BYOD: DSGVO konform
Gastbeitrag von Günter Junk
BYOD: Container sichern personenbezogene Daten auf mobilen Endgeräten
In einem BYOD (Bring Your Own Device)-Modell nutzen Mitarbeiter ihre privaten Smartphones oder Tablets für berufliche Zwecke. Der Vorteil für Anwender: Sie können mit ihren gewohnten Endgeräten arbeiten. Arbeitgeber müssen allerdings einige rechtliche Anforderungen beachten, um einen gesetzeskonformen und sicheren Betrieb zu gewährleisten.
BOYD im Arbeitsalltag längst Realtität
In vielen Unternehmen ist BYOD längst Realität. Die Beschäftigten nutzen ihre privaten Endgeräte für berufliche Aufgaben und Außendienstmitarbeiter bearbeiten mit Smartphones oder Tablets unterwegs unternehmensbezogene Dokumente und E-Mails. Sobald es dabei um personenbezogene Daten wie beispielsweise Angaben zu Kunden oder Mitarbeitern eines Unternehmens geht – und das ist fast immer so – wird daraus ein Fall für das Bundesdatenschutzgesetz (BDSG).
Die rechtlichen Vorgaben sind klar: Im Sinne von § 3 Abs. 7 BDSG ist der Arbeitgeber für die Einhaltung des Datenschutzes bezüglich der im Unternehmen verarbeiteten Daten verantwortlich. Das gilt ohne Einschränkung auch dann, wenn die Beschäftigten für berufliche Zwecke auf ihren eigenen Smartphones mit personenbezogenen Daten arbeiten. Der Arbeitgeber ist daher in der Pflicht, dass die notwendigen technischen und organisatorischen Maßnahmen getroffen werden, um den Datenschutz zu gewährleisten. Konkret bedeutet das: Die personenbezogenen Daten auf den Smartphones müssen genauso sicher sein wie im Rechenzentrum des Unternehmens und das obwohl die technischen Voraussetzungen völlig andere sind.
BOYD rechtssicher gestalten
Um BYOD auch im Hinblick auf die 2018 in Kraft tretende europäische Datenschutzgrundverordnung (DSGVO) rechtssicher zu gestalten, gibt es mehrere einander ergänzende Maßnahmen
- Wichtig – und laut der ab 25. Mai 2018 geltenden europäischen Datenschutzgrundverordnung (DSGVO) auch so vorgesehen – ist zunächst einmal die Verschlüsselung der Daten auf den mobilen Endgeräten. Dabei müssen die Daten nicht nur auf dem mobilen Endgerät, sondern auch während der Übertragung verschlüsselt werden. Die durchgehende Verschlüsselung soll sicherstellen, dass die Daten permanent geschützt sind. Ein Unternehmen kann durch die Verschlüsselung nachweisen, dass man der Sorgfaltspflicht beim Umgang mit personenbezogenen Daten nachkommt.
- Die beruflichen und die privaten Daten auf den Smartphones und Tablets werden durch den Einsatz von Containern strikt getrennt. Dadurch werden sowohl die Firmendaten geschützt als auch die Privatsphäre des Mitarbeiters – ein weiterer wichtiger Grundsatz der DSGVO. Container bieten noch weitere Sicherheitsvorteile Sie verhindern, dass andere Apps (beispielsweise WhatsApp) auf die personenbezogenen Daten im beruflichen Bereich unerlaubterweise zugreifen können. Zudem kann der IT-Administrator unterbinden, dass jemand – bewusst oder aus Nachlässigkeit – personenbezogene Daten oder vertrauliche Firmeninformationen per Copy-and-Paste aus dem Container in den Privatbereich verschiebt. Was ist, wenn ein Mitarbeiter sein beruflich genutztes Endgerät verliert oder es gestohlen wird? Der Arbeitgeber ist dann in der Lage, die beruflichen Daten in dem verschlüsselten Container aus der Ferne sicher zu löschen. Es gibt also eine Reihe von Mechanismen, um Daten auf mobilen Endgeräten zu schützen.
- Die Datenschutzgrundverordnung sieht vor, dass die Sicherheit der Daten bereits bei der Entwicklung neuer Software – also auch bei Apps und mobilen Anwendungen – zu berücksichtigen ist. Im Fachjargon (Art. 25 Abs. 1 und 2 der DSGVO) heißt das: Privacy by Design und Privacy by Default. Dies ist bei einem Container-Ansatz gegeben.
Container-Ansatz – einfach und effizient
Warum es wichtig ist, sich mit den rechtlichen Herausforderungen des BYOD-Modells zu befassen, zeigt abschließend ein Blick auf die Datenschutzgrundverordnung im Unterschied zum Bundesdatenschutzgesetz (BDSG). Die Aufsichtsbehörden konnten bis heute nur dann ein Bußgeld aussprechen, wenn der Datenverstoß aufgrund unzureichender technischer und organisatorischer Maßnahmen verursacht wurde. Mit der ab Mai nächsten Jahres geltenden Datenschutzgrundverordnung kann bereits ein Bußgeld verhängt werden, wenn ein Unternehmen die Maßnahmen nicht nachweisen kann. Dann können Bußgelder von bis zu zehn Millionen Euro oder von bis zu zwei Prozent des gesamten Jahresumsatzes fällig werden. Noch ist für Unternehmen Zeit, sich intensiv mit der Implementierung wirksamer Maßnahmen zur Einhaltung der Datensicherheit beim BYOD-Modell zu befassen. Der Container-Ansatz ist eine einfache und effiziente Art, die neuen Bestimmungen für mobiles Arbeiten einzuhalten.
weiterführende Informationen:
Virtual Solution AG
Über den Autor:
GünterJunk
Günter Junk ist seit Oktober 2016 Chief Executive Officer (CEO) der Virtual Solution AG. Das Unternehmen entwickelt und vertreibt die Applikation SecurePIM und das Framework SERA für iOS- und Android-Geräte. Seine berufliche Laufbahn in der Technologiebranche begann Günter Junk beim US-Konzern Hewlett-Packard unmittelbar nach Abschluss seines Studiums der Nachrichtentechnik an der Universität zu Köln. In Folge war Günter Junk maßgeblich für das Wachstum der Firma Cisco Systems verantwortlich als Geschäftsführer in Deutschland und später als VP Operation in der gesamten Region EMEA. Umfangreiche Erfahrung in der Sicherheitsindustrie erwarb Günter Junk bei dem Netzwerksicherheitsspezialisten Astaro und dem US-Konzern Sophos, zuletzt als General Manager der Sophos Security Group.
Aufmacherbild / Quelle / Lizenz
Pixabay / CC0 Creative Commons
Containerlösungen sind auf jeden Fall eine gute Lösung – aber die MDMs sollte man auch betrachten, sind flexibler, dafür aber teurer.