BYOD und der Datenschutz

© mhristov - Fotolia.com

Mit dem Privathandy im Büro und auf Geschäftsreise: Jeder arbeitet mit dem Gerät, das er kennt und mit dem er am besten umgehen kann - der Arbeitgeber erspart sich die Anschaffung von Smartphones, Tablets oder Laptops. Dieser Gedanke steht hinter einer inzwischen nicht mehr ganz so neuen Entwicklung, die es Arbeitnehmern explizit erlaubt, private Geräte an ihrem Arbeitsplatz zu nutzen.

Laut dem Branchenverband BITKOM ermöglichen bereits 43 Prozent der Unternehmen im Bereich der Informations-und Telekommunikationstechnologie private Geräte am Arbeitsplatz und von diesen haben 60 Prozent den Umgang in eigenen Richtlinien geregelt. Als Vorteil des "Bring Your Own Device" (BYOD) wird oft angeführt, dass private Geräte leistungsfähiger und nutzerfreundlicher sind und die Mitarbeiter berufliche und private Aufgaben kombinieren können. Doch genau die Verquickung von privaten und beruflichen Kontakten, Unternehmensdaten und Programmen birgt erhebliche datenschutzrechtliche Risiken.

Offizielle Richtlinien oder "Schatten-IT"

Die Mehrheit der elektronischen Geräte ist für Verbraucher ausgelegt und erfüllt nicht die hohen Anforderungen, die Unternehmen an ihre eigene IT stellen. Allerdings bieten moderne Geräte Apps zur Kalenderverwaltung, Zusammenarbeit oder Datenspeicherung, die auch den Alltag in Unternehmen einfacher und effizienter gestalten können. Selbst wenn Unternehmen den Gebrauch von privaten Geräten nicht offiziell erlauben, werden die Geräte oftmals selbstständig von Mitarbeitern in den Berufsalltag eingebaut - so entsteht eine "Schatten-IT" ohne das Wissen von Führungspersonen und IT-Verantwortlichen.

Dabei droht einerseits ein unkontrollierter Abfluss von Daten, wenn der Kontakt zu einem Firmennetzwerk hergestellt wird, und andererseits können Sanktionen der Datenschutzbehörden beim Verlust personenbezogener Daten folgen. Denn auch wenn Daten auf einem privaten Gerät liegen, bleibt das Unternehmen die sogenannte "verantwortliche Stelle" im Sinne des Bundesdatenschutzgesetzes. Daher empfiehlt es sich, klare, schriftliche Regelungen zu treffen, um Sicherheitsaspekte zu regeln und Rechtssicherheit zu schaffen.

Ausgestaltung einer Richtlinie (BYOD-Policy)

Eine unternehmensinterne Richtlinie sollte den freiwilligen Charakter der Nutzung eigener Geräte ausdrücklich betonen, um den Unterschied zur Nutzung von Betriebsmitteln hervorzuheben. Sie sollte sowohl ein technisches Anforderungsprofil aufzeigen als auch rechtliche Rahmenbedingungen definieren. So kann eine Richtlinie die erlaubten Geräte auf bestimmte Hersteller reduzieren oder zugelassene Betriebssysteme bestimmen. Bei Letzterem empfiehlt es sich, allein aus Sicherheitsgründen auch Mindestversionsnummern vorauszusetzen (zum Beispiel nur Geräte ab Android 2.3).

Neben der Verpflichtung zum Einsatz bestimmter Unternehmenssoftware kann auch der Einsatz von Antivirenprogrammen und anderer sicherheitsrelevanter Software vorgeschrieben werden. Bestimmte Apps, zum Beispiel Cloud-Speichermöglichkeiten, können zumindest für den geschäftlichen Bereich untersagt werden. Ein Verbot von Apps für den privaten Gebrauch stellt, genau wie ein Verbot von Jailbreaks und Root-Modifikationen, einen erheblichen Eingriff in die Privatsphäre des Arbeitnehmers dar, wird aber trotzdem vom Bundesamt für Sicherheit in der Informationstech nik (BSI) empfohlen.

© Archiv

Vorsicht geboten ist auch bei Apps, deren Lizenzen die kostenfreie Nutzung auf den privaten Bereich beschränken. Vor dem Einsatz derartiger Apps ist zunächst das Unternehmen zu informieren, um dann gegebenenfalls Lizenzen für den gewerblichen Bereich erwerben zu können. Wenn der Arbeitgeber die Nutzung ohne Lizenz duldet, kann er unter urheberrechtlichen Gesichtspunkten haften. 

Trennung beruflicher und privater Daten durch Container

Das größte Problem bei BYOD ist, dass geschäftliche E-Mails, Kontakte, Kalender und Datenbanken mit persönlichen Nachrichten, Apps, Urlaubsfotos und anderen Dokumenten zusammentreffen. Hierbei darf der Einfluss des Arbeitgebers nicht zu weit in den privaten Bereich reichen, denn zum Beispiel das Überwachen oder gar Löschen von privaten Daten stellt rechtlich eine Datenerhebung oder -verarbeitung dar, die nur nach einer schriftlichen Einwilligung des Arbeitnehmers erlaubt ist.

Erfolgen derartige Eingriffe ohne Einwilligung, drohen eine zivilrechtliche Schadensersatzpflicht und eine Strafbarkeit der handelnden Personen wegen Verletzung des Fernmeldegeheimnisses (§ 206 Strafgesetzbuch). Daher empfiehlt es sich, private und berufliche Daten möglichst weitgehend zu trennen und entsprechende Unternehmensrichtlinien auf die Regelung der beruflichen Daten zu begrenzen.

Diese Trennung kann auf technischem Weg über sogenannte Container- oder Sandbox-Programme erreicht werden. Dabei wird auf dem privaten Gerät ein verschlüsselter Bereich angelegt, den der Arbeitgeber aus der Ferne warten und mit Programmen und Daten bestücken kann. Dieser Bereich ist nur per Passwort zugänglich, und nur von dort ist der Zugriff auf das Firmennetzwerk gestattet. Bei neuesten Programmen dient das Gerät lediglich zum Anzeigen von Texten und Grafiken, ohne dass Daten auf dem eigenen Datenträger gespeichert werden (ähnlich einem Stream, dadurch ist lediglich der Arbeitsspeicher des Gerätes betroffen).

Die Verbindung zu einem Firmenserver kann über sogenannte Terminal Sessions oder VPN-Clients erfolgen. Um Bring Your Own Device mit Smartphones oder Tablets technisch zu ermöglichen, gibt es umfangreiche Mobile-Device-Management-Suiten, die diese Funktionen mit einer Übersicht der im Einsatz befindlichen Geräte oder mit Programmen zum Viren- und Malware-Schutz kombinieren.

Entscheidet sich der Arbeitgeber, private Geräte zuzulassen, ist er sogar gesetzlich verpflichtet, personenbezogene Daten durch technische und organisatorische Maßnahmen zu schützen, etwa mittels Zugangs- und Zugriffskontrollen (vgl. § 9 Bundesdatenschutzgesetz).

Rechtliche Herausforderungen

Oft unberücksichtigt bleibt die Tatsache, dass geschäftliche Daten auf privaten Geräten auch den gesetzlichen Aufbewahrungspflichten unterliegen. Hier hilft nur eine regelmäßige Synchronisation mit den Servern des Unternehmens oder eine manuelle Datensicherung, um etwa steuerlich relevante Mails und Belege gesetzeskonform aufzubewahren.

Weitere Probleme können beim Verlust der Geräte auftauchen - hier gilt es, gegebenenfalls die Aufsichtsbehörden zu informieren und die Daten etwa durch Fernlöschung vor Zugriff zu sichern. Schließlich sind Aspekte der Kostenverteilung, der Datenlöschung bei fehlender Erforderlichkeit oder Datenherausgabe nach Beendigung des Arbeitsverhältnisses zu beachten. Hauptaufgabe einer BYOD-Policy muss es sein, diese Punkte vorherzusehen und klare Regeln zu bestimmen.

Fazit

Auf private Geräte muss im Büro oder auf Geschäftsreise nicht verzichtet werden, allerdings sollte eine Richtlinie den Rahmen für eine erlaubte Nutzung definieren. Ohne derartige Regeln kann eine Schatten-IT innerhalb des Unternehmens entstehen, und es bestehen Haftungsrisiken. Nicht umsonst wird BYOD häufig mit Bring-Your-Own-Desaster übersetzt. Mit den richtigen technischen und rechtlichen Maßnahmen können private Geräte jedoch zu einem Teil der modernen Unternehmenskultur werden.