Die Nutzung privater Endgeräte am Arbeitsplatz erfreut sich einer immer größeren Beliebtheit. Viele Unternehmen erlauben ihren Mitarbeitern sich mit ihren Tablets, Smartphones, Notebooks etc. mit dem Firmennetzwerk zu verbinden und sie zur Arbeit zu nutzen. Dieses Verfahren nennt sich „Bring Your Own Device“, kurz: BYOD. Unternehmen erhoffen sich eine höhere Mitarbeiterzufriedenheit und ein effizienteres Arbeiten, da die Personen mit ihren Geräten vertraut sind. Andere Unternehmen lehnen BYOD ab. Ein Hauptgrund ist die Angst vor Datenschutzverstößen.
Nutzung von BYOD – Gewisse Daten müssen getrennt werden
Die Verwendung von privaten Geräten im Unternehmensumfeld setzt eine strikte Trennung von privaten und geschäftlichen Daten voraus. Firmen tragen für sämtliche dienstlichen Daten, besonders personenbezogene Daten, die Verantwortung. Dabei ist es unabhängig, ob Mitarbeiter diese mit dienstlichen oder privaten Geräten verarbeiteten. Daher ist es aus Unternehmenssicht zwingend erforderlich, zu jeder Zeit die volle Kontrolle über geschäftliche E-Mails und Dokumente zu haben. Nach § 9 Bundesdatenschutzgesetz muss das datenverarbeitende Unternehmen sämtliche Maßnahmen treffen, um die in der Anlage dieses Gesetzes genannten Anforderungen zu gewährleisten. Dies gilt auch, wenn es Mitarbeitern gestattet ist, mit privaten Geräten zu arbeiten. Werden diese Anforderungen für sensible Daten auf den Mitarbeitergeräten nicht gewährleistet, sollten Unternehmen diese von BYOD ausnehmen.
Welche Anforderungen ergeben sich für die verantwortlichen Stelle?
Unternehmen müssen Maßnahmen treffen, die darauf abzielen, dass die innerbetriebliche Organisation trotz BYOD den Anforderungen des Datenschutzes gerecht wird. Dazu können sie sich an den Vorgaben aus der Anlage zu § 9 Satz 1 BDSG orientieren.
Zutrittskontrolle
Unbefugten muss der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt werden.
Zugangskontrolle
Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
Zugriffskontrolle
Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Weitergabekontrolle
Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
Eingabekontrolle
Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
Auftragskontrolle
Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
Verfügbarkeitskontrolle
Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
Trennungsgebot
Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Werden diese Anforderungen von Unternehmen bei der Arbeit mit privaten Geräten berücksichtigt und eingehalten, steht der Verwendung von BYOD nichts im Weg. Auf der einen Seite ist BYOD modern, zeitgemäß und besonders für junge Arbeitnehmer sehr reizvoll. Für die Unternehmen ergibt sich jedoch ein erhöhter Sicherheits- und Wartungsaufwand, da womöglich eine Vielzahl an Geräten mit unterschiedlicher Software eingesetzt wird. Besonders aus der Datenschutz-Sicht ist zu beachten, dass Unternehmen bei der Nutzung von BYOD bei Kontrollrechten und weiteren Aspekten auf die Kooperation der Mitarbeiter angewiesen sind, da es sich um die Privatgeräte handelt. Somit muss jedes Unternehmen individuell entscheiden, ob BYOD sinnvoll und umsetzbar ist oder nicht.