BYOD: personenbezogene Daten auf mobilen Endgeräten sichern – Daten in den Container

In einem BYOD-Modell (Bring Your Own Device) nutzen Mitarbeiter ihre privaten Smartphones oder Tablets für berufliche Zwecke. Der Vorteil für Anwender: Sie können mit ihren gewohnten Endgeräten arbeiten. Arbeitgeber müssen allerdings einige rechtliche Anforderungen beachten, um einen gesetzeskonformen und sicheren Betrieb zu gewährleisten.

In vielen Unternehmen ist BYOD längst Realität. Die Beschäftigten nutzen ihre privaten Endgeräte für berufliche Aufgaben und Außendienstmitarbeiter bearbeiten mit Smartphones oder Tablets unterwegs unternehmensbezogene Dokumente und E-Mails. Sobald es dabei um personenbezogene Daten wie beispielsweise Angaben zu Kunden oder Mitarbeitern eines Unternehmens geht – und das ist fast immer so – wird daraus ein Fall für das Bundesdatenschutzgesetz (BDSG).

Die rechtlichen Vorgaben sind klar: Im Sinne von § 3 Abs. 7 BDSG ist der Arbeitgeber für die Einhaltung des Datenschutzes bezüglich der im Unternehmen verarbeiteten Daten verantwortlich. Das gilt ohne Einschränkung auch dann, wenn die Beschäftigten für berufliche Zwecke auf ihren eigenen Smartphones mit personenbezogenen Daten arbeiten. Der Arbeitgeber ist daher in der Pflicht, dass die notwendigen technischen und organisatorischen Maßnahmen getroffen werden, um den Datenschutz zu gewährleisten. Konkret bedeutet das: Die personenbezogenen Daten auf den Smartphones müssen genauso sicher sein wie im Rechenzentrum des Unternehmens und das obwohl die technischen Voraussetzungen völlig andere sind.

Um BYOD auch im Hinblick auf die 2018 in Kraft tretende europäische Datenschutzgrundverordnung (DSGVO) rechtssicher zu gestalten, gibt es mehrere einander ergänzende Maßnahmen:

  • Wichtig – und laut der ab 25. Mai 2018 geltenden europäischen Datenschutzgrundverordnung (DSGVO) auch so vorgesehen – ist zunächst einmal die Verschlüsselung der Daten auf den mobilen Endgeräten. Dabei müssen die Daten nicht nur auf dem mobilen Endgerät, sondern auch während der Übertragung verschlüsselt werden. Die durchgehende Verschlüsselung soll sicherstellen, dass die Daten permanent geschützt sind. Ein Unternehmen kann durch die Verschlüsselung nachweisen, dass man der Sorgfaltspflicht beim Umgang mit personenbezogenen Daten nachkommt.
  • Die beruflichen und die privaten Daten auf den Smartphones und Tablets werden durch den Einsatz von Containern strikt getrennt. Dadurch werden sowohl die Firmendaten geschützt als auch die Privatsphäre des Mitarbeiters – ein weiterer wichtiger Grundsatz der DSGVO. Container bieten noch weitere Sicherheitsvorteile: Sie verhindern, dass andere Apps (beispielsweise WhatsApp) auf die personenbezogenen Daten im beruflichen Bereich unerlaubterweise zugreifen können. Zudem kann der IT-Administrator unterbinden, dass jemand – bewusst oder aus Nachlässigkeit – personenbezogene Daten oder vertrauliche Firmeninformationen per Copy-and-Paste aus dem Container in den Privatbereich verschiebt. Was ist, wenn ein Mitarbeiter sein beruflich genutztes Endgerät verliert oder es gestohlen wird? Der Arbeitgeber ist dann in der Lage, die beruflichen Daten in dem verschlüsselten Container aus der Ferne sicher zu löschen. Es gibt also eine Reihe von Mechanismen, um Daten auf mobilen Endgeräten zu schützen.
  • Die Datenschutzgrundverordnung sieht vor, dass die Sicherheit der Daten bereits bei der Entwicklung neuer Software – also auch bei Apps und mobilen Anwendungen – zu berücksichtigen ist. Im Fachjargon (Art. 25 Abs. 1 und 2 der DSGVO) heißt das: Privacy by Design und Privacy by Default. Dies ist bei einem Container-Ansatz gegeben.

Warum es wichtig ist, sich mit den rechtlichen Herausforderungen des BYOD-Modells zu befassen, zeigt abschließend ein Blick auf die Datenschutzgrundverordnung im Unterschied zum Bundesdatenschutzgesetz (BDSG). Die Aufsichtsbehörden konnten bis heute nur dann ein Bußgeld aussprechen, wenn der Datenverstoß aufgrund unzureichender technischer und organisatorischer Maßnahmen verursacht wurde. Mit der ab Mai nächsten Jahres geltenden Datenschutzgrundverordnung kann bereits ein Bußgeld verhängt werden, wenn ein Unternehmen die Maßnahmen nicht nachweisen kann. Dann können Bußgelder von bis zu zehn Millionen Euro oder von bis zu zwei Prozent des gesamten Jahresumsatzes fällig werden.

Noch ist für Unternehmen Zeit, sich intensiv mit der Implementierung wirksamer Maßnahmen zur Einhaltung der Datensicherheit beim BYOD-Modell zu befassen. Der Container-Ansatz ist eine einfache und effiziente Art, die neuen Bestimmungen für mobiles Arbeiten einzuhalten.


Günter Junk,
Chief Executive Officer (CEO) Virtual Solution AG
virtual-solution.com

 

 

Illustration: © Nerthuz /shutterstock.com 

 


 

 

Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.

 

Sechs Tipps für ein sicheres BYOD-Konzept

Trend zu BOYD trotz erheblicher Sicherheitbedenken

Forscher warnen Unternehmen vor BYOD-Sicherheitslücken

Neuer EU-Datenschutz wird Anforderungen an BYOD massiv erhöhen

Enterprise Mobility Management – Managing Complexity or Mobility?

Mitarbeiter verlassen sich am Arbeitsplatz größtenteils auf ihre privaten Mobilgeräte

Unternehmen überprüfen mobile Anwendungen nicht auf gefährliches Verhalten

Mobile Endgeräte stellen ein erhebliches Sicherheitsrisiko für Unternehmen dar

Mobil arbeiten – BYOD auf eigene Faust

Weitere Artikel zu