Aus der PraxisBYOD – BringYour Own „Disaster“Fragen zur Nutzung von privaten Geräten von MitarbeiternMobile Geräte befähigen einige Mitarbeiter unzweifelhaftihre Zeit produktiver zu nutzen,um zum Beispiel während einer Reise zu arbeiten.Heute besitzen die meisten Menschen verschiedenemobile Geräte: Mobiltelefone, die an sich schonkleine Computer darstellen, Laptops, Netbooksund/oder Tablet-PCs, wobei die Grenzen zwischenden letzten drei nicht immer klar definiert sind.Der Einsatz der nicht dem Unternehmen gehörendenGeräte zu Firmenzwecken bieten dem Unternehmenauch Vorteile:• Niedrigere Kosten im Bereich der Investitionenfür IT-Mittel• Nutzer kennen sich mit ihren privaten Gerätenmeist sehr gut aus, da sie diese selbst eingerichtethaben-> Geringerer Support-Bedarf-> Geringerer Schulungs-BedarfDaraus resultiert insgesamt eine höhereProduktivität für das Unternehmen.• Es steigert die Attraktivität eines Arbeitgebers,wenn sich Angestellte ihr Arbeitsgerät selbstaussuchen können.Die Geräte im Besitz der Mitarbeiterinnen und Mitarbeitersind im Vergleich zu den firmeneigenenRechnern häufig mit zusätzlicher Funktionalitätenausgestattet, welche auf den firmeneigenen Gerätenvermisst werden und die Nutzwert für denMitarbeiter erhöhen. Der Einsatz der nicht demUnternehmen gehörenden Geräte für die täglicheArbeit im Unternehmen bietet auf den ersten Blickden Mitarbeitern wie auch dem Unternehmen nurVorteile: die Idee des BYOD (= „bring your own device“)war geboren.Der zweite Blick: Durch die Offenheit der Gerätewahlsteigert sich automatisch die Heterogenität 1der mobilen Betriebssystemlandschaft im Unternehmen,wodurch sich der Aufwand der Administrationund der Gestaltung der Sicherheitsrichtliniendrastisch erhöht, da die jeweiligen Merkmale einesBetriebssystems bzw. teilweise des jeweiligenGerätetyps mit seiner entsprechenden Betriebssystemmodifikation(Stichwort: Android-Betriebs-Bring your own device:Wenn Mitarbeiterinnen undMitarbeiter ihre eigenenGeräte beruflich nutzen,kann das zu verschiedenenProblemen führen.44 | <strong>BvD</strong>-<strong>News</strong> 2/<strong>2013</strong>
Aus der Praxissystem ≠ Android Betriebssystem) evaluiert undfür das Sicherheitskonzept berücksichtigt werdenmüssen. Daneben gibt es noch diverse andereÜberlegungen, welche die unzweifelhaft vorhandenenVorteile des BYOD-Konzeptes relativieren:• Wie sieht es hinsichtlich der Produktivität desMitarbeiters bei Verlust oder Defekt des mobilenGerätes aus?• Stellt das Unternehmen ein Ersatzgerät?• Schließt das Unternehmen für das Gerät derMitarbeiterin / des Mitarbeiters einenSupportvertrag ab?• Benötigt das Unternehmen ggf. mehrere RemoteAccess Lösungen für die vielen verschiedenenGeräte?• Wie schütze ich mein Unternehmensnetzwerkdavor, dass von den privaten Geräten keineschädliche Software ins Unternehmen transportiertwird?Weiterhin müssen verschiedene gesetzliche Regelungenbetrachtet werden, insbesondere natürlichauch die bestehenden Datenschutzgesetze.Unternehmen mussHerr der Daten bleibenWerden Daten außerhalb der Verfügungsgewaltdes Unternehmens gelagert, so dass das Unternehmennicht mehr als „Herr der Daten“ geltenkann, müssen die Daten letztlich als an einenDritten übermittelt gelten. D.h. hier ist eine Einverständniserklärungder jeweils Betroffenen notwendig.Unabhängig vom Verwaltungsaufwand fürdas Unternehmen, der notwendig ist, um von allenBetroffenen ein Einverständnis einzuholen: wennein Betroffener sein Einverständnis nicht erteilt,muss dies in den IT-Systemen vermerkt werdenund technisch verhindert werden, dass mit privatenEndgeräten auf die Daten zugegriffen werdenkann, wohl aber mit dienstlichen Geräten.Es muss also eine Liste geführt werden, mit deneneindeutig der Status „privat“ bzw. „dienstlich“ bestimmtwerden kann und es müssen entsprechendeFilterregeln in allen IT-Systemen implementiertwerden. Zum heutigen Zeitpunkt ist dies so gut wieunmöglich abzubilden. Zudem ist das Unternehmenentsprechend §§17 und 18 UWG zum Schutzvon Betriebs- und Geschäftsgeheimnisse verpflichtet,was ebenfalls eine direkte Weitergabe von derartigenDaten an Privatpersonen ausschließt.Daher muss das Unternehmen auch beim Einsatzprivater mobiler Endgeräte der „Herr der Daten“bleiben. Dies kann nur durch den Einsatz vonVerschlüsselungssoftware erreicht werden, sodass auf den privaten mobilen Endgeräten Crypto-Container eingerichtet werden, in denen die Datendes Unternehmens gelagert werden. Idealerweisehat die Mitarbeiterin/der Mitarbeiter auf den Crypto-Container nur Zugriff, wenn das mobile Endgerätmit dem Unternehmensnetzwerk verbunden ist.Bei Verlust des mobilen Endgerätes sind die dienstlichenDaten vor unbefugtem Zugriff geschützt. Istdas Unternehmen gezwungen, die dienstlichenDaten zu löschen, muss lediglich der Crypto-Containergelöscht werden; die privaten Daten der Mitarbeiterin/desMitarbeiters bleiben unberührt.Spezialgesetzliche Regelungen im Gesundheitswesenschreiben in einigen Bundesländern zudemvor, dass Daten grundsätzlich im Krankenhausselbst verarbeitet werden müssen 2 . Auch der Landesbeauftragtefür Datenschutz schreibt in seinemTätigkeitsbericht, dass aus seiner Sicht der Einsatzprivater Endgeräte nur ausnahmsweise in Betrachtkommt, wenn ausschließlich Daten verarbeitetbzw. genutzt werden, die datenschutzrechtlichnicht als sensiblen anzusehen sind. In Fällen, wonicht direkt auf dem Mobilgerät mit den Daten gearbeitetwerden darf, kommen derzeit nur Terminal-Lösungen in Betracht, in denen die Verarbeitung imKrankenhaus erfolgt. Die zurzeit am häufigsten inDeutschland eingesetzte Lösung ist die von Citrix.Rechtliche „Randbetrachtungen“bei BYODBzgl. der Informationspflicht bei Datenpannen gehtder Berliner Datenschutzbeauftragte davon aus,dass eine „Kenntniserlangung durch einen Drittennicht positiv festgestellt“ werden muss 3 . Desgleichengeht er davon aus, dass eine „Informationspflichtauch in Betracht kommt, wenn Laptopsoder andere Datenträger an Orten verlorengehen,wo sie Dritten zugänglich sind und die Daten nichtverschlüsselt sind“ 4 . Auch aus dieser Sicht ist einCrypto-Container das Mittel der Wahl, denn ohn<strong>eV</strong>erschlüsselung muss das Unternehmen bei Verlustdes (privaten) mobilen Endgerätes seinenInformationspflichten nachkommen, d.h. ggf. eineAnzeige in überregionalen Tageszeitungen veröffentlichen.Neben dem Datenschutzrecht müssenTextverweise1) Stand 08.06.2012 bestand das Angebotder vier Carrier Telekom, Vodafone, O2 undE-Plus aus 168 verschiedenen Endgeräten;Quelle: Düll K. (2012) Bring Your OwnDevice (BYOD) - Wie viele Gerätetypenkommen denn da auf mich zu? [Online,überprüft <strong>2013</strong>-10-06], verfügbar unterhttp://pretioso-blog.com/bring-your-own-device-byod-wieviele-geraetetypen-kommendenn-da-auf-mich-zu/#.UlCC5FO1-Hs2) Z.B.: Bremen (§10 BremKHDSG), NordrheinWestfalen (§7 GDSG NW) oder auchSaarland (§13 SKHG)3) 23. Tätigkeitsberichte des Landesbeauftragtenfür den Datenschutz Rheinland-Pfalz, S. 59. [Online, zitiert am <strong>2013</strong>-05-14],verfügbar unter http://www.datenschutz.rlp.de/downloads/tb/tb23.pdf4) Berliner Beauftragten für Datenschutzund Informationsfreiheit. (2011) FAQs zurInformationspflicht bei unrechtmäßigerKenntniserlangung von Daten nach §42a BDSG, S. 5,6 . [Online, zitiert am<strong>2013</strong>-05-14], verfügbar unter http://www.datenschutz-berlin.de/attachments/809/535.4.7.pdf?1311923219<strong>BvD</strong>-<strong>News</strong> 2/<strong>2013</strong> | 45