Icon Compliance
Compliance

Bring Your Own Device – ein Risiko für Ihre Compliance?

Sema Karakas
Verfasst von: Sema Karakas
Beraterin für Datenschutz und Informationssicherheit

Immer mehr Unternehmen erlauben ihren Mitarbeitenden die berufliche Nutzung privater Geräte wie Smartphones, Tablets, Laptops oder auch Desktop-PCs. Derartige Bring-Your-Own-Device-Regelungen (BYOD) liegen im Trend und bringen Vorzüge für Arbeitnehmende und Arbeitgeber, aber leider auch datenschutzrechtliche Risiken mit sich.

Welche Vorteile bietet BYOD?

Mitarbeitende erhalten durch BYOD die Möglichkeit, die Menge an verwendeten Geräten zu reduzieren. So tragen die Beschäftigten zum Beispiel anstatt mehrerer Smartphones nur eins bei sich – dies wird von vielen als sehr angenehm empfunden. Zudem finden sich Mitarbeitende mit ihren eigenen Geräten im Vergleich zu dienstlichen besser zurecht, da beispielsweise das Betriebssystem das favorisierte und selbst ausgesuchte ist. Auch die Produktivität der Mitarbeitenden kann sich steigern. Durch eine BYOD-Regelung erhöht sich die Bereitschaft, kleine Aufgaben auch außerhalb der Arbeitszeit zu erledigen, wie etwa Terminvereinbarungen zu treffen. Letztlich profitieren Unternehmen durch BYOD aber in erster Linie in finanzieller Hinsicht, da die Kosten für Hardware-Anschaffungen gesenkt werden.

Welche Risiken bringt BYOD mit sich?

Mitarbeitende können durch BYOD jederzeit und von jedem Ort aus mit Privatgeräten Zugriff auf Unternehmensdaten erhalten – damit können hohe Risiken einhergehen. Klassische Büroarbeitsplätze und die damit verbundene Hardware hingegen stehen in einer organisierten Umgebung und lassen sich gut absichern. Private Geräte entziehen sich größtenteils der hausinternen IT-Abteilung, was es erschwert, das angestrebte Informationssicherheitsniveau durchzusetzen. So kann zum Beispiel eine Schadsoftware durch die Anbindung des privaten Gerätes an das Unternehmensnetzwerk die Unternehmensinfrastruktur angreifen.

Ebenso können veraltete Betriebssysteme oder unüberlegt heruntergeladene Apps (wie Spyware, Malware usw.) Sicherheitslücken und Risiken darstellen. Unter Umständen haben Mitarbeitende auch Zugriff auf personenbezogene Daten, wodurch der potentielle Schaden ein beträchtliches Ausmaß annehmen kann. Aus diesem Grund sollten gezielte Sicherheitsmaßnahmen ergriffen werden, um Verstöße gegen die Datenschutzbestimmungen nach Bundesdatenschutzgesetz (BDSG) und EU-Datenschutz-Grundverordnung (DSGVO) zu vermeiden.

Was ist bei BYOD datenschutzrechtlich zu beachten?

Es sollte unbedingt sichergestellt werden, dass technische und organisatorische Maßnahmen effektiv auf den Privatgeräten umgesetzt werden. Dies kann unter anderem eine Verschlüsselung der Kommunikationswege, ein den Unternehmensrichtlinien entsprechender Passwortschutz und ein auf den Privatgeräten installierter Virenscanner sein. Weiterhin sollten Mitarbeitende keine Daten aus dem Firmennetzwerk herunterladen und lokal speichern. Außerdem wird dringend empfohlen, keine beruflichen E-Mails an das Privatkonto weiterzuleiten.

In diesem Zusammenhang spielt auch der Virtual-Private-Network-Zugang (VPN) eine große Rolle. Durch VPN wird der Remote-Zugriff abgesichert – die Datenpakete werden auf dem Weg zum Firmennetzwerk verschlüsselt. Der Zugriff auf den Firmenserver ist zeitlich beschränkt, wodurch die Daten nicht mehr abrufbar sind, sobald die VPN-Verbindung unterbrochen wird. Darüber hinaus empfiehlt es sich, eine Vereinbarung mit den Beschäftigten zu schließen, in der die Art und Weise sowie der Rahmen der beruflichen Nutzung ihrer privaten Geräte ausgestaltet ist und die regelt, in welchem Umfang der Arbeitgeber unter gewissen Umständen Kontrollrechte für das private Gerät der Mitarbeitenden erhält, zum Beispiel zur Fernlöschung im Fall eines Diebstahls.

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.