Sie befinden sich hier:

Einsatz von Privatgeräten (BYOD)

Während der Corona-Pandemie arbeiteten und arbeiten immer noch viele Beschäftigte von zu Haus im Homeoffice. Dabei kommen teilweise private Geräte zum Einsatz, ohne dass dieser geregelt wäre.

Eine Nutzung privater Geräte (Bring Your Own Device = BYOD) für den Zugriff auf geschäftliche IT-Systeme wird im Corona-Zeitalter bei immer mehr Unternehmen und Behörden gestattet und teilweise auch gefordert. So erlaubt heutzutage etwa die Hälfte aller deutschen Unternehmen ihren Mitarbeitern den Einsatz privater Geräte zum Zugriff auf Geschäftsdaten. Zumeist handelt es sich bei den verwendeten Geräten um Smartphones oder Tablets, gelegentlich auch um Laptops/Notebooks.

Diese Verfahrensweise macht personenbezogene Daten des Unternehmens bzw. der Behörde auf Geräten zugänglich, die nicht ihrer vollen Kontrolle unterliegen. Damit wird eine Vielzahl ungeklärter Fragen aufgeworfen: Es ist beispielsweise offen, wie auf dem privaten Gerät ausreichende Sicherheitsmaßnahmen sichergestellt werden oder wie die Nutzung durch andere Personen, wie z. B. Familienmitglieder und Freunde, unterbunden werden kann, um so eine unbefugte Offenbarung von schutzwürdigen (geschäftlichen) Daten zu verhindern. Auch der Austausch von Geräten und die datenschutzgerechte Entsorgung sind für das Unternehmen und die Behörde nicht kontrollierbar. Darüber hinaus stellt sich die Frage, ob über arbeitsrechtliche Vereinbarungen rechtswirksam erzwungen werden kann, dass der Mitarbeiter bestimmte Anforderungen in Bezug auf sein privates Gerät erfüllt, wie  z. B. die Einwilligung in eine Remote-Löschung durch die IT-Abteilung bei einem Verlust des Geräts.

Gefahren

BYOD bringt insbesondere folgende Gefahren mit sich:

  • Es besteht die Gefahr, dass dienstliche und private Daten vermengt werden. Außerdem sind dienstliche Daten auf privaten Geräten nur schwer kontrollierbar.
  • Private Geräte werden überall hin mitgenommen, damit steigt die Gefahr eines Verlustes oder eines Diebstahls. Entsprechende Vorsorgemaßnahmen (z. B. Fernortung oder Fernlöschung) lassen sich bei privaten Geräten schwerer umsetzen.
  • Die Nutzung privater Geräte und der damit verbunden Zugriffe auf (personenbezogene) Daten des Arbeitgebers kann zu einer rechtlichen Unsicherheit (z. B. Verstoß gegen Datenschutzgesetze, ungeklärte Haftungsfragen) führen.
  • Da der Einsatz privater Geräte streng geregelt werden muss, entsteht zumindest ein zusätzlicher organisatorischer Aufwand.
  • Eventuell müssen die privaten Geräte auf Kosten des Arbeitgebers mit zusätzlicher Sicherheitshard- und/oder -software ausgestattet werden.
  • Durch den Einsatz privater Geräte mit einer Vielzahl von unterschiedlichen Betriebssystemen wird die Heterogenität des eigenen Netzes drastisch erhöht. Der Einsatz zusätzlicher Betriebssysteme ist auch mit einer Steigerung der Schwachstellen dieser Geräte verbunden (Einschleusung von Schadenssoftware, Hacking etc.).

Sicherheitsmaßnahmen

Insbesondere bei der Verarbeitung von personenbezogenen Daten mit besonderem Schutzbedarf bzw. Daten, die durch besondere gesetzliche Regelungen geschützt sind, kann der Einsatz von Privatgeräten als unzulässig angesehen werden. In Bereichen mit normalem Schutzbedarf kann der Einsatz nach eingehender Einzelfallprüfung zulässig sein, wenn zusätzlich zu den oben aufgeführten Maßnahmen folgende Anforderungen erfüllt sind:

  • Die Nutzung privater Geräte ist in einer Dienstvereinbarung/-anweisung zu regeln.
  • Alle privaten Geräte, die dienstlich genutzt werden sollen, müssen beim Arbeitgeber registriert werden, den Sicherheitsrichtlinien entsprechen und in das Sicherheitskonzept integriert werden.
  • Soweit wie möglich müssen die privaten Geräte in ein eigenes Mobile Device Management (MDM) eingebunden werden.
  • Der Verbindungsaufbau zum Netz des Arbeitgebers sollte (z. B. mit Hilfe einer auf dem Gerät installierten passwortgeschützten App) verschlüsselt erfolgen.
  • Zur sicheren Authentifizierung sollten digitale Zertifikate verwendet werden.
  • Der Arbeitgeber legt fest, auf welche dienstlichen Daten mit dem Privatgerät zugegriffen werden darf.
  • Der Mitarbeiter als Eigentümer des Geräts muss verpflichtet werden, Sicherheitsmaßnahmen auf seinem Gerät umzusetzen und insbesondere auf Funktionen wie „Jailbreak“ oder „Rooting“ zu verzichten. Der Arbeitgeber sollte diesbezüglich ein Kontrollrecht besitzen.

Jailbreak (englisch für „Gefängnisausbruch“) bezeichnet das nicht-autorisierte Entfernen von Nutzungsbeschränkungen bei Geräten der Informationstechnik, deren Hersteller (Apple) bestimmte Funktionen serienmäßig gesperrt hat. Änderungen des Betriebssystems bei Android-Geräten werden als Rooting bezeichnet. Anders als beim Jailbreak für iPhones geht es beim Rooting aber nicht in erster Linie darum, den Schutz der Entwickler auszuhebeln, sondern lediglich um erweiterte Rechte für Android-Anwendungen.

  • Eine Veränderung des eingesetzten Betriebssystems durch Jailbreak oder Rooting muss zu einer sofortigen Sperrung des Zugriffs auf dienstliche Daten führen.
  • Der Arbeitnehmer ist dazu zu verpflichten, sein Gerät jederzeit auf dem neuesten Sicherheitsstand (z. B. durch das Einspielen von Patches und Updates) zu halten. Dies gilt auch für die Installation von Programmen zur Bekämpfung von Schadenssoftware.
  • Es muss sichergestellt sein, dass eine Trennung zwischen privaten Anwendungen und Daten sowie geschäftlichen Anwendungen und Daten erfolgt, damit der Arbeitgeber jederzeit die Kontrolle über geschäftliche Daten behält. So darf z. B. eine private App nicht auf das geschäftliche Adressbuch zugreifen können. Auch die Datenablage muss in getrennten Verzeichnissen erfolgen.
  • Bei der Nutzung von Schnittstellen wie Bluetooth muss sichergestellt sein, dass der Kommunikationspartner keinen Zugriff auf geschäftliche Daten erhält.
  • Die Speicherung geschäftlicher personenbezogener Daten muss verschlüsselt erfolgen. Dabei ist darauf zu achten, dass private Daten und geschäftliche Daten separat verschlüsselt vorgehalten werden, so dass auch ein Administrator der öffentlichen Stelle nicht auf die privaten Daten des Nutzers zugreifen kann.
  • Der Arbeitnehmer ist darauf zu verpflichten, keinen Dritten einen Zugriff auf die geschäftlichen Daten zu ermöglichen. Dies gilt auch für Wartungs- und Reparaturarbeiten. Bei einer Weitergabe des Gerätes an Dritte muss gewährleistet sein, dass die Unternehmensdaten zuvor datenschutzgerecht gelöscht werden. Ein einfaches Zurücksetzen auf den Auslieferungszustand eines Gerätes stellt keine ausreichende Löschung dar.
  • Die Verfügbarkeit der auf dem Privatgerät gespeicherten geschäftlichen Daten muss durch Backups, Recovery- und Notfallpläne sowie durch das Vorhalten von Ersatzteilen und Ersatzgeräten gesichert sein.
  • Scheidet ein Bediensteter aus, müssen alle geschäftlichen personenbezogenen Daten von seinem privaten IT-Gerät gelöscht werden. Dies sollte vertraglich geregelt werden und auch die Herausgabe eventueller Backups umfassen.
  • Es muss möglich sein, sämtliche geschäftlichen personenbezogenen Daten auf dem Gerät aus der Ferne zu löschen, wenn das Gerät gestohlen wurde oder verloren gegangen ist. Zu diesem Zweck muss der Mitarbeiter dazu verpflichtet werden, einen Verlust seines Geräts unverzüglich dem Arbeitgeber zu melden.
  • Im Falle einer versehentlichen Löschung privater Daten sollte ein Haftungsausschluss vereinbart werden.
  • Es muss arbeitsrechtlich abgeklärt sein, dass die IT-Abteilung auch im Streitfall zwischen Dienstherren und Mitarbeiter insoweit Verfügungsgewalt über das Privatgerät besitzt, dass eine Löschung der geschäftlichen Daten sichergestellt werden kann.

Soweit diese Anforderungen aufgrund des technischen Entwicklungsstandes auf den gewünschten Geräten nicht zum Einsatz kommen können (z. B. fehlende Verschlüsselung, mangelnde Möglichkeiten zur Virtualisierung und Datentrennung), ist von einer Verwendung privater Geräte beim Zugriff auf personenbezogene Daten abzusehen.

nach oben