Aktuelles, Experten - geschrieben von dp am Freitag, November 30, 2012 20:04 - ein Kommentar
Bring Your Own Device: Unternehmen sollten Gefahren progressiv begegnen
Dr. Sami Bdeiwi widmet sich in seinem Gastbeitrag dem an Bedeutung zunehmenden Trend BYOD und dem möglichen Widerspruch für Datenschutz und Datensicherheit
[datensicherheit.de, 30.11.2012] Rechtsanwalt Dr. Sami Bdeiwi nimmt in einem aktuellen ds-Gastbeitrag Stellung zur Einbringung und Nutzung privater Endgeräte in die Unternehmensstruktur – im Englischen Bring Your Own Device (BYOD) genannt:
BYOD ist zur Zeit in aller Munde und nach wie vor der Trend in der IT-Welt. In diesem Kurzbeitrag wird dargestellt, warum es diesen Trend gibt und welche Gefahren er für den Datenschutz und die Datensicherheit birgt; abschließen wird der Beitrag mit einer Praxisempfehlung.
Warum es BYOD überhaupt gibt
Die Gründe für BYOD und das nach wie vor steigende Interesse daran sind mannigfaltig: Der Mitarbeiter, der im und für das Unternehmen seinen eigenen PC, Laptop, Tablet oder – immer häufiger – sein eigenes Smartphone nutzen darf, hat sich das Endgerät zumeist selbst ausgesucht, fühlt sich damit wohl und will so schnell und unkompliziert wie möglich auf die für ihn relevanten Daten zugreifen.
Das Unternehmen spart sich etwaige Anschaffungskosten und kann seinen Mitarbeiter, der das Gerät schließlich auch privat nutzt, zumeist ständig erreichen. Auch dürfte ein Mitarbeiter, der mit dem ihm vertrauten Material arbeiten darf, auch motivierter und produktiver sein. Sollte BYOD nicht der Unternehmensphilosophie entsprechen oder gar von dem Unternehmen gewollt sein, so wird es in der Praxis doch zumeist geduldet.
Möglicher Widerspruch zum Datenschutz und zur Datensicherheit
Von Arbeitgebern und Arbeitnehmern wird häufig nicht beachtet, dass BYOD zu einer Fülle von Problemen führen kann: Hervorgehoben sei der für den Datenschutz und die Datensicherheit wichtigste Aspekt – und zwar, dass naturgemäß jedes BYOD-Gerät auch mit einer Software aufgespielt ist und sich bei einem Gerät, welches privat angeschafft wurde und auch in der Freizeit genutzt wird, zumeist auch private Daten befinden. Dies führt dann zu Folgeproblemen, von denen die wichtigsten nachfolgend kurz angerissen werden.
- Problem: Software-Lizenzierung
Häufig findet eine unlizenzierte Nutzung der privaten Software durch den Mitarbeiter statt. Dies ist deswegen problematisch, da der Mitarbeiter mit dieser Software auch dienstliche Daten bearbeitet. Sollte bei dem Unternehmen eine Lizenzprüfung erfolgen, kann es für den Verstoß haftbar gemacht werden. Denn grundsätzlich sind nicht die Eigentumsverhältnisse an dem Gerät, sondern die Nutzung des Geräts ist entscheidend für die Verantwortlichkeit. - Problem: Vermengung privater und beruflicher Daten
Da in der Praxis keine Umsetzung der strikten Trennung von privaten und beruflichen Daten auf BYOD-Geräten existiert, werden entsprechende Daten auch vermengt. Infolgedessen können Szenarien entstehen, in denen die jeweils anderen Daten mit ausgewertet werden. So können beispielsweise bei Audits der Softwarehersteller oder strafrechtlichen Durchsuchungen beim Unternehmen auch die private Daten des Mitarbeiters beleuchtet werden. Umgekehrt können bei einer Durchsuchung der privaten Daten auch die beruflichen Daten betroffenen sein. Insofern droht bei der Verletzung datenschutzrechtlicher Vorschriften die Verhängung empfindlicher Bußgelder. - Problem: Erhöhtes Angriffspotenzial
Eine Einbindung der BYOD-Geräte in unternehmensweite Sicherheitssysteme findet in der Praxis zumeist nicht statt. Auch IT-Richtlinien, sofern vorhanden, berücksichtigen diese Geräte in der Regel nicht. Daher bieten BYOD-Geräte eine große Angriffsfläche für Hacker und Viren. Der Verlust aller Daten droht ebenso wie imageschädigende Veröffentlichungspflichten.
Dr. Sami Bdeiwi empfiehlt den Unternehmen u.a. eine eigene BYOD-Policy
Dr. Sami Bdeiwis Praxisempfehlung
Ob der datenschutz- und datensicherheitsrechtlichen Bedenken ist davon auszugehen, dass der Trend BYOD weiter zunimmt, weil die IT-Innovationen immer mehr aus dem Endverbraucherbereich als aus den IT-Unternehmen kommen.
Um den oben genannten Gefahren zu begegnen, empfiehlt es sich, dass Problem progressiv anzugehen. Das heißt zum einem, dass Mitarbeiter, die BYOD-Geräte nutzen, sensibilisiert werden müssen. Dies kann beispielsweise durch Inhouse-Schulungen und Fortbildungen gewährleistet werden. Zum anderen muss ein Augenmerk auf ein Update der IT-Richtlinien gelegt werden. Empfehlenswert ist insofern auch eine eigene BYOD-Policy, die sich über die entsprechenden Verpflichtungen verhält. Optimalerweise wird eine Partionierung der Endgeräte umgesetzt, die Daten der betrieblichen und beruflichen Nutzung strikt getrennt. Denkbar ist auch eine Virtualisierung des Zugriffs, wonach berufliche Daten sich nie auf dem BYOD-Gerät befinden.
Der Autor:
Dr. Sami Bdeiwi ist in der Kanzlei volke2.0 in Lünen tätig. Er betreut Unternehmen in Fragen des IT-Rechts (u.a. EDV-Recht, Softwarerecht), des Datenschutzrechts und des Rechts der Sozialen Medien.
Weitere Informationen zum Thema:
ein Kommentar
Kommentieren
Aktuelles, Experten - Jan. 8, 2025 21:06 - noch keine Kommentare
Meike Kamp ist Vorsitzende der Datenschutzkonferenz 2025
weitere Beiträge in Experten
- E- Rechnungen können gesetzeskonform gemäß GoBD archiviert werden
- Monitor Digitalpolitik: Bitkom-Stellungnahme zu Fortschritten kurz vor den Neuwahlen
- Vorankündigung: 17. Security Forum der Technischen Hochschule Brandenburg
- Datennutzung vs. Datenschutz: EAID lädt zur Diskussionsveranstaltung nach Berlin ein
- Angesichts digitaler Geschenkflut zu Weihnachten: Mehrheit der Deutschen fordert laut eco-Umfrage bessere Medienkompetenz für Kinder
Aktuelles, Branche - Jan. 9, 2025 17:15 - noch keine Kommentare
Aufbewahrungsfristen genau beachten: Welche Unterlagen 2025 DSGVO-konform entsorgt werden dürfen
weitere Beiträge in Branche
- E-Mail-Sicherheitslösungen mit Doppelnutzen: Minimierung der Risiken und Maximierung der Effizienz
- Unsichtbare Augen und Ohren daheim: IoT und Datensicherheit austarieren
- it’s.BB e.V. lädt zum Jahresauftakt ein: Web-Seminar am 15. Januar 2025
- Check Point kommentiert Hacker-Angriff auf US-Finanzministerium
- E-Rechnungspflicht erfordert Stärkung der E-Mail-Sicherheit
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Das Problem bei BYOD ist dass Privatgeräte meist nicht vom IT-Management eines Unternehmens kontrolliert und verwaltet werden, Ihr Einsatz birgt deshalb auch technische und datenschutzrechtliche Risiken. Datensicherheit und Datenschutz werden in vielen Unternehmen immer noch stiefmütterlich behandelt. Auch beim cloud computing sollen Sicherheitsspezialisten eine untergeordnete Rolle spielen. Lösung – Datenschutz und die Überprüfung des Systems müssen in die Service-Level-Agreements (SLAs) einziehen