Anzeige
Smartes Cloud Hosting für anspruchsvolle Projekte.
↬ Loslegen und Spaces testen ↬ Jetzt testen!
Redaktion Dr. Web 23. Juni 2013

Bring Your Own Device – Sind private Geräte im Unternehmenseinsatz eine gute Idee?

Jeder arbeitet mit dem Gerät, das er kennt und mit dem er am besten umgehen kann – der Arbeitgeber erspart sich die Anschaffung von Smartphones, Tablets oder Laptops. Dieser Gedanke steht hinter einer inzwischen nicht mehr ganz so neuen Entwicklung, die es Arbeitnehmern explizit erlaubt, private Geräte an ihrem Arbeitsplatz zu nutzen. Laut dem Branchenverband Bitkom ermöglichen bereits 43% der Unternehmen aus den Informations- und Telekommunikationstechnologien private Gräte am Arbeitsplatz und von diesen haben 60% den Umgang in eigenen Richtlinien geregelt. Als Vorteil wird oft angeführt, dass private Geräte leistungsfähiger und nutzerfreundlicher sind, sowie dass Mitarbeiter berufliche und private Aufgaben kombinieren können. Doch genau die Verquickung von privaten und beruflichen Kontakten, Unternehmensdaten und Programmen birgt erhebliche datenschutzrechtliche Risiken.

Anzeige

shadows-of-byod

Offizielle Richtlinien oder „Schatten-IT“

Die Mehrheit der elektronischen Geräte ist für Verbraucher ausgelegt und erfüllt nicht die hohen Anforderungen, die Unternehmen an ihre eigene IT stellen. Allerdings bieten moderne Geräte Apps zur Kalenderverwaltung, Zusammenarbeit oder Datenspeicherung, die auch den Alltag in Unternehmen einfacher und effizienter gestalten können. Selbst wenn Unternehmen den Gebrauch von privaten Geräten nicht offiziell erlauben, werden die Geräte oftmals selbstständig von Mitarbeitern in den Berufsalltag eingebaut – so entsteht eine „Schatten-IT“ ohne das Wissen der Führungspersonen und IT-Verantwortlichen.

Anzeige

Dabei droht einerseits ein unkontrollierter Abfluss von Daten, wenn Kontakt zu einem Firmennetzwerk hergestellt wird, und andererseits können Sanktionen der Datenschutzbehörden bei Verlust von personenbezogenen Daten folgen. Denn auch wenn Daten auf einem privaten Gerät liegen, bleibt das Unternehmen die sogenannte „verantwortliche Stelle“ im Sinne des Bundesdatenschutzgesetzes. Daher empfiehlt es sich, klare, schriftliche Regelungen zu treffen, um Sicherheitsaspekte zu regeln und Rechtssicherheit zu schaffen.

light-101785_640

Ausgestaltung einer Richtlinie (BYOD-Policy) 

Eine unternehmensinterne Richtlinie sollte den freiwilligen Charakter der Nutzung eigener Geräte ausdrücklich betonen, um den Unterschied zur Nutzung von Betriebsmitteln hervorzuheben. Sie sollte sowohl ein technisches Anforderungsprofil aufzeigen, als auch rechtliche Rahmenbedingungen definieren. So kann eine Richtlinie die erlaubten Geräte auf bestimmte Hersteller reduzieren oder zugelassene Betriebssysteme bestimmen. Bei letzterem empfiehlt sich, allein aus Sicherheitsgründen, auch die Setzung von Mindestversionsnummern (z.B. nur Geräte ab Android 4.x).

