Icon Informationssicherheit
Informationssicherheit

Bring your own device (BYOD)

Andreas Hellmann
Verfasst von: Andreas Hellmann
Berater für Datenschutz und IT-Sicherheit

Auf den ersten Blick erscheint das Thema „Bring your own device“ (BYOD) sehr vorteilhaft. Mitarbeitende können Ihre mobilen Geräte wie Smartphone, Tablet oder Laptop nach persönlichen Wünschen zusammenstellen was die Mitarbeiterzufriedenheit, Flexibilität und Mobilität erhöht und eine Kosteneinsparung für das Unternehmen bedeutet.

Versteckte Kosten, hoher Aufwand und Risiko

Auf den ersten Blick erscheint das Thema „Bring your own device“ (BYOD) sehr vorteilhaft. Mitarbeitende können Ihre mobilen Geräte wie Smartphone, Tablet oder Laptop nach persönlichen Wünschen zusammenstellen was die Mitarbeiterzufriedenheit, Flexibilität und Mobilität erhöht und eine Kosteneinsparung für das Unternehmen bedeutet.

Betrachtet man allerdings den Aufwand und das Risiko welche auf das Unternehmen zukommen ist eine sorgfältige Abwägung zum Einsatz von BYOD erforderlich. Dabei gilt es eine Vielzahl gesetzliche Anforderungen zu beachten und IT-Sicherheitsmaßnahmen umzusetzen.

Gesetzliche Anforderungen

Gemäß Art. 5 DSGVO i.V.m Art. 24 DSGVO und Art. 32 DSGVO muss der Verantwortliche die Sicherheit personenbezogener Daten sicherstellen und nachweisen können. Insbesondere der gesetzlich geforderte Nachweis kann problematisch sein, da ggf. Protokolle bzw. Log-Dateien kopiert und ausgewertet werden müssen, die sich auf den Endgeräten befinden, über die der Verantwortliche keine Entscheidungsgewalt hat. Weitere Schwierigkeiten sind die Kontrolle über die Daten zu behalten, die Sicherheit der Daten zu überprüfen und die Daten gegenüber dem privaten Bereich des Mitarbeitenden klar abzugrenzen.

In Bezug auf private E-Mails des Mitarbeitenden gilt es das Fernmeldegeheimnis gemäß § 88 TKG zu wahren.

Abhängig vom Tätigkeitsbereich des Verantwortlichen können unter anderem folgende weitere Gesetze relevant sein z.B. Handelsrecht, Steuerrecht, Organisationsrecht, Gesellschaftsrecht, Sozialgesetzbücher, Bankaufsichtsrecht, Urheberrecht, Strafgesetzbuch.

Webcast zum Thema "Bring Your Own Device" mit Arne Wolff und Andreas Hellmann

Datenübertragung in die USA nach dem Wegfall des Privacy Shield

Der Verantwortliche kann - ohne Vorgaben festzulegen - nicht bestimmen, welche Geräte der Mitarbeitende privat verwendet. So muss er Vorkehrungen treffen, die Rechtsgrundlagen und erforderliche Sicherheitsmaßnahmen für die unterschiedlichen Betriebssysteme und damit verbundene Übermittlungen in Drittstaaten berücksichtigen z.B. Android, Apple (USA) oder Huawai (China).

Abhängig von den Möglichkeiten zur Konfiguration eines Mobile Device Management Systems (MDM) und der Nutzung bestimmter Funktionen, kann eine Übermittlung nicht ausgeschlossen werden.

In Bezug dazu sollte in jedem Fall eine sorgfältige, dokumentierte Prüfung der Rechtsgrundlagen und der umgesetzten technischen und organisatorischen Maßnahmen durchgeführt werden!

Organisatorische Maßnahmen

Als organisatorische Maßnahme hat der Verantwortliche zunächst die für ihn geltenden Auflagen zur Verpflichtung der Mitarbeitenden zu erfüllen z.B. Verpflichtung zur Vertraulichkeit (DSGVO), Schweigepflicht § 203 StGB, etc.

