Bring Your Own Device – Sicherheit und Recht

Heutzutage bringen viele Mitarbeiter ihre privaten mobilen Geräte mit in die Firma, und erwarten, daß sie diese Geräte auch bei der Arbeit einsetzen können. Hieraus entstehen Chancen aber auch Risiken, von denen dieser Artikel handelt.

Der Artikel stammt nicht aus meiner Feder, sondern ich veröffentliche ihn in Zusammenarbeit mit dem Startup „Netzsieger.de“ (siehe die Links unter „Weiterführende Informationen“ ganz unten auf der Seite).

Probleme hinsichtlich Sicherheit und Recht durch BYOD

Der Begriff „BYOD“ (Bring Your Own Device) beschreibt Regelungen, die es Arbeitnehmern erlauben, eigene Geräte am Arbeitsplatz zu nutzen und sie mit dem Firmennetz zu verbinden.

Der Trend zum Mobilgerät führte nach der Jahrtausendwende dazu, dass immer mehr Beschäftigte Ihre eigenen Geräte zum Arbeitsplatz mitnahmen und sie auch im Firmennetz einsetzten. Inzwischen haben auch Unternehmen die Vorteile von BYOD erkannt – aber ebenso die dadurch neu entstandenen Gefahren.

Es wurde notwendig, Regelwerke für die Verwendung eigener Geräte am Arbeitsplatz oder für betriebliche Zwecke zu entwickeln, im Englischen „BYOD Policies“ genannt.

Die Frage ist nun: Welche Vor- und Nachteile bringt letztlich BYOD für Unternehmen und Anwender mit sich?

Vorteile durch BYOD

  • Bei der Geräteauswahl werden die Vorlieben der Arbeitnehmer stärker berücksichtigt.
  • Nutzer gehen mit ihren eigenen Geräten tendenziell sorgfältiger um als mit fremden.
  • Anwender kennen sich in der Regel mit Geräten, die sie auch in der Freizeit nutzen, besser aus.

Nachteile von BYOD

  • Der Zugang zu Firmendaten ist schlechter kontrollierbar.
  • Durch die größere Gerätevielfalt erhöht BYOD die Komplexität der IT-Infrastruktur, was mehr potenzielle Sicherheitslücken nach sich zieht.
  • Regelungen zum Schutz des Unternehmens, die Beschränkungen bei der Nutzung zur Folge haben, lassen sich bei privaten Geräten schlechter durchsetzen.
  • Der Datenschutz bei der privaten Nutzung kann beeinträchtigt werden.

Problembereiche

  • Wer haftet bei Beschädigungen, die nicht durch den Eigentümer verursacht wurden?
  • 
Wer bezahlt für den geschäftlich bedingten Datenverkehr?
  • Wie lassen sich private und geschäftliche Nutzung trennen?

Die beiden letztgenannten Problempunkte haben bis zum Jahr 2014 bereits technische Konsequenzen nach sich gezogen. Viele Smartphones besitzen inzwischen zwei SIM-Kartenslots, sodass sich private und betriebliche Datennutzung sauber trennen lässt.

Dabei ist es zum Beispiel auch möglich, Adressen im Telefonbuch des Geräts mit der entsprechenden privaten oder firmeneigenen SIM-Karte zu verknüpfen. Telefongespräche werden dann automatisch korrekt zugeordnet.

Kontrollierter Zugang

Die erschwerte Kontrolle des Zugangs zu Firmendaten wirkt sich in drei unterschiedlichen Bereichen aus:

  • Ein Gerät kann durch Diebstahl oder einen anderen Verlust in falsche Hände gelangen und dadurch betriebsfremden Personen Zugang zu Firmeninterna ermöglichen.
  • Die Verwendung eigener Geräte erleichtert auch berechtigten Nutzern, Kontrollen beim Datenzugang im Firmennetz zu umgehen.
  • Die Geräte können leicht durch Schadsoftware, die beispielsweise über Spiele verbreitet wird, beschädigt werden.

Unbeabsichtigte Datenlecks kann aber auch ein fehlerhafter oder unbedarfter Umgang mit Apps, E-Mail- und Sharing-Diensten erzeugen. Ein Unternehmen, dass BYOD erlaubt, sollte daher diese Problemstellen genau prüfen und entsprechende Richtlinien für den Umgang mit arbeitnehmereigener Hardware entwickeln.

Diese Regelwerke müssen aber rechtlich einwandfrei, nachvollziehbar und verständlich formuliert sein, damit sie in der Praxis erfolgreich eingesetzt werden können. Zu restriktive BYOD-Regeln können ebenfalls zum Problem werden.

BYOD und Datenschutz

Die Vermischung privater und betrieblicher Anwendung, aber auch die speziellen Eigentumsverhältnisse machen den Datenschutz in BYOD-Szenarien zu einem besonders sensiblen Thema.

Private Daten

Wenn private Daten auf einem Gerät direkt neben den betrieblichen liegen, ist die Gefahr unberechtigter Verwendung besonders groß – in beiden Richtungen.

Darüber hinaus stoßen Maßnahmen, die eine Einschränkung der Nutzung des Computersystems bedeuten, eher auf Widerstand, wenn die Hardware dem Anwender gehört. Eingriffe in das Gerät, die dem Schutz des Unternehmens dienen, sind daher nicht so einfach zu realisieren oder können sogar rechtliche Konsequenzen zur Folge haben. Dazu gehören zum Beispiel Fälle, in denen eine Firma das private Smartphone eines ausgeschiedenen Mitarbeiters aus der Ferne vollständig gelöscht hat, so dass neben den Firmendaten auch private Mails, Bilder und dergleichen verloren gingen.

Derartige Eingriffe können nicht nur zu Schadenersatzforderungen führen, sondern auch die Bereitschaft der Mitarbeiter verringern, sich an BYOD-Programmen zu beteiligen.

Datenschutz

Um also einen sicheren Schutz sowohl der eigenen als auch der geschäftlichen Daten zu gewährleisten, sollte für eine möglichst strenge Trennung der persönlichen und betrieblichen Bereiche auf dem arbeitnehmereigenen Mobilgerät gesorgt werden. Das erschwert Übergriffe auf den jeweils anderen Teil.

Der Nachteil: Es impliziert eine mehr oder weniger starke Beeinträchtigung der Bedienungsfreundlichkeit. Auch hier ist darauf zu achten, dass die BYOD-Policy keine zu großen Einschränkungen der Nutzbarkeit verursacht. Wenn zum Beispiel der Wechsel zwischen dem betrieblichen und dem privaten Bereich nur mit einer mehrfachen Passworteingabe möglich ist, dann reduziert das die Akzeptanz einer solchen Lösung.

Der Datenschutz bei der BYOD-Nutzung ist aber auch noch in einer anderen Hinsicht von großer Bedeutung. Das Verwenden privater Hardware im Unternehmen und in dessen Netz führt dazu, dass private Kommunikation ebenfalls durch das Firmennetzwerk übertragen wird. In diesem Zusammenhang entsteht die Problematik, dass datenschutzrechtliche Vorgaben im Firmennetz zu berücksichtigen sind, die in einem rein betrieblich genutzten Netzwerk nicht von Belang wären.

Probleme beim BYOD-Einsatz vermeiden

Ein wesentlicher Schritt zur Lösung der Probleme, die das Verwenden arbeitnehmereigener Mobiltechnik für betriebliche Zwecke hervorruft, ist, wie bereits erwähnt, die Trennung der beiden Bereiche auf dem Gerät.

Was die Abrechnung der Datennutzung in Mobilfunksystemen betrifft, bietet sich hier besonders der Einsatz von Geräten mit zwei SIM-Karten an.

Eine davon stellt das Unternehmen, für betriebliche verursachte Telefonate und Datenübertragung, und die andere läuft auf den Arbeitnehmer, der sie für Privatgespräche sowie privates Surfen und dergleichen nutzt. Beide SIM-Karten können bei solchen Geräten gleichzeitig eingebucht sein, und die Betriebssysteme bieten in der Regel Hilfen für die richtige Zuordnung der Datenströme.

Ein weiteres Hilfsmittel, das dem Zweck der Trennung von Privat- und Firmennutzung dient, ist die MDM-Software. Das sind Systeme für das Mobile-Device-Management, die auf dem Gerät eine private und eine betriebliche Oberfläche bereitstellen.

Für die Nutzung von privaten Diensten muss der Anwender dann in den privaten Bereich wechseln und für die betrieblichen Aufgaben in den Firmenbereich. Dort findet der Arbeitnehmer die Apps für den Zugang zu den Services im Firmennetz, die vom Arbeitgeber vorgegeben sind. Im privaten Teil kann er dagegen tun und lassen, was er will.

Eine solche Trennung zwischen unternehmensspezifischen und privaten Bereichen erleichtert auch das Durchsetzen von Regeln und Einschränkungen beim Zugriff auf Firmendaten. Diese Beschränkungen betreffen nur noch den betrieblichen Bereich und haben keinen Einfluss auf die private Anwendung.

Problematisch kann es allerdings werden, wenn die MDM-Software die Nutzung der firmeninternen Services oder den Wechsel zwischen den Bereichen zu sehr erschwert. Wenn beispielsweise die Firmen-App nur innerhalb des Firmennetzes verwendbar ist, dann besteht die Gefahr, dass ein solches BYOD-System von den Mitarbeitern nicht angenommen wird.

Weiterführende Informationen

Das Original dieses Artikels ist auf Der Produktmanager erschienen (©Andreas Rudolph). Folgeartikel zum Thema gibt es über die (→Mailingliste), oder indem Sie →mir auf Twitter folgen.

In der Online Version des Artikels finden Sie hier weiterführende Links:

Comments are closed.