen des BSDG zu orientieren. Besonders wichtig sind dabei folgende Punkte:

  • Zutrittskontrolle/Zugangskontrolle: Zugriff zu Datenverarbeitungsanlagen, die personenbezogene Daten verarbeiten oder nutzen, ist unbefugten Dritten nicht zu ermöglichen.
  • Zugriffskontrolle: Üblicherweise werden die Zugriffsmöglichkeiten vom Administratorenteam verwaltet werden. Im Falle der geschäftlichen Nutzung privater Geräte ist zu regeln, ob unterschiedliche Accounts einzurichten oder ob bestimmte Unternehmensdienste durch spezielle Authentifizierungsmaßnahmen zu schützen sind.
  • Weitergabekontrolle: Auf personenbezogenen Daten soll bei Übertragung kein unbefugter Zugriff möglich sein. Insbesondere mobile Datenträger stellen ein Risiko dar. Sensibilisierung, Schulung und Kontrolle der Mitarbeiter können dazu beitragen, dieses zu verhindern. Wichtig ist es, eine Regelung zur Fernlöschung und -sperrung zu treffen.
  • Eingabekontrolle: Ermöglicht die Nachvollziehbarkeit, ob und von wem personenbezogene Daten bearbeitet worden.
  • Auftragskontrolle: Personenbezogene Daten sollen nur entsprechend den Weisungen der Auftraggeber verändert werden. Die Unternehmen müssen diesbezüglich auch die private IT der Mitarbeiter kontrollieren, sofern dort solche Daten verarbeitet werden. Dieses ist mit dem Mitarbeiter zu vereinbaren.
  • Verfügbarkeitskontrolle: Die zufällige Zerstörung oder Verlust personenbezogener Daten ist im Rahmen von BYOD-Programmen ebenso zu betrachten. Dieses wird durch Backups, Recovery- und Notfallpläne sowie durch Vorhalten von Ersatzteilen und Ersatzgeräten realisiert. Geschäftliche Daten sind auf dem Unternehmensserver vorzuhalten. Private Daten des Mitarbeiters sollten nicht durch das Unternehmen gesichert werden. Es ist eine Regelung zum persönlichen Backup des Mitarbeiters zu treffen.
  • Trennungsgebot: Darunter ist die zweckmäßige Trennung der zu verarbeitenden Daten gemeint.
  • Verschlüsselung: Darunter ist sowohl die Verschlüsselung der Daten auf dem Transportweg als auch die Verschlüsselung der Daten auf dem Gerät selbst zu verstehen.

 

Aufmacherbild: Bring Your own Device children hands holding computer von Shutterstock / Urheberrecht: Pixsooz

Verwandte Themen:

Geschrieben von
Dr. Veikko Krypczyk
Dr. Veikko Krypczyk
Dr. Veikko Krypczyk studierte und promovierte in Betriebswirtschaftslehre mit dem Schwerpunkt Wirtschaftsinformatik. Er ist Entwickler und Fachautor. Aktuell beschäftigt er sich mit der App-Programmierung für Windows Phone und Android.
Olena Bochkor
Olena Bochkor
Olena Bochkor studierte Betriebswirtschaftslehre u. a. mit dem Schwerpunkt Wirtschaftsinformatik. Weitere Informationen zu diesen und anderen Themen der IT finden Sie unter http://it-fachartikel.de.
Kommentare

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu: