BvD News 2013/2 - BvD eV

Empfehlungen

Info

Aus der PraxisBYOD – BringYour Own „Disaster“Fragen zur Nutzung von privaten Geräten von MitarbeiternMobile Geräte befähigen einige Mitarbeiter unzweifelhaftihre Zeit produktiver zu nutzen,um zum Beispiel während einer Reise zu arbeiten.Heute besitzen die meisten Menschen verschiedenemobile Geräte: Mobiltelefone, die an sich schonkleine Computer darstellen, Laptops, Netbooksund/oder Tablet-PCs, wobei die Grenzen zwischenden letzten drei nicht immer klar definiert sind.Der Einsatz der nicht dem Unternehmen gehörendenGeräte zu Firmenzwecken bieten dem Unternehmenauch Vorteile:• Niedrigere Kosten im Bereich der Investitionenfür IT-Mittel• Nutzer kennen sich mit ihren privaten Gerätenmeist sehr gut aus, da sie diese selbst eingerichtethaben-> Geringerer Support-Bedarf-> Geringerer Schulungs-BedarfDaraus resultiert insgesamt eine höhereProduktivität für das Unternehmen.• Es steigert die Attraktivität eines Arbeitgebers,wenn sich Angestellte ihr Arbeitsgerät selbstaussuchen können.Die Geräte im Besitz der Mitarbeiterinnen und Mitarbeitersind im Vergleich zu den firmeneigenenRechnern häufig mit zusätzlicher Funktionalitätenausgestattet, welche auf den firmeneigenen Gerätenvermisst werden und die Nutzwert für denMitarbeiter erhöhen. Der Einsatz der nicht demUnternehmen gehörenden Geräte für die täglicheArbeit im Unternehmen bietet auf den ersten Blickden Mitarbeitern wie auch dem Unternehmen nurVorteile: die Idee des BYOD (= „bring your own device“)war geboren.Der zweite Blick: Durch die Offenheit der Gerätewahlsteigert sich automatisch die Heterogenität 1der mobilen Betriebssystemlandschaft im Unternehmen,wodurch sich der Aufwand der Administrationund der Gestaltung der Sicherheitsrichtliniendrastisch erhöht, da die jeweiligen Merkmale einesBetriebssystems bzw. teilweise des jeweiligenGerätetyps mit seiner entsprechenden Betriebssystemmodifikation(Stichwort: Android-Betriebs-Bring your own device:Wenn Mitarbeiterinnen undMitarbeiter ihre eigenenGeräte beruflich nutzen,kann das zu verschiedenenProblemen führen.44 | BvD-News 2/2013
Aus der Praxissystem ≠ Android Betriebssystem) evaluiert undfür das Sicherheitskonzept berücksichtigt werdenmüssen. Daneben gibt es noch diverse andereÜberlegungen, welche die unzweifelhaft vorhandenenVorteile des BYOD-Konzeptes relativieren:• Wie sieht es hinsichtlich der Produktivität desMitarbeiters bei Verlust oder Defekt des mobilenGerätes aus?• Stellt das Unternehmen ein Ersatzgerät?• Schließt das Unternehmen für das Gerät derMitarbeiterin / des Mitarbeiters einenSupportvertrag ab?• Benötigt das Unternehmen ggf. mehrere RemoteAccess Lösungen für die vielen verschiedenenGeräte?• Wie schütze ich mein Unternehmensnetzwerkdavor, dass von den privaten Geräten keineschädliche Software ins Unternehmen transportiertwird?Weiterhin müssen verschiedene gesetzliche Regelungenbetrachtet werden, insbesondere natürlichauch die bestehenden Datenschutzgesetze.Unternehmen mussHerr der Daten bleibenWerden Daten außerhalb der Verfügungsgewaltdes Unternehmens gelagert, so dass das Unternehmennicht mehr als „Herr der Daten“ geltenkann, müssen die Daten letztlich als an einenDritten übermittelt gelten. D.h. hier ist eine Einverständniserklärungder jeweils Betroffenen notwendig.Unabhängig vom Verwaltungsaufwand fürdas Unternehmen, der notwendig ist, um von allenBetroffenen ein Einverständnis einzuholen: wennein Betroffener sein Einverständnis nicht erteilt,muss dies in den IT-Systemen vermerkt werdenund technisch verhindert werden, dass mit privatenEndgeräten auf die Daten zugegriffen werdenkann, wohl aber mit dienstlichen Geräten.Es muss also eine Liste geführt werden, mit deneneindeutig der Status „privat“ bzw. „dienstlich“ bestimmtwerden kann und es müssen entsprechendeFilterregeln in allen IT-Systemen implementiertwerden. Zum heutigen Zeitpunkt ist dies so gut wieunmöglich abzubilden. Zudem ist das Unternehmenentsprechend §§17 und 18 UWG zum Schutzvon Betriebs- und Geschäftsgeheimnisse verpflichtet,was ebenfalls eine direkte Weitergabe von derartigenDaten an Privatpersonen ausschließt.Daher muss das Unternehmen auch beim Einsatzprivater mobiler Endgeräte der „Herr der Daten“bleiben. Dies kann nur durch den Einsatz vonVerschlüsselungssoftware erreicht werden, sodass auf den privaten mobilen Endgeräten Crypto-Container eingerichtet werden, in denen die Datendes Unternehmens gelagert werden. Idealerweisehat die Mitarbeiterin/der Mitarbeiter auf den Crypto-Container nur Zugriff, wenn das mobile Endgerätmit dem Unternehmensnetzwerk verbunden ist.Bei Verlust des mobilen Endgerätes sind die dienstlichenDaten vor unbefugtem Zugriff geschützt. Istdas Unternehmen gezwungen, die dienstlichenDaten zu löschen, muss lediglich der Crypto-Containergelöscht werden; die privaten Daten der Mitarbeiterin/desMitarbeiters bleiben unberührt.Spezialgesetzliche Regelungen im Gesundheitswesenschreiben in einigen Bundesländern zudemvor, dass Daten grundsätzlich im Krankenhausselbst verarbeitet werden müssen 2 . Auch der Landesbeauftragtefür Datenschutz schreibt in seinemTätigkeitsbericht, dass aus seiner Sicht der Einsatzprivater Endgeräte nur ausnahmsweise in Betrachtkommt, wenn ausschließlich Daten verarbeitetbzw. genutzt werden, die datenschutzrechtlichnicht als sensiblen anzusehen sind. In Fällen, wonicht direkt auf dem Mobilgerät mit den Daten gearbeitetwerden darf, kommen derzeit nur Terminal-Lösungen in Betracht, in denen die Verarbeitung imKrankenhaus erfolgt. Die zurzeit am häufigsten inDeutschland eingesetzte Lösung ist die von Citrix.Rechtliche „Randbetrachtungen“bei BYODBzgl. der Informationspflicht bei Datenpannen gehtder Berliner Datenschutzbeauftragte davon aus,dass eine „Kenntniserlangung durch einen Drittennicht positiv festgestellt“ werden muss 3 . Desgleichengeht er davon aus, dass eine „Informationspflichtauch in Betracht kommt, wenn Laptopsoder andere Datenträger an Orten verlorengehen,wo sie Dritten zugänglich sind und die Daten nichtverschlüsselt sind“ 4 . Auch aus dieser Sicht ist einCrypto-Container das Mittel der Wahl, denn ohneVerschlüsselung muss das Unternehmen bei Verlustdes (privaten) mobilen Endgerätes seinenInformationspflichten nachkommen, d.h. ggf. eineAnzeige in überregionalen Tageszeitungen veröffentlichen.Neben dem Datenschutzrecht müssenTextverweise1) Stand 08.06.2012 bestand das Angebotder vier Carrier Telekom, Vodafone, O2 undE-Plus aus 168 verschiedenen Endgeräten;Quelle: Düll K. (2012) Bring Your OwnDevice (BYOD) - Wie viele Gerätetypenkommen denn da auf mich zu? [Online,überprüft 2013-10-06], verfügbar unterhttp://pretioso-blog.com/bring-your-own-device-byod-wieviele-geraetetypen-kommendenn-da-auf-mich-zu/#.UlCC5FO1-Hs2) Z.B.: Bremen (§10 BremKHDSG), NordrheinWestfalen (§7 GDSG NW) oder auchSaarland (§13 SKHG)3) 23. Tätigkeitsberichte des Landesbeauftragtenfür den Datenschutz Rheinland-Pfalz, S. 59. [Online, zitiert am 2013-05-14],verfügbar unter http://www.datenschutz.rlp.de/downloads/tb/tb23.pdf4) Berliner Beauftragten für Datenschutzund Informationsfreiheit. (2011) FAQs zurInformationspflicht bei unrechtmäßigerKenntniserlangung von Daten nach §42a BDSG, S. 5,6 . [Online, zitiert am2013-05-14], verfügbar unter http://www.datenschutz-berlin.de/attachments/809/535.4.7.pdf?1311923219BvD-News 2/2013 | 45
Seite 1 und 2: BvD-NewsDas Fachmagazin für den Da
Seite 3 und 4: EditorialLiebe Leser,mit dieser BvD
Seite 5 und 6: Inhaltsverzeichnis / ImpressumInhal
Seite 7 und 8: Der neue DatenschutzstandardBvD und
Seite 9 und 10: Der neue DatenschutzstandardGütesi
Seite 11 und 12: Der neue DatenschutzstandardDer neu
Seite 13 und 14: Kolumnentitel (Thema)g Versiegelter
Seite 15 und 16: GastbeitragNSA-Affäre offengelegt.
Seite 17 und 18: Gastbeitragdie sich Europa selbst d
Seite 19 und 20: Die EU-DSGVOAuch beim Infotag des B
Seite 21 und 22: Die EU-DSGVOmeine Daten auch anderw
Seite 23 und 24: Aus der PraxisErhebung, Verarbeitun
Seite 25 und 26: Aus der PraxisWeiterbearbeitung in
Seite 27 und 28: Aus der Praxisalismus vor, dieses P
Seite 29 und 30: Aus der Praxisgrüßt daher die Ver
Seite 31 und 32: Aus der PraxisJugendschutzfilter fu
Seite 33 und 34: Aus der PraxisDie Stiftung Datensch
Seite 35 und 36: DREGER INFORMATION TECHNOLOGYAus de
Seite 37 und 38: Aus der Praxisdazu entsprechende In
Seite 39 und 40: Aus der Praxisals erfüllt bestäti
Seite 41 und 42: Aus der Praxisund Dienstleistungszw
Seite 43: Aus der Praxissind dabei nicht ausr
Seite 47 und 48: Aus der Praxisdurchgesetzt.• Der
Seite 49 und 50: Eine gute Adresse für Datenschutz:
Seite 51 und 52: Aus der Praxisist das Schutzniveau
Seite 53 und 54: BvD internGut schreiben könnenSie
Seite 55 und 56: BvD internSichern Sie sich Ihren Sc
Seite 57 und 58: BvD internser-Schnarrenberger pläd
Seite 59 und 60: BvD internNeue Möglichkeiten derDi
Seite 61 und 62: BvD internJe nach verwendetem Progr
Seite 63 und 64: den Krankenrückkehrergespräche. S
Seite 65 und 66: AktuellesRunder Tisch zurDatenträg
Seite 67 und 68: AktuellesBvD: Wäre für die Auswah
Seite 69 und 70: Aus der PraxisSpontanes Gruppenbild
Seite 71 und 72: BvD interndie Verordnung in den jew
Seite 73 und 74: TermineNächste Seminare der udisAl
Seite 75 und 76: Aus dem BvDBvD-Datenschutztage 2014

BvD News 2013/2 - BvD eV

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?