Bring your own device (BYOD): Konzepte zur besseren Beherrschbarkei der Sicherheits- und Rechtsrisiken von Smartphones, Tablets & Co.
RA und Fachachanwalt IT-Recht Dr. Jens Bücking, Stuttgart
Im Zeitalter von Tablet-PCs und Smartphones erwächst ein in der Vergangenheit bereits durch Handys, Notebooks und USB-Sticks bekanntes Problem zu akuter Brisanz.
Häufig sind es gerade die Vorgesetzten, die über ihre modernen Mobilgeräte, die auch für den Privatgebrauch bestimmt sind, in ihre Organisationen mitbringen, auf den Server zugreifen und sodann dienstliche Daten temporär oder dauerhaft auf ihren teils persönlich, teils beruflich genutzten Geräten verarbeiten und speichern. Die evozierten Sicherheitsrisiken sind bekannt; Beispiele:
- Eingeschränkte Kontrollmöglichkeit des Arbeitgebers
- Sicherheitsrisiko durch Schwierigkeit einer zentraler Steuerung von Antivirus und Client Security Software
- uneinheitliche Hardware
- Fehlen umfassender Unterstützung durch Support und IT-Sicherheit
- Virusgefahr bei Verwendung außerhalb geschützter Infrastruktur
- Infektionsgefahr durch Anschluss privater Datenträger
- Etc.
Mobile Geräte können durch die internen Sicherheitsbeauftragten nicht mehr in einer den Geboten der Sorgfalt im Informationsmanagement genügenden Weise administriert werden. BYOD läuft zudem den heutigen Zentralisierungs- und Vereinheitlichungsstrategien für IT-Infrastrukturumgebungen entgegen. Die Administration von BYOD führt damit zu neuen juristischen und technisch-administrativen Anforderungen – und damit letztlich zu einem erhöhten Ressourceneinsatz. Der Einsatz von BYOD sollte daher nur eingebettet in eine geeignete „Virtual Desktop Infrastructure“ erfolgen.
Das übliche technische Procedere, um den beschriebenen Problemen entgegenzuwirken, ist der Einsatz von serverbasierten Anwendungen wie Terminal-Servern oder von webbasierten Anwendungen. Auf Nutzerseite werden sich die Verwender administrativer Eingriffe in die Einstellungen ihrer Endgeräte gefallen lassen müssen.
Zusätzlich zu diesen technisch-organisatorischen Sicherheitsvorkehrungen in Richtung einer Auftrennung beider Welten – der beruflichen und der privaten Information – muss, da BYOD den Anwendern mehr Rechte bei der Auswahl und Nutzung ihrer IT-Umgebung einräumt, ein in sich stimmiger und mit den gesetzlichen und vertraglichen Anforderungen (Dienstanweisungen, Kollektivvereinbarungen sowie sonstige gesetzliche und vertragsrechtliche Rahmenbedingungen) abgestimmter Sicherheits- und Maßnahmenkatalog in die Geschäftsprozesse implementiert werden. Insbesondere ist die technische Trennung der Daten auch rechtlich-organisatorisch zu flankieren, nicht zuletzt durch Sensibilisierung der Nutzer.
In rechtlicher Hinsicht gilt, dass private Daten einerseits dem Fernmeldegeheimnis unterliegen mit der Folge, dass der Arbeitgeber hierauf keinen Zugriff nehmen darf. Andererseits unterliegen Firmendaten den sich unter den verschiedensten gesetzlichen Anforderungen ergebenden Verfügbarkeits- und Vertraulichkeitsverpflichtungen. Auch die Wahrung von Geschäftsgeschäftsgeheimnissen gehört letztlich hierher.
Um hier „compliant“ zu bleiben, gilt es, die entsprechenden Organisations- und Risikomanagementverpflichtungen des Arbeitgebers rechtlich abzusichern, fortlaufend zu überwachen und auf ihre Effizienz zu prüfen – und all dies zu dokumentieren.
Der Verlust von Daten, sei es durch Sabotage oder den Verlust der eigenen Verfügungsgewalt („Datenklau“), greift tief in dieses komplexe Bündel rechtlicher Verpflichtungen und Obliegