Datenschutz und Bring your own device (BYOD)

Wie lässt sich BYOD mit Datenschutzanforderungen vereinen?

Bring your own device oder Bring your own Desaster?

Was ist nun kritisch daran, wenn Mitarbeiter Firmendaten auf ihren privaten Geräten haben? Ganz einfach, der Arbeitgeber verliert die Kontrolle über die eigenen Firmendaten. Zwar erscheint es auf den ersten Blick es eine gute Idee zu sein es Mitarbeitern zu erlauben ihre Privatgeräte nutzen zu dürfen, bei näherer Betrachtung leider nicht mehr. Bei BYOD findet eine Vermischung zwischen Privat- und Firmendaten statt. Daneben erhöht sich das Risiko des Datenverlustes, da die Geräte im privaten Bereich viel mehr eingesetzt werden (z.B.: bei Feiern, Reisen, privaten Besuchen von Freunden, Freizeitaktivitäten).

Da der Arbeitgeber auch Verantwortlicher für die Einhaltung von Datenschutzanforderungen ist, muss dieser angemessene Datensicherheitsmaßnahmen ergreifen. Das bedeutet, er muss die Firmendaten vor Verlust oder Zerstörung schützen. Hierbei reicht es schon aus, wenn der Mitarbeiter Zugriff auf seinen E-Mail Account hat und Anhänge (Kunden- und Mitarbeiterdaten, Daten von Geschäftspartnern) auf das Privatgerät runterladen kann. Gleichzeitig hat der Mitarbeiter aber ein Recht auf Geheimhaltung seiner privaten Daten auf dem eigenen Gerät. Der Arbeitgeber kann nicht einfach ein nicht in seinem Eigentum stehendes Smartphone permanent „screenen“ um die Datensicherheit zu gewährleisten. Am Ende müssen Spielregeln zur Nutzung und technische Lösungen herangezogen werden, damit BYOD kein Desaster wird.

Datenschutz für mobile Geräte

Durch die Datenschutzgrundverordnung (kurz „DSGVO“) hat sich für BYOD-Strategien nicht allzu viel geändert. Dennoch sind ein paar Änderungen bei bereits bestehenden Regelungen zu berücksichtigen. Daten sollten im Machtbereich der Arbeitgeber verbleiben, dies könnte sichergestellt werden, wenn eine Virtual Private Network (VPN) Verbindung eingerichtet wird. Somit wäre es Mitarbeitern zwar möglich sich die Daten auf den mobilen Geräten anzusehen, jedoch nicht auf den Geräten zu speichern. Diese Methode hat den Vorteil, dass bei Verlust oder Zerstörung des Gerätes keine Firmendaten betroffen wären. Jedoch birgt es auch einen Nachteil: eine Bearbeitung im Offline-Modus wird nicht möglich sein. Gerade für internationale Teams oder Außendienstmitarbeiter ist ein ortsunabhängiges Arbeiten wichtig und dazu gehört oft das Arbeiten von „unterwegs“ mit geringer Chance auf stabile Internetverbindungen. Wird dabei die Produktivität allzu sehr ausgebremst, sind andere technische Lösungen in Betracht zu ziehen.

Eine weitere Möglichkeit bieten verschlüsselte Speicherbereiche am Gerät selbst. Damit sind die Firmendaten von den privaten Daten abgetrennt und werden nicht vermischt. Werden dann auch in diesem geschützten Speicherbereich eigene Firmenanwendungen betrieben, spricht man vom „Sandboxing„-Prinzip. Dabei erfolgt wieder keine Interaktion zwischen der geschützten Umgebung und außerhalb der Sandbox.  Wird das Firmen-Betriebssystem und die Firmenanwendungen getrennt vom privaten Bereich betrieben, werden diese Lösungen als „Virtualisierungen“ bezeichnet. Damit kann das Unternehmen auch die Aktualität des Betriebssystems beeinflussen und dafür sorgen, dass dieses gesichert bleibt. Werden zwei Systeme gleichzeitig am Gerät betrieben, wird das unweigerlich auf die Hardware-Ressourcen und Performance einen Einfluss (Stichwort: Akkuleistung) haben.

Hierbei sind Regelungen zu treffen, damit Mitarbeiter ihre Betriebssysteme auf die eigenen Firmensicherheit abstimmen. Insbesondere das Verbot von Modifizierungen der Betriebssysteme, wie „Jailbreaking“ bei iOS-Geräten oder „Rooten“ von Android-Geräten. Auch ist daran zu denken mit welchen Sicherheitsanforderungen sich Mitarbeiter im gesicherten Bereich anmelden dürfen. Biometrische Sensoren wie dem Fingerabdruck sollte man dafür außen vorlassen, da dieser nicht zuverlässig genug ist. Die physische Sicherheit des Gerätes kann mittels Richtlinie näher definiert werden. Als ergänzende und unterstützende Maßnahme sind Awareness-Trainings für Mitarbeiter sinnvoll, da diese am Ende mit der eingeschränkten Nutzung ihrer privaten Geräte schlussendlich konfrontiert sind.

Umsetzung BYOD-Strategie

Je besser Mitarbeiter darüber Bescheid wissen, wie sie sich in bestimmten Fällen verhalten sollen, desto sicherer wird der Einsatz von BYOD. Also, welche Punkte sollten nun geregelt werden?

  • Kostentragung bei Anschaffung oder bei Schäden am Gerät, aber auch Kosten der SIM-Kartennutzung für die Telefonie
  • Zugelassene Gerätemodelle, Versionen von Betriebssoftwaresystemen und Anwendungen (Black/White-Lists)
  • Verwahrungsvorschriften (bspw. Laptop im Auto liegen lassen, Kinder spielen mit dem Handy, etc.)
  • Mitwirkung bei Wartung der Geräte (Einrichtung, Updates)
  • Zugriffsrechte und Kontrollen (Fernlöschung bei Diebstahl)
  • Anzeigepflicht bei Verlust – Achtung hier die 72 Stunden für die Meldung eines Data-Breaches nach der DSGVO beachten!
  • Sicherheitsvorgaben für Passwörter
  • Konsequenzen bei Verstößen gegen Nutzungsrichtlinie (bspw. Umstieg auf ein Firmengerät)
  • Rückgabe der Daten beim Verlassen des Unternehmens oder bei Karenzierung Einschränkung der Zugriffberechtigungen
  • Teilnahme an Schulungen zur Erhöhung des Sicherheitsverständnisses
  • Information über das Datengeheimnis, zur Einhaltung von Geschäfts- und Betriebsgeheimnisse
  • Ergänzung der BYOD-Strategie im Verzeichnis der Verarbeitungstätigkeiten
  • Durchführung einer Datenschutz-Folgenabschätzung

Fazit

Klar ist, dass die einfachste Variante zwei Geräte für den privaten und beruflichen Gebrauch bedeutet, aber die Realität sieht nun einmal anders aus. In vielen Fällen wird die Umsetzung einer BYOD Strategie aufwändig und komplex werden, bei effektiver Umsetzung kann diese jedoch  zur „Win-Win“-Situation für Mitarbeiter und Unternehmen heranreifen. Einerseits können Nutzer mit ihren gewohnten Geräten arbeiten, während das vorhandene Risiko mittels Sicherheitskonzept reduziert werden kann.

Karin Tien berät Unternehmen, aber auch Privatpersonen, in allen Aspekten des Datenschutzes, IT-Sicherheit und der Privatsphäre. Sie startete als Textilchemikerin und absolvierte neben der Anwaltsprüfung mehrere Jahre in internationalen Wirtschaftskanzleien. Ihre Fachschwerpunkte sind Smart Textiles, Privacy by Design und Digitale Ethik.

Die Kommentarfunktion ist geschlossen.