Bring your own device und die DSGVO

• Drucken
• E-Mail

Details

Veröffentlicht: Donnerstag, 12. Dezember 2019 09:23

Geschrieben von Helmut Lanke

Bring your own device (BYOD) – so wird es bezeichnet, wenn Angestellte auf der Arbeit die eigenen Geräte benutzen dürfen. Obwohl die Kosten für das Unternehmen in einem BYOD-System sinken, ist es für Unternehmen mit Herausforderungen verbunden. Denn es ergeben sich datenschutzrechtliche Fallstricke, die es durch eine Sensibilisierung der Mitarbeiter zu umgehen gilt. Dies erfordert Organisationsaufwand.

Grundlagen und Hintergedanken zum BYOD-System

Bei einem BYOD-System dürfen private Geräte zur Arbeit in Unternehmen genutzt werden. Dies umfasst in erster Linie Notebooks und Smartphones. Heutzutage weist jedoch eine zunehmende Anzahl an Geräten eine Eignung für die Nutzung im beruflichen Kontext auf. Waren früher beispielsweise Armbanduhren nur für die Abbildung der Uhrzeit verantwortlich, hat sich die Menge an Funktionen im Laufe der Zeit erweitert. Somit sind, wie es ausführlich auf smartwatch-tests.com aufgeführt ist, sogar Smartwatches in der Lage, für Telefonate und E-Mails in beruflichem Kontext angewandt zu werden.

Der Hintergrundgedanke, ein BYOD-System im eigenen Unternehmen einzubinden, kokettiert mit den Vorteilen, die sich für Beschäftigte und Unternehmen ergeben:

• Anschaffungskosten sinken: Unternehmen bleibt der Kauf entsprechender Geräte erspart, wodurch sich die Anschaffungskosten und der buchhalterische Aufwand für die Abschreibung reduzieren.
• Optimierung der Prozesseffizienz: Beschäftigte arbeiten an den vertrauten Geräten und sind – der Annahme nach – in der Lage, die Arbeitsprozesse effizienter zu verfolgen.
• Reduzierter IT-Aufwand im Unternehmen: Dadurch, dass Mitarbeiter bei Problemen mit dem Endgerät den eigenen IT-Dienstleister kontaktieren, hat die IT-Abteilung im Unternehmen einen geringeren Aufwand.

Eine Alternative zum BYOD-System wäre das CYOD, bei dem die Beschäftigten ihr Endgerät selbst wählen dürfen; CYOD bedeutet „Choose your own device“. Hier wären die Anschaffungskosten und der IT-Aufwand im Unternehmen höher, jedoch bestünden Aussichten auf eine Optimierung der Prozesseffizienz, da Mitarbeiter vertraute und ihren privaten Geräten ähnliche Produkte aussuchen könnten. Doch ein entscheidender Vorteil verbirgt sich im CYOD und jedem anderen System außer dem BYOD: Die vereinfachte Einhaltung der Datenschutzrichtlinien.

Was die DSGVO vorschreibt und wie das BYOD-System die Einhaltung gefährdet

Das entscheidende Gesetz bei der Nutzung privater Smartphones im beruflichen Kontext ist in § 3 BDSG (Bundesdatenschutzgesetz) formuliert, welcher die Verarbeitung personenbezogener Daten durch öffentliche Stellen thematisiert. Er besagt, dass Unternehmen auch dann für die ordnungsgemäße Verarbeitung der personenbezogenen Daten haftungsrechtlich verantwortlich sind, sofern die Kommunikation über private Endgeräte von Beschäftigten erfolgt.

Was unter haftungsrechtlicher Verantwortung zu verstehen ist, ist der Aspekt, dass mit den Daten der Kunden so umgegangen wird, wie es der Kundenvertrag und die Gesetzbücher im Einklang miteinander vorschreiben. Finden die Kommunikation sowie die Speicherung der kundenbezogenen Daten über das private Endgerät der Beschäftigten statt, ergeben sich hinsichtlich des Datenschutzes u.a. folgende Risiken:

• Informationen werden abgefangen
• Interna des Unternehmens werden ausspioniert
• Hackerangriffe auf das Online-Banking und weitere Funktionalitäten
• Missbrauch der Kundendaten

Zwar bestehen diese Risiken ebenso bei der Nutzung betrieblicher Endgeräte. Allerdings fallen sie aufgrund der Sicherheitssysteme des Unternehmens und interner Vorschriften geringer aus. Darüber hinaus ist ein unberechenbarer Faktor, neben den Angriffen auf private Geräte, der Beschäftigte selbst. Ist dieser dem Unternehmen gegenüber feindlich gesinnt oder er möchte sich einen eigenen Vorteil verschaffen, fällt ihm dies im Betrieb auf betrieblichen Geräten schwerer als bei privat genutzten Geräten.

