Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA Brandenburg), Dagmar Hartge, hält „Bring Your Own Device“ aufgrund der Risiken für Datenschutz und IT-Sicherheit bei der Verarbeitung personenbezogener Daten für unzulässig.

AUSGANGSSITUATION FÜR BYOD

Wie Dagmar Hartge in Ihrem 17. Tätigkeitsbericht erklärt, sind Organisationen verantwortlich und haftbar für die Verarbeitung personenbezogener Daten in ihrem Bereich und müssen somit die volle Kontrolle über die verwendete Hard- und Software haben. Dies ist logischerweise bei privaten Geräten nicht der Fall. Die IT-Administration wird außerdem mit einer erhöhten Heterogenität der IT-Infrastruktur konfrontiert, die zu einem höheren Aufwand bei der Realisierung von technischen und organisatorischen Maßnahmen führt. Risikoanalyse und Sicherheitskonzept müssen dann also auch die privaten Endgeräte umfassen.

WAS IST FÜR BYOD ZU TUN?

Die Liste der Punkte, die sichergestellt werden müssen, ist nicht ohne:

• Wichtigster Punkt ist die vollständige und wirksame Trennung privater und geschäftlicher Bereiche auf dem Smartphone bzw. Tablet. Hierbei ist es nicht ausreichend nur die Daten voneinander zu trennen, sondern auch die jeweiligen Apps. Der private Bereich auf der mobile Device darf keine Zugriffsrechte auf den geschäftlichen haben. Auch mögliche Schadsoftware in diesem Privatbereich darf den geschäftlichen nicht beeinträchtigen.
• Der geschäftliche Bereich muss verschlüsselt sein. Der Schutz des geschäftlichen Bereiches darf auch vom Inhaber des Gerätes nicht durch ein mögliches Rooting bzw. Jailbreaking ausgehebelt werden können.
• Bei der Datensicherung auf den IT-Systemen des Arbeitgebers dürfen keine privaten Daten des BYOD-Gerätes gespeichert werden. Gleichzeitig muss noch verhindert werden, dass dienstliche Daten ungewollt den geschützten Bereich verlassen und z. B. durch Synchronisierung auf den privaten PC des Nutzers gelangen.
• IT-Administratoren dürfen nicht auf die privaten Daten zugreifen.
• Es muss geklärt werden, wer die Telekommunikationskosten übernimmt, ob eine dienstliche oder eine private SIM-Karte benutzt wird und was bei Verlust des Gerätes passiert. Problematisch kann im letzteren Falle die Notwendigkeit einer Fernlöschung sein, weil dadurch in der Regel sämtliche Daten, also auch die privaten Daten vom Gerät entfernt werden.

DAS FAZIT DER LANDESBEAUFTRAGTEN

Dagmar Hartge fasst ihre Einschätzung folgendermaßen zusammen:
„Um die genannten Sicherheitsmaßnahmen umzusetzen, bedarf es also erheblicher Eingriffe und Anpassungen auf dem privaten Endgerät und einer Reihe von organisatorischen und ggf. vertraglichen Vereinbarungen über die BYOD-Nutzung im Unternehmen bzw. der Behörde. Darüber hinaus müssen weitere rechtliche Aspekte wie Urheberrechtsfragen bei Lizenznutzung auf BYOD-Geräten, Haftungsfragen, Archivierungsvorschriften etc. geprüft werden. Insgesamt betrachtet erweisen sich die Anforderungen an eine sichere BYOD-Strategie zum gegenwärtigen Zeitpunkt als so komplex und sowohl mit rechtlichen als auch technischen Unsicherheiten behaftet, dass aus unserer Sicht die Risiken nur unzureichend beherrscht werden können. Diese Sichtweise hat sich inzwischen auch bei vielen Unternehmen und teilweise im öffentlichen Bereich durchgesetzt und zu einem Verzicht bzw. einem Verbot der Nutzung von privaten Endgeräten geführt.“
Dies könnte Sie auch interessieren…