Ende März 2013 stellte der Berliner Beauftragte für Datenschutz und Informationsfreiheit seinen Bericht für das Jahr 2012 vor. Unter anderem wird darin auch das Phänomen des „Bring-Your-Own-Device“ (BYOD) näher betrachtet.
Mit zunehmender Tendenz verwenden Arbeitnehmer und Angestellte an ihrem Arbeitsplatz nicht mehr (nur) dienstlich gestellte Computer, Laptops und Handys, sondern greifen auf ihrer eigenen Geräte zurück. Dies kann mehrere Gründe haben, wie etwa dass die Geräte des Arbeitgebers bereits technisch veraltet und damit zu langsam sind oder dass die (im privaten Bereich bekannte) Nutzerfreundlichkeit nicht gegeben ist. Auch der Berliner Datenschutzbeauftragte stellt fest, dass der Einsatz privater Geräte am Arbeitsplatz und ihre Verwendung für die Arbeit, Vorteile bieten. Dennoch weist er auch auf erhebliche Risiken hin, welche jedoch durch eine Mischung aus rechtlichen und technischen Maßnahmen gelöst werden können.
Nachfolgend sollen die wichtigsten Vorgaben und Leitlinien aus dem Bericht für eine datenschutzkonforme BYOD Implementierung in Unternehmen zusammengefasst werden (ohne Anspruch auf Vollständigkeit).
Schriftliche Vereinbarungen
Da das Unternehmen weiterhin die verantwortliche Stelle im Sinne des Bundesdatenschutzgesetzes bleibt (§ 3 Abs. 7 BDSG), ist sie für die ordnungsgemäße Datenverarbeitung, auch auf den privaten Geräten, verantwortlich. Grundsätzlich sollte mit den Arbeitnehmern, bei der Nutzung eigener Geräte, daher ein Individualvertrag oder eine Betriebsvereinbarung abgeschlossen werden. Dem Betriebsrat steht hier ein Mitbestimmungsrecht zu.
Es sollte u. a. geregelt werden:
- Wer, wann und in welcher Form Zugriff auf Daten erhält;
- Sicherheitsvorkehrungen durch die Beschäftigten am Endgerät einzurichten sind;
- Bestimmungen zu Zugriffsrechten des Unternehmens auf die Daten, Programme oder Apps in dem Gerät;
- Ein Zugriff auf private Daten nur dann erlaubt ist, wenn dies zur Trennung und Kategorisierung von geschäftlichen Daten dient;
- Dienst E-Mails vom Arbeitgeber gelesen werden können, jedoch nicht die privaten E-Mails;
- Durch den Arbeitgeber nicht auf Daten Dritter in dem Gerät zugegriffen werden darf;
- Wann und wie Daten gelöscht werden können oder müssen (z.B. wenn geschäftliche Daten für die Zwecke der Speicherung nicht mehr erforderlich sind);
- Die Pflicht des Arbeitnehmers, den Arbeitgeber (als verantwortliche Stelle) sofort über den Verlust des Gerätes zu informieren oder wenn Dritten personenbezogene Daten zur Kenntnis gelangt sind (evtl. Meldepflicht des Arbeitgebers an die Datenschutzbehörde);
- Eine Nutzung des Gerätes durch Dritte untersagt ist;
- Bei notwendigen Reparaturen und Wartungsarbeiten das Gerät zunächst dem Arbeitgeber (und nicht externen Dritten) zu übergeben ist;
- Wie die Nutzung und anfallende Kosten verteilt werden;
- Ob es sich um eine befristete Nutzungsmöglichkeit handelt;
- Wann das Gerät bei einer Beendigung des Arbeitsverhältnisses zurückzugeben ist und dass alle dienstlich erlangten Daten an den Arbeitgeber herausgegeben werden müssen.
Technische Maßnahmen
Neben diesen rechtlichen Vorgaben gibt der Bericht auch Hinweise für notwendige technische Sicherheitsmaßnahmen. Gefahren bestehen bei der Nutzung privater Geräte auch für berufliche Zwecke vor allem durch einen unberechtigten Zugriff auf Daten in dem Gerät, etwa durch Schadsoftware oder bei Verlust oder Diebstahl. Auch besteht eine Gefahr durch den Zugriff von Dritten, etwa App-Anbietern, auf die Informationen in dem Gerät. Zudem besteht das Risiko, dass sich Schadsoftware über das Gerät in dem IT System des Unternehmens ausbreitet und auf zentrale Daten zugreift.
Folgende technische Sicherheitsvorkehrungen werden vorgeschlagen:
- Es sollte eine Zwei-Faktoren-Authentifikation vorgeschrieben werden. Gerade bei Smartphones also auch eine Codesperre für das Display einzurichten;
- Eine Integration des Gerätes in das zentrale System des Arbeitgebers sollte nur gesichert und verschlüsselt, etwa über VPN, erfolgen;
- Virenscanner müssen installiert und aktuell gehalten werden;
- Ein Patchmanagement sollte betrieben werden, um so möglichst schnell jede Sicherheitslücke einer Software schließen zu können;
- Durch eine Desktop-Visualisierung lässt sich ein Gerät in zwei Bereiche (privat – beruflich) einteilen, wodurch dienstliche Daten etwa grundsätzlich auf den Zentralrechnern des Unternehmens gespeichert werden können;
- Empfehlenswert sei auch ein Application-Streaming, also die zentrale Speicherung der Programme auf den Servern des Arbeitgebers;
- Daten sollten grundsätzlich nur verschlüsselt gespeichert werden, entweder in einzelnen Sektoren oder der gesamte Speicher;
- Auch ein Mobile Device Management (MDM) System biete sich an, womit der Arbeitgeber zentral auf die Geräte zugreifen und, etwa bei einem Diebstahl, aus der Ferne die Daten löschen kann.
Der Bericht des Berliner Datenschutzbeauftragten erläutert klar und verständlich, wie ein BYOD Einsatz in privaten Unternehmen möglich ist. Für die öffentliche Verwaltung empfiehlt er jedoch, aufgrund der latenten Risiken, von einem Einsatz abzusehen.