Es zeigt sich somit, dass ein BYOD-System einerseits Vertrauen gegenüber den eigenen Mitarbeitern abverlangt. Andererseits – und dies ist die umfangreichere Hürde – ist eine Sensibilisierung und Schulung der Beschäftigten in Bezug auf Cyber-Sicherheit notwendig.

Sensibilisierungs- und Schulungsmaßnahmen

Die Sensibilisierung der Mitarbeiter erfolgt über Schulungen oder separate Sitzungen zur Aufklärung. Hier findet eine Analyse der aktuellen Sicherheit auf Geräten der Beschäftigten samt einer Information zu den Risiken statt. Daraufhin werden mit jedem Mitarbeiter individuell Gegenmaßnahmen erörtert, mit denen sich die Risiken auf dem eigenen Endgerät reduzieren lassen.

In der Folge ist eine regelmäßige Kontrolle notwendig, die zeigt, ob die Mitarbeiter die Gegenmaßnahmen wirksam in die Tat umsetzen, um die Datensicherheit der Kunden und des Unternehmens zu gewährleisten.

Hinter all diesen Dingen verbirgt sich ein Organisationsaufwand, der – je nach Branche – mal größer und mal kleiner ausfallen kann. Beispielsweise bilden für einige Branchen zusätzliche Vorschriften neue Hürden ab:

• Bankaufsichtsgesetz
• Steuerrecht
• Handelsrecht
• Gesellschaftsrecht

Lösungsansätze für mehr Sicherheit in einem BYOD-System

Im Arbeitsvertrag klar und unmissverständlich formulierte Bedingungen für die Nutzung privater Endgeräte zu beruflichen Zwecken schaffen Sicherheit und Lösungen. Dazu gehört zum einen die Verpflichtung der Mitarbeiter zur Teilnahme an Schulungen, die der Datensicherheit und dem adäquaten Umgang mit verloren gegangenen Endgeräten dienen. Zum anderen ist es angeraten, dass der Arbeitgeber im Vertrag das Recht auf dieselben Vorgehensweisen wie bei betrieblich genutzten Endgeräten verankert:

• Klare Trennung geschäftlicher und privater Daten
• Uneingeschränkter Zugang auf die Daten
• Bei Notwendigkeit Gestattung zur Löschung von Daten

Eine transparente Regelung zur Haftbarkeit des Mitarbeiters im Schadensfall stärkt das solide Grundgerüst, auf dem ein Vertrag mit einem BYOD-System aufgebaut sein sollte.

Fazit: Mögliche Effizienzsteigerung steht höherem Aufwand gegenüber

So viele Vorteile ein BYOD-System mit sich bringen kann, mindestens genauso viel Aufwand kann es verursachen. Dieser Aufwand steigert zu Beginn die Kosten, optimiert jedoch mit der Zeit die Arbeitsprozesse und verleiht den Angestellten mehr Flexibilität. Letzteres hilft ein Stück weit bei der Behauptung einzelner Mitarbeiter in Zeiten Digitalisierung. Denn ist es möglich, auf die vertrauten Anwendungen und Produkte zu setzen, reduzieren sich Umgewöhnungsphasen und der Wohlfühlfaktor steigt. Um sich rechtlich abzusichern, sind Unternehmen gut damit beraten, Aufklärung, Maßnahmen und Kontrollmechanismen in Kraft zu setzen, um sicherzustellen, dass die Beschäftigten auf dem eigenen Gerät korrekt und sicher mit Unternehmens- und Kundendaten umgehen.

--------------------------

Weitere Beiträge zum Thema Bring yur own Device

Rechtliche Konsequenzen für Arbeitnehmer bei der Nutzung privater Smartphones (BYOD)

„Bring Your Own Device“ braucht strategische Einbettung

Bildquelle: https://pixabay.com/de/photos/tasche-lederware-handtasche-1565402/