von RA Dr. Sebastian Kraska

Bring-Your-Own-Device: Datenschutz-Empfehlungen und technische Umsetzungsmöglichkeiten

News vom 11.07.2012, 18:59 Uhr | Keine Kommentare

Smartphone und Tablet sind für viele Nutzer kaum noch aus dem Alltag wegzudenken und bewähren sich als ständige Begleiter für Freizeit und Beruf. Damit neigen sich auch die Zeiten ihrem Ende, in denen nur privilegierte Mitarbeiter Zugriff auf das geschäftliche Kommunikationsgeschehen und Unternehmensdaten von unterwegs erhielten. Der folgende Beitrag erläutert welche datenschutzrechtlichen und technischen Rahmenbedingungen Unternehmen beachten sollten, wenn der Einsatz privater Smartphones im Unternehmen beabsichtigt wird (abgekürzt „Bring-Your-Own-Device“ oder „BYOD“).

Ein Beitrag von Peter Meuser (unabhängiger IT-Berater) und Dr. Sebastian Kraska (Rechtsanwalt und externer Datenschutzbeauftragter).

Warum ist das Datenschutzrecht überhaupt relevant?

Ein Unternehmen bleibt (als so genannte „verantwortliche Stelle“ nach § 3 Abs. 7 BDSG) auch dann für die ordnungsgemäße Verarbeitung von personenbezogenen Daten haftungsrechtlich verantwortlich, wenn diese Verarbeitung auf privaten Smartphones der Beschäftigten stattfindet. Aber anders als bei Smartphones, die Eigentum des Unternehmens sind, hat das Unternehmen ohne vorhergehende Vereinbarungen dabei nur eingeschränkte Möglichkeiten, technische und organisatorische Vorgaben hinsichtlich der sicheren Datenverarbeitung auf Privatgeräten zu treffen und diese auch durchzusetzen.

Empfehlung: Vorab Regelung mit Beschäftigten treffen

An sich lautet die Empfehlung daher, im Unternehmen grundsätzlich nur unternehmenseigene Hardware einzusetzen. Sollen in einem Unternehmen dennoch auch private Smartphones Einsatz finden ist es rechtlich unerlässlich, insbesondere zur Vermeidung von Haftungsproblemen, zur Entschärfung möglicher Konflikte bspw. mit dem Fernmeldegeheimnis und zur Sicherstellung einer ordnungsgemäßen Verarbeitung von Geschäftsdaten auf Privatgeräten zu Beginn eine schriftliche Regelung mit den Beschäftigten zu treffen. Der folgende Katalog enthält die zentralen Themen, welche in einer solchen Regelung beinhaltet sein sollten:

Vorgabe zur Trennung privater und geschäftlicher Daten

Zur Meidung von Zugriffsrestriktionen (insb. durch das Fernmeldegeheimnis in Bezug auf private E-Mails ) sollten private und geschäftliche Daten möglichst klar voneinander getrennt werden.

Diese Trennung stellt die zentrale Anforderung, die es innerhalb einer BYOD-Strategie zu lösen gilt. Alle heute verbreiteten und aktiv fortentwickelten Smartphone-Plattformen wie Apple iPhone (iOS), Google Android, RIM BlackBerry und Microsoft Windows Phone bieten grundsätzlich die Möglichkeit, mehrere Mail-Konten „getrennt“ voneinander auf einem Gerät zu verwalten. Unternehmen nutzen als „Messaging System“, das auch geschäftliche Kalender- und Kontaktdaten zur Synchronisation auf dem Smartphone bereitstellt, meist Microsoft Exchange („Outlook“) oder Lotus Domino („Lotus Notes“).

Ohne weitere Maßnahmen kann allerdings kaum von einer „sauberen“ Trennung privater und geschäftlicher Daten die Rede sein. Beide Bereiche werden zunächst gleichberechtigt auf den Geräten behandelt. Kommt ein ungeschütztes Privatgerät mit geschäftlichen Daten in fremde Hände, liegen daher beide Bereiche gleichermaßen offen. Werden private Mails über das Firmen-Mail-Konto weitergeleitet, geraten sie in das Kontrollsystem des Messaging Systems im Unternehmen (z.B. gesetzliche Mail-Archivierung). Umgekehrt besteht ebenso das Risiko Firmendaten unkontrolliert über das Privatkonto weiterzuleiten. Privat installierte Apps auf den Smartphones können (je nach Mobilplattform) vom Anwender unbemerkt Zugriff auf Mail-Konten erhalten und leiten vertrauliche Information selbsttätig nach außen.

Sobald ein Privatgerät mit der Unternehmens-IT verbunden wird, gilt es diese Risiken zu kontrollieren, minimieren und möglichst zu unterbinden. iPhones, BlackBerries, wie auch Geräte unter Android und Windows Phone bringen dazu von Haus aus bereits unterschiedliche Voraussetzungen mit, auf die verschiedene Ansätze zum „Mobile Device Management“ (MDM) aufsetzen (siehe vertiefend[ „](http://www.itlab.de/s/mdmov) Überblick: Kontrollmöglichkeiten der aktuellen Mobilplattformen im Unternehmenseinsatz“ ).

Kontakt:

IT-Recht Kanzlei

Alter Messeplatz 2
80339 München

Tel.: +49 (0)89 / 130 1433 - 0
Fax: +49 (0)89 / 130 1433 - 60

E-Mail: info@it-recht-kanzlei.de

© 2005-2016 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller