Neueste Beiträge
- Registermodernisierungsgesetz gefährdet Recht auf informationelle Selbstbestimmung
- P29 – Handlungsempfehlung bei einer Datenpanne
- Französische Datenschutz-Aufsichtsbehörde CNIL veröffentlicht Hinweise beim Umgang mit Chatbots
- „SAMMELN SIE TREUEPUNKTE, HERR CASANOVA?“
- BfDI kritisiert 1000 Tage ohne Anpassung von TKG und TMG
Archive
- März 2021
- Februar 2021
- Januar 2021
- Dezember 2020
- November 2020
- Oktober 2020
- September 2020
- August 2020
- Juli 2020
- Juni 2020
- Mai 2020
- April 2020
- März 2020
- Februar 2020
- Januar 2020
- Dezember 2019
- November 2019
- Oktober 2019
- September 2019
- August 2019
- Juli 2019
- Juni 2019
- Mai 2019
- April 2019
- März 2019
- Februar 2019
- Januar 2019
- Dezember 2018
- November 2018
- Oktober 2018
- September 2018
- August 2018
- Juli 2018
- Juni 2018
- Mai 2018
- April 2018
- März 2018
- Februar 2018
- Januar 2018
- Dezember 2017
- November 2017
- Oktober 2017
- September 2017
- August 2017
- Juli 2017
- Juni 2017
- Mai 2017
- April 2017
- März 2017
- Februar 2017
- Januar 2017
- Dezember 2016
- November 2016
- Oktober 2016
- September 2016
- August 2016
- Juli 2016
- Juni 2016
- Mai 2016
- April 2016
- März 2016
- Februar 2016
- Januar 2016
- Dezember 2015
- November 2015
- Oktober 2015
- September 2015
- August 2015
- Juli 2015
- Juni 2015
- Mai 2015
- April 2015
- März 2015
- Februar 2015
- Januar 2015
- Dezember 2014
- November 2014
Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA Brandenburg), Dagmar Hartge, hält „Bring Your Own Device“ aufgrund der Risiken für Datenschutz und IT-Sicherheit bei der Verarbeitung personenbezogener Daten für unzulässig.
AUSGANGSSITUATION FÜR BYOD
Wie Dagmar Hartge in Ihrem 17. Tätigkeitsbericht erklärt, sind Organisationen verantwortlich und haftbar für die Verarbeitung personenbezogener Daten in ihrem Bereich und müssen somit die volle Kontrolle über die verwendete Hard- und Software haben. Dies ist logischerweise bei privaten Geräten nicht der Fall. Die IT-Administration wird außerdem mit einer erhöhten Heterogenität der IT-Infrastruktur konfrontiert, die zu einem höheren Aufwand bei der Realisierung von technischen und organisatorischen Maßnahmen führt. Risikoanalyse und Sicherheitskonzept müssen dann also auch die privaten Endgeräte umfassen.
WAS IST FÜR BYOD ZU TUN?
Die Liste der Punkte, die sichergestellt werden müssen, ist nicht ohne:
- Wichtigster Punkt ist die vollständige und wirksame Trennung privater und geschäftlicher Bereiche auf dem Smartphone bzw. Tablet. Hierbei ist es nicht ausreichend nur die Daten voneinander zu trennen, sondern auch die jeweiligen Apps. Der private Bereich auf der mobile Device darf keine Zugriffsrechte auf den geschäftlichen haben. Auch mögliche Schadsoftware in diesem Privatbereich darf den geschäftlichen nicht beeinträchtigen.
- Der geschäftliche Bereich muss verschlüsselt sein. Der Schutz des geschäftlichen Bereiches darf auch vom Inhaber des Gerätes nicht durch ein mögliches Rooting bzw. Jailbreaking ausgehebelt werden können.
- Bei der Datensicherung auf den IT-Systemen des Arbeitgebers dürfen keine privaten Daten des BYOD-Gerätes gespeichert werden. Gleichzeitig muss noch verhindert werden, dass dienstliche Daten ungewollt den geschützten Bereich verlassen und z. B. durch Synchronisierung auf den privaten PC des Nutzers gelangen.
- IT-Administratoren dürfen nicht auf die privaten Daten zugreifen.
- Es muss geklärt werden, wer die Telekommunikationskosten übernimmt, ob eine dienstliche oder eine private SIM-Karte benutzt wird und was bei Verlust des Gerätes passiert. Problematisch kann im letzteren Falle die Notwendigkeit einer Fernlöschung sein, weil dadurch in der Regel sämtliche Daten, also auch die privaten Daten vom Gerät entfernt werden.
DAS FAZIT DER LANDESBEAUFTRAGTEN
Dagmar Hartge fasst ihre Einschätzung folgendermaßen zusammen:
„Um die genannten Sicherheitsmaßnahmen umzusetzen, bedarf es also erheblicher Eingriffe und Anpassungen auf dem privaten Endgerät und einer Reihe von organisatorischen und ggf. vertraglichen Vereinbarungen über die BYOD-Nutzung im Unternehmen bzw. der Behörde. Darüber hinaus müssen weitere rechtliche Aspekte wie Urheberrechtsfragen bei Lizenznutzung auf BYOD-Geräten, Haftungsfragen, Archivierungsvorschriften etc. geprüft werden. Insgesamt betrachtet erweisen sich die Anforderungen an eine sichere BYOD-Strategie zum gegenwärtigen Zeitpunkt als so komplex und sowohl mit rechtlichen als auch technischen Unsicherheiten behaftet, dass aus unserer Sicht die Risiken nur unzureichend beherrscht werden können. Diese Sichtweise hat sich inzwischen auch bei vielen Unternehmen und teilweise im öffentlichen Bereich durchgesetzt und zu einem Verzicht bzw. einem Verbot der Nutzung von privaten Endgeräten geführt.“
Dies könnte Sie auch interessieren…