Neben der Verpflichtung zum Einsatz bestimmter Unternehmenssoftware kann auch der Einsatz von Antivirenprogrammen und anderer sicherheitsrelevanter Software vorgeschrieben werden. Bestimmte Apps, wie zum Beispiel Cloud-Speichermöglichkeiten, können zumindest für den geschäftlichen Bereich untersagt werden. Ein Verbot von Apps für den privaten Gebrauch stellt, genau wie ein Verbot von jailbreaks und root-Modifikationen, einen erheblichen Eingriff in die Privatsphäre des Arbeitnehmers dar, wird aber trotzdem vom Bundesamt für Sicherheit in der Informationstechnik empfohlen.

iphone-106351_640

Vorsicht geboten ist auch bei Apps, deren Lizenzen die kostenfreie Nutzung auf den privaten Bereich beschränken. Vor dem Einsatz derartiger Apps ist zunächst das Unternehmen zu informieren, um dann gegebenenfalls Lizenzen für den gewerblichen Bereich erwerben zu können. Wenn der Arbeitgeber die Nutzung ohne Lizenz duldet, kann er unter urheberrechtlichen Gesichtspunkten haften.

Trennung beruflicher und privater Daten durch Container

Das größte Problem bei BYOD ist, dass geschäftliche E-Mails, Kontakte, Kalender und Datenbanken mit persönlichen E-Mails, Apps, Urlaubsfotos und andere Dokumenten zusammentreffen. Hierbei darf der Einfluss des Arbeitgebers nicht zu weit in den privaten Bereich reichen, denn zum Beispiel die Überwachung oder gar die Löschung von privaten Daten stellt rechtlich eine Datenerhebung oder –verarbeitung dar, die nur nach einer schriftlichen Einwilligung des Arbeitnehmers erlaubt ist. Erfolgen derartige Eingriffe ohne Einwilligung drohen eine zivilrechtliche Schadensersatzpflicht und eine Strafbarkeit der handelnden Personen wegen Verletzung des Fernmeldegeheimnisses (§ 206 Strafgesetzbuch). Daher empfiehlt es sich, private und berufliche Daten möglichst weitgehend zu trennen und entsprechende Unternehmensrichtlinien auf die Regelung der beruflichen Daten zu begrenzen.

childhood-71651_640

Diese Trennung kann auf technischem Weg über sogenannte Container- oder Sandbox-Programme erreicht werden. Dabei wird auf dem privaten Gerät ein verschlüsselter Bereich angelegt, den der Arbeitgeber aus der Ferne warten und mit Programmen und Daten bestücken kann. Dieser Bereich ist nur per Passwort zugänglich und nur von dort ist Zugriff auf das Firmennetzwerk gestattet. Bei neuesten Programmen dient das Gerät lediglich zum Anzeigen von Texten und Grafiken ohne dass Daten auf dem eigenen Datenträger verbleiben (ähnlich einem Stream, dadurch ist lediglich der Arbeitsspeicher des Geräts betroffen). Die Verbindung zu einem Firmenserver kann über sog. Terminal Sessions oder VPN-Clients erfolgen.

Um Bring-Your-Own-Device mit Smartphones oder Tablets technisch zu ermöglichen, gibt es ganze Mobile-Device-Management-Suiten, die diese Funktionen mit einer Übersicht der im Einsatz befindlichen Geräte oder mit Programmen zum Viren- und Malware-Schutz kombinieren. Entscheidet sich der Arbeitgeber, private Geräte zuzulassen, ist er sogar gesetzlich verpflichtet, personenbezogene Daten durch technische und organisatorische Maßnahmen zu schützen, z.B. mittels Zugangs- und Zugriffskontrollen (vgl. § 9 Bundesdatenschutzgesetz).

Rechtliche Herausforderungen

Oft unberücksichtigt bleibt die Tatsache, dass geschäftliche Daten auf privaten Geräten auch den gesetzlichen Aufbewahrungspflichten unterliegen. Hier helfen nur eine regelmäßige Synchronisation mit den Servern des Unternehmens oder eine manuellen Datensicherung, um etwa steuerlich relevante Mails und Belege gesetzeskonform aufzubewahren. Weitere Probleme können beim Verlust der Geräte auftauchen – hier gilt es gegebenenfalls die Aufsichtsbehörden zu informieren und die Daten etwa durch Fernlöschung vor Zugriff zu sichern. Schließlich sind Aspekte der Kostenverteilung, der Datenlöschung bei fehlender Erforderlichkeit oder Datenherausgabe nach Beendigung des Arbeitsverhältnisses zu beachten. Hauptaufgabe einer BYOD-Policy muss es sein, diese Punkte vorherzusehen und klare Regel zu bestimmen, um mögliche Probleme zu vermeiden.

Fazit: Auf private Geräte muss im Büro oder auf Geschäftsreise nicht verzichten werden, allerdings sollte eine Richtlinie den Rahmen für eine erlaubte Nutzung definieren. Ohne derartige Richtlinien kann eine Schatten-IT innerhalb des Unternehmens entstehen und es bestehen Haftungsrisiken. Nicht umsonst wird BYOD häufig mit Bring-Your-Own-Desaster übersetzt. Mit technischen und rechtlichen Rahmenbedingungen können private Geräte jedoch zu einem Teil der modernen Unternehmenskultur werden.

Der Autor

AndreasDoelker-w150Andreas Dölker ist Associate in der Kanzlei Schürmann Wolschendorf Dreyer Rechtsanwälte in Berlin-Mitte. Seine Tätigkeitsschwerpunkte umfassen das IT- und Datenschutzrecht sowie den Bereich des Gewerblichen Rechtsschutzes. Wegen seiner Erfahrung als Serverbetreuer und Systemadministrator in Freiburg im Breisgau, berät er hauptsächlich Unternehmen an der Schnittstelle zwischen Recht und Technik.

Die Kanzlei Schürmann Wolschendorf Dreyer betreut namhafte nationale und internationale Unternehmen, Freiberufler und Kreative im Urheber- und Medienrecht, Gewerblichen Rechtsschutz, IT- und Datenschutzrecht sowie den angrenzenden Rechtsgebieten des Handels-, Gesellschafts- und Steuerrechts.

Auf der Kanzlei-Website Medien und Marken erscheinen regelmäßig Fachaufsätze zu Rechtsfragen aus dem digitalen Themenspektrum.

(dpe)

Redaktion Dr. Web

Unter der Bezeichnung "Redaktion Dr. Web" findest du Beiträge, die von mehreren Autorinnen und Autoren kollaborativ erstellt wurden. Auch Beiträge von Gastautoren sind hier zu finden. Beachte dann bitte die zusätzlichen Informationen zum Autor oder zur Autorin im Beitrag selbst.

5 Kommentare

  1. Ich würde ungern ein Geschäftshandy benutzen! Ich habe mich so sehr an mein privates Smartphone gewöhnt und hätte keine Lust beruflich ein anderes Telefon und/oder Betriebssystem zu nutzen.

  2. Ich würde am liebsten nur mit fredem Geräten arbeiten, aber ich wurde bislang noch nicht vor eine Wahl gestellt. Schade eigentlich.

  3. Ich frage mich, ob der Aufwand der mit der richtigen Trennung beruflicher und privater Daten im Hinblick auf die relative niedrige Kosten für Notebooks und Smart-Phones sich für ein Unternehmen wirklich lohnt.
    Ich kann mir gut vorstellen, dass der Zugriff auf einem Terminal-Server über VPN eine gute Lösung darstellt, die sowieso für Telearbeit und Einsätze bei Kunden benötigt wird. Aber auf dem selben Rechner eine Mischung von privaten und beruflichen Daten sowie privater und beruflicher Software finde ich zu problematisch.
    Eine Terminal-Server-basierte Lösung eliminiert die Aufwände einer Fernwartung oder Synchronisation fast vollständig.

  4. Ich möchte noch auf einen Aspekt hinweisen, der hier nicht betrachtet wurde. Angenommen ein Arbeitgeber heißt BYOD gut und ein Mitarbeiter arbeitet an seinem privaten Laptop. Nun fällt dieser aber durch einen technischen Defekt aus und der Mitarbeiter ist dadurch nicht mehr arbeitsfähig. Wer ist dafür zuständig, den Mitarbeiter wieder in einen arbeitsfähigen Zustand zu bringen? Ist der Mitarbeiter dafür zuständig oder der Arbeitgeber? Üblicherweise werden für Firmengeräte ja entsprechende Wartungsverträge abgeschlossen. Dieses ist bei BYOD wohl eher nicht der Fall.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.