Bring Your Own Device: Unternehmen sollten Gefahren progressiv begegnen

Dr. Sami Bdeiwi widmet sich in seinem Gastbeitrag dem an Bedeutung zunehmenden Trend BYOD und dem möglichen Widerspruch für Datenschutz und Datensicherheit

[datensicherheit.de, 30.11.2012] Rechtsanwalt Dr. Sami Bdeiwi nimmt in einem aktuellen ds-Gastbeitrag Stellung zur Einbringung und Nutzung privater Endgeräte in die Unternehmensstruktur – im Englischen Bring Your Own Device (BYOD) genannt:

BYOD ist zur Zeit in aller Munde und nach wie vor der Trend in der IT-Welt. In diesem Kurzbeitrag wird dargestellt, warum es diesen Trend gibt und welche Gefahren er für den Datenschutz und die Datensicherheit birgt; abschließen wird der Beitrag mit einer Praxisempfehlung.

Warum es BYOD überhaupt gibt

Die Gründe für BYOD und das nach wie vor steigende Interesse daran sind mannigfaltig: Der Mitarbeiter, der im und für das Unternehmen seinen eigenen PC, Laptop, Tablet oder – immer häufiger – sein eigenes Smartphone nutzen darf, hat sich das Endgerät zumeist selbst ausgesucht, fühlt sich damit wohl und will so schnell und unkompliziert wie möglich auf die für ihn relevanten Daten zugreifen.
Das Unternehmen spart sich etwaige Anschaffungskosten und kann seinen Mitarbeiter, der das Gerät schließlich auch privat nutzt, zumeist ständig erreichen. Auch dürfte ein Mitarbeiter, der mit dem ihm vertrauten Material arbeiten darf, auch motivierter und produktiver sein. Sollte BYOD nicht der Unternehmensphilosophie entsprechen oder gar von dem Unternehmen gewollt sein, so wird es in der Praxis doch zumeist geduldet.

Möglicher Widerspruch zum Datenschutz und zur Datensicherheit

Von Arbeitgebern und Arbeitnehmern wird häufig nicht beachtet, dass BYOD zu einer Fülle von Problemen führen kann: Hervorgehoben sei der für den Datenschutz und die Datensicherheit wichtigste Aspekt – und zwar, dass naturgemäß jedes BYOD-Gerät auch mit einer Software aufgespielt ist und sich bei einem Gerät, welches privat angeschafft wurde und auch in der Freizeit genutzt wird, zumeist auch private Daten befinden. Dies führt dann zu Folgeproblemen, von denen die wichtigsten nachfolgend kurz angerissen werden.

1. Problem: Software-Lizenzierung
   Häufig findet eine unlizenzierte Nutzung der privaten Software durch den Mitarbeiter statt. Dies ist deswegen problematisch, da der Mitarbeiter mit dieser Software auch dienstliche Daten bearbeitet. Sollte bei dem Unternehmen eine Lizenzprüfung erfolgen, kann es für den Verstoß haftbar gemacht werden. Denn grundsätzlich sind nicht die Eigentumsverhältnisse an dem Gerät, sondern die Nutzung des Geräts ist entscheidend für die Verantwortlichkeit.
2. Problem: Vermengung privater und beruflicher Daten
   Da in der Praxis keine Umsetzung der strikten Trennung von privaten und beruflichen Daten auf BYOD-Geräten existiert, werden entsprechende Daten auch vermengt. Infolgedessen können Szenarien entstehen, in denen die jeweils anderen Daten mit ausgewertet werden. So können beispielsweise bei Audits der Softwarehersteller oder strafrechtlichen Durchsuchungen beim Unternehmen auch die private Daten des Mitarbeiters beleuchtet werden. Umgekehrt können bei einer Durchsuchung der privaten Daten auch die beruflichen Daten betroffenen sein. Insofern droht bei der Verletzung datenschutzrechtlicher Vorschriften die Verhängung empfindlicher Bußgelder.
3. Problem: Erhöhtes Angriffspotenzial
   Eine Einbindung der BYOD-Geräte in unternehmensweite Sicherheitssysteme findet in der Praxis zumeist nicht statt. Auch IT-Richtlinien, sofern vorhanden, berücksichtigen diese Geräte in der Regel nicht. Daher bieten BYOD-Geräte eine große Angriffsfläche für Hacker und Viren. Der Verlust aller Daten droht ebenso wie imageschädigende Veröffentlichungspflichten.

Foto: Kanzlei volke2.0., Lünen

Dr. Sami Bdeiwi empfiehlt den Unternehmen u.a. eine eigene BYOD-Policy

Dr. Sami Bdeiwis Praxisempfehlung

Ob der datenschutz- und datensicherheitsrechtlichen Bedenken ist davon auszugehen, dass der Trend BYOD weiter zunimmt, weil die IT-Innovationen immer mehr aus dem Endverbraucherbereich als aus den IT-Unternehmen kommen.
Um den oben genannten Gefahren zu begegnen, empfiehlt es sich, dass Problem progressiv anzugehen. Das heißt zum einem, dass Mitarbeiter, die BYOD-Geräte nutzen, sensibilisiert werden müssen. Dies kann beispielsweise durch Inhouse-Schulungen und Fortbildungen gewährleistet werden. Zum anderen muss ein Augenmerk auf ein Update der IT-Richtlinien gelegt werden. Empfehlenswert ist insofern auch eine eigene BYOD-Policy, die sich über die entsprechenden Verpflichtungen verhält. Optimalerweise wird eine Partionierung der Endgeräte umgesetzt, die Daten der betrieblichen und beruflichen Nutzung strikt getrennt. Denkbar ist auch eine Virtualisierung des Zugriffs, wonach berufliche Daten sich nie auf dem BYOD-Gerät befinden.

Der Autor:
Dr. Sami Bdeiwi ist in der Kanzlei volke2.0 in Lünen tätig. Er betreut Unternehmen in Fragen des IT-Rechts (u.a. EDV-Recht, Softwarerecht), des Datenschutzrechts und des Rechts der Sozialen Medien.

Weitere Informationen zum Thema:

volke2.0®