Eine weitere organisatorische Maßnahme ist das Erstellen von Richtlinien, welche die Verarbeitung der Daten regelt. Diese können in Form von Dienstanweisungen, Betriebsvereinbarungen oder individuellen Verträgen zu BYOD vereinbart werden.

Technische Maßnahmen - IT-Sicherheit

Herrschende Meinung in Bezug zu Mindestanforderungen für die Sicherheit der Verarbeitung bzw. den in vielen Gesetzen erwähnten „Stand der Technik“ ist die Umsetzung vom BSI IT-Grundschutz, wobei abhängig vom Verantwortlichen und seinem Aufgabengebiet auch die Umsetzung weiterer Anforderungen erforderlich sein kann z.B. ISO 27001, § 203 StGB (Schweigepflicht).

Wenn möglich sollte eine Speicherung der Daten auf den Endgeräten vermieden werden!

Mobile Device Management

Da es für den Verantwortlichen nicht möglich ist, die Sicherheit der Daten auf dem privaten Gerät ausschließlich durch organisatorische Maßnahmen zu gewährleisten, liegt es nah, dass eine technische Maßnahme erforderlich ist. Eine praktikable Lösung ist der Einsatz eines Mobile Device Management Systems (MDM). Abhängig von den Daten und dem Tätigkeitsfeld des Verantwortlichen können sich aus der speziellen Situation teilweise hohe Anforderungen an die Konfiguration eines MDM ergeben. Hierzu gehören unter anderem die Nutzung der Geräte durch Familienmitglieder, eine Zugriffsbeschränkung für andere Anwendungen auf dem Gerät, Unterdrücken von Cloud-basierten Sprachassistenten in Geschäftsanwendungen, webbasierter Zugriff über separate Browser.

Darüber hinaus gilt es grundsätzliche Anforderungen umzusetzen, wie z.B. Verschlüsselung der Übertragungswege und der Daten auf dem Gerät, passwortgeschützter Zugriff auf die Daten (z.B. durch eine Containerlösung), Absicherung gegen Jailbreaks, Möglichkeit zur Fernlöschung, Einsatz eines Virenscanners und Deaktivieren der Screenshot Funktion.

Kurzinfo zu weiteren Gesetzen

Durch die geschäftliche Nutzung wird das Endgerät des Nutzers ein Betriebsmittel gemäß BetrSichV. Hierbei geht es unter anderem darum, ob das Gerät für die Erfüllung der Aufgabe des Mitarbeiters geeignet ist. Der Arbeitgeber ist für die Tauglichkeit und die Einsatzfähigkeit der Arbeitsmittel verantwortlich.

Sowohl der Einsatz von dienstlichen Lizenzen auf privaten Geräten als auch die geschäftliche Nutzung privater Softwarelizenzen sind beim Einsatz privater Geräte zu beachten, da sie eine Urheberrechtsverletzung darstellen können z.B. Virenscanner.

Bei vorsätzlich oder grob fahrlässig begangener Pflichtverletzung haftet der Gerätebesitzer. In den meisten anderen Fällen der Arbeitgeber.

(Miet-)Vertrag für die Geräte der Mitarbeitenden

Darüber hinaus ist es auch erforderlich Verträge mit den Mitarbeitenden abzuschließen, welche unter anderem folgende Dinge regeln: Nutzungsentgelt, Erstattung der vom Mitarbeitenden verauslagten Kosten für Providergebühren, Reparatur- sowie Software und Update-Kosten, rechtliche Verantwortung und Haftung und Rückgabe der Daten bei der Beendigung des Arbeitsverhältnis.

Weitere Informationen

Unter folgenden Links finden Sie detaillierte Informationen zu BYOD.

Bitkom Leitfaden
https://www.bitkom.org/sites/default/files/file/import/130304-LF-BYOD.pdf

BSI IT-Grundschutz – Umsetzungshinweise zum Baustein Mobile Device Management (MDM)
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/umsetzungshinweise/SYS/Umsetzungshinweise_zum_Baustein_SYS_3_2_2_Mobile_Device_Management_(MDM).html

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.