Spaces. Smartes Cloud Hosting für anspruchsvolle Webprojekte. Loslegen und Spaces testen. Von Mittwald.
Redaktion Dr. Web 23. Juni 2013

Bring Your Own Device – Sind private Geräte im Unternehmenseinsatz eine gute Idee?

Jeder arbei­tet mit dem Gerät, das er kennt und mit dem er am bes­ten umge­hen kann – der Arbeitgeber erspart sich die Anschaffung von Smartphones, Tablets oder Laptops. Dieser Gedanke steht hin­ter einer inzwi­schen nicht mehr ganz so neu­en Entwicklung, die es Arbeitnehmern expli­zit erlaubt, pri­va­te Geräte an ihrem Arbeitsplatz zu nut­zen. Laut dem Branchenverband Bitkom ermög­li­chen bereits 43% der Unternehmen aus den Informations- und Telekommunikationstechnologien pri­va­te Gräte am Arbeitsplatz und von die­sen haben 60% den Umgang in eige­nen Richtlinien gere­gelt. Als Vorteil wird oft ange­führt, dass pri­va­te Geräte leis­tungs­fä­hi­ger und nut­zer­freund­li­cher sind, sowie dass Mitarbeiter beruf­li­che und pri­va­te Aufgaben kom­bi­nie­ren kön­nen. Doch genau die Verquickung von pri­va­ten und beruf­li­chen Kontakten, Unternehmensdaten und Programmen birgt erheb­li­che daten­schutz­recht­li­che Risiken.

shadows-of-byod

Offizielle Richtlinien oder „Schatten-IT“

Die Mehrheit der elek­tro­ni­schen Geräte ist für Verbraucher aus­ge­legt und erfüllt nicht die hohen Anforderungen, die Unternehmen an ihre eige­ne IT stel­len. Allerdings bie­ten moder­ne Geräte Apps zur Kalenderverwaltung, Zusammenarbeit oder Datenspeicherung, die auch den Alltag in Unternehmen ein­fa­cher und effi­zi­en­ter gestal­ten kön­nen. Selbst wenn Unternehmen den Gebrauch von pri­va­ten Geräten nicht offi­zi­ell erlau­ben, wer­den die Geräte oft­mals selbst­stän­dig von Mitarbeitern in den Berufsalltag ein­ge­baut – so ent­steht eine „Schatten-IT“ ohne das Wissen der Führungspersonen und IT-Verantwortlichen.

Dabei droht einer­seits ein unkon­trol­lier­ter Abfluss von Daten, wenn Kontakt zu einem Firmennetzwerk her­ge­stellt wird, und ande­rer­seits kön­nen Sanktionen der Datenschutzbehörden bei Verlust von per­so­nen­be­zo­ge­nen Daten fol­gen. Denn auch wenn Daten auf einem pri­va­ten Gerät lie­gen, bleibt das Unternehmen die soge­nann­te „ver­ant­wort­li­che Stelle“ im Sinne des Bundesdatenschutzgesetzes. Daher emp­fiehlt es sich, kla­re, schrift­li­che Regelungen zu tref­fen, um Sicherheitsaspekte zu regeln und Rechtssicherheit zu schaf­fen.

light-101785_640

Ausgestaltung einer Richtlinie (BYOD-Policy) 

Eine unter­neh­mens­in­ter­ne Richtlinie soll­te den frei­wil­li­gen Charakter der Nutzung eige­ner Geräte aus­drück­lich beto­nen, um den Unterschied zur Nutzung von Betriebsmitteln her­vor­zu­he­ben. Sie soll­te sowohl ein tech­ni­sches Anforderungsprofil auf­zei­gen, als auch recht­li­che Rahmenbedingungen defi­nie­ren. So kann eine Richtlinie die erlaub­ten Geräte auf bestimm­te Hersteller redu­zie­ren oder zuge­las­se­ne Betriebssysteme bestim­men. Bei letz­te­rem emp­fiehlt sich, allein aus Sicherheitsgründen, auch die Setzung von Mindestversionsnummern (z.B. nur Geräte ab Android 4.x).

Neben der Verpflichtung zum Einsatz bestimm­ter Unternehmenssoftware kann auch der Einsatz von Antivirenprogrammen und ande­rer sicher­heits­re­le­van­ter Software vor­ge­schrie­ben wer­den. Bestimmte Apps, wie zum Beispiel Cloud-Speichermöglichkeiten, kön­nen zumin­dest für den geschäft­li­chen Bereich unter­sagt wer­den. Ein Verbot von Apps für den pri­va­ten Gebrauch stellt, genau wie ein Verbot von jail­b­reaks und root-Modifikationen, einen erheb­li­chen Eingriff in die Privatsphäre des Arbeitnehmers dar, wird aber trotz­dem vom Bundesamt für Sicherheit in der Informationstechnik emp­foh­len.

iphone-106351_640

Vorsicht gebo­ten ist auch bei Apps, deren Lizenzen die kos­ten­freie Nutzung auf den pri­va­ten Bereich beschrän­ken. Vor dem Einsatz der­ar­ti­ger Apps ist zunächst das Unternehmen zu infor­mie­ren, um dann gege­be­nen­falls Lizenzen für den gewerb­li­chen Bereich erwer­ben zu kön­nen. Wenn der Arbeitgeber die Nutzung ohne Lizenz dul­det, kann er unter urhe­ber­recht­li­chen Gesichtspunkten haf­ten.

Trennung beruflicher und privater Daten durch Container

Das größ­te Problem bei BYOD ist, dass geschäft­li­che E-Mails, Kontakte, Kalender und Datenbanken mit per­sön­li­chen E-Mails, Apps, Urlaubsfotos und ande­re Dokumenten zusam­men­tref­fen. Hierbei darf der Einfluss des Arbeitgebers nicht zu weit in den pri­va­ten Bereich rei­chen, denn zum Beispiel die Überwachung oder gar die Löschung von pri­va­ten Daten stellt recht­lich eine Datenerhebung oder –ver­ar­bei­tung dar, die nur nach einer schrift­li­chen Einwilligung des Arbeitnehmers erlaubt ist. Erfolgen der­ar­ti­ge Eingriffe ohne Einwilligung dro­hen eine zivil­recht­li­che Schadensersatzpflicht und eine Strafbarkeit der han­deln­den Personen wegen Verletzung des Fernmeldegeheimnisses (§ 206 Strafgesetzbuch). Daher emp­fiehlt es sich, pri­va­te und beruf­li­che Daten mög­lichst weit­ge­hend zu tren­nen und ent­spre­chen­de Unternehmensrichtlinien auf die Regelung der beruf­li­chen Daten zu begren­zen.

childhood-71651_640

Diese Trennung kann auf tech­ni­schem Weg über soge­nann­te Container- oder Sandbox-Programme erreicht wer­den. Dabei wird auf dem pri­va­ten Gerät ein ver­schlüs­sel­ter Bereich ange­legt, den der Arbeitgeber aus der Ferne war­ten und mit Programmen und Daten bestü­cken kann. Dieser Bereich ist nur per Passwort zugäng­lich und nur von dort ist Zugriff auf das Firmennetzwerk gestat­tet. Bei neu­es­ten Programmen dient das Gerät ledig­lich zum Anzeigen von Texten und Grafiken ohne dass Daten auf dem eige­nen Datenträger ver­blei­ben (ähn­lich einem Stream, dadurch ist ledig­lich der Arbeitsspeicher des Geräts betrof­fen). Die Verbindung zu einem Firmenserver kann über sog. Terminal Sessions oder VPN-Clients erfol­gen.

Um Bring-Your-Own-Device mit Smartphones oder Tablets tech­nisch zu ermög­li­chen, gibt es gan­ze Mobile-Device-Management-Suiten, die die­se Funktionen mit einer Übersicht der im Einsatz befind­li­chen Geräte oder mit Programmen zum Viren- und Malware-Schutz kom­bi­nie­ren. Entscheidet sich der Arbeitgeber, pri­va­te Geräte zuzu­las­sen, ist er sogar gesetz­lich ver­pflich­tet, per­so­nen­be­zo­ge­ne Daten durch tech­ni­sche und orga­ni­sa­to­ri­sche Maßnahmen zu schüt­zen, z.B. mit­tels Zugangs- und Zugriffskontrollen (vgl. § 9 Bundesdatenschutzgesetz).

Rechtliche Herausforderungen

Oft unbe­rück­sich­tigt bleibt die Tatsache, dass geschäft­li­che Daten auf pri­va­ten Geräten auch den gesetz­li­chen Aufbewahrungspflichten unter­lie­gen. Hier hel­fen nur eine regel­mä­ßi­ge Synchronisation mit den Servern des Unternehmens oder eine manu­el­len Datensicherung, um etwa steu­er­lich rele­van­te Mails und Belege geset­zes­kon­form auf­zu­be­wah­ren. Weitere Probleme kön­nen beim Verlust der Geräte auf­tau­chen – hier gilt es gege­be­nen­falls die Aufsichtsbehörden zu infor­mie­ren und die Daten etwa durch Fernlöschung vor Zugriff zu sichern. Schließlich sind Aspekte der Kostenverteilung, der Datenlöschung bei feh­len­der Erforderlichkeit oder Datenherausgabe nach Beendigung des Arbeitsverhältnisses zu beach­ten. Hauptaufgabe einer BYOD-Policy muss es sein, die­se Punkte vor­her­zu­se­hen und kla­re Regel zu bestim­men, um mög­li­che Probleme zu ver­mei­den.

Fazit: Auf pri­va­te Geräte muss im Büro oder auf Geschäftsreise nicht ver­zich­ten wer­den, aller­dings soll­te eine Richtlinie den Rahmen für eine erlaub­te Nutzung defi­nie­ren. Ohne der­ar­ti­ge Richtlinien kann eine Schatten-IT inner­halb des Unternehmens ent­ste­hen und es bestehen Haftungsrisiken. Nicht umsonst wird BYOD häu­fig mit Bring-Your-Own-Desaster über­setzt. Mit tech­ni­schen und recht­li­chen Rahmenbedingungen kön­nen pri­va­te Geräte jedoch zu einem Teil der moder­nen Unternehmenskultur wer­den.

Der Autor

AndreasDoelker-w150Andreas Dölker ist Associate in der Kanzlei Schürmann Wolschendorf Dreyer Rechtsanwälte in Berlin-Mitte. Seine Tätigkeitsschwerpunkte umfas­sen das IT- und Datenschutzrecht sowie den Bereich des Gewerblichen Rechtsschutzes. Wegen sei­ner Erfahrung als Serverbetreuer und Systemadministrator in Freiburg im Breisgau, berät er haupt­säch­lich Unternehmen an der Schnittstelle zwi­schen Recht und Technik.

Die Kanzlei Schürmann Wolschendorf Dreyer betreut nam­haf­te natio­na­le und inter­na­tio­na­le Unternehmen, Freiberufler und Kreative im Urheber- und Medienrecht, Gewerblichen Rechtsschutz, IT- und Datenschutzrecht sowie den angren­zen­den Rechtsgebieten des Handels-, Gesellschafts- und Steuerrechts.

Auf der Kanzlei-Website Medien und Marken erschei­nen regel­mä­ßig Fachaufsätze zu Rechtsfragen aus dem digi­ta­len Themenspektrum.

(dpe)

Redaktion Dr. Web

Unter der Bezeichnung "Redaktion Dr. Web" findest du Beiträge, die von mehreren Autorinnen und Autoren kollaborativ erstellt wurden. Auch Beiträge von Gastautoren sind hier zu finden. Beachte dann bitte die zusätzlichen Informationen zum Autor oder zur Autorin im Beitrag selbst.

5 Kommentare

  1. Ich wür­de ungern ein Geschäftshandy benut­zen! Ich habe mich so sehr an mein pri­va­tes Smartphone gewöhnt und hät­te kei­ne Lust beruf­lich ein ande­res Telefon und/oder Betriebssystem zu nut­zen.

  2. Ich wür­de am liebs­ten nur mit fre­dem Geräten arbei­ten, aber ich wur­de bis­lang noch nicht vor eine Wahl gestellt. Schade eigent­lich.

  3. Ich fra­ge mich, ob der Aufwand der mit der rich­ti­gen Trennung beruf­li­cher und pri­va­ter Daten im Hinblick auf die rela­ti­ve nied­ri­ge Kosten für Notebooks und Smart-Phones sich für ein Unternehmen wirk­lich lohnt.
    Ich kann mir gut vor­stel­len, dass der Zugriff auf einem Terminal-Server über VPN eine gute Lösung dar­stellt, die sowie­so für Telearbeit und Einsätze bei Kunden benö­tigt wird. Aber auf dem sel­ben Rechner eine Mischung von pri­va­ten und beruf­li­chen Daten sowie pri­va­ter und beruf­li­cher Software fin­de ich zu pro­ble­ma­tisch.
    Eine Terminal-Server-basier­te Lösung eli­mi­niert die Aufwände einer Fernwartung oder Synchronisation fast voll­stän­dig.

  4. Ich möch­te noch auf einen Aspekt hin­wei­sen, der hier nicht betrach­tet wur­de. Angenommen ein Arbeitgeber heißt BYOD gut und ein Mitarbeiter arbei­tet an sei­nem pri­va­ten Laptop. Nun fällt die­ser aber durch einen tech­ni­schen Defekt aus und der Mitarbeiter ist dadurch nicht mehr arbeits­fä­hig. Wer ist dafür zustän­dig, den Mitarbeiter wie­der in einen arbeits­fä­hi­gen Zustand zu brin­gen? Ist der Mitarbeiter dafür zustän­dig oder der Arbeitgeber? Üblicherweise wer­den für Firmengeräte ja ent­spre­chen­de Wartungsverträge abge­schlos­sen. Dieses ist bei BYOD wohl eher nicht der Fall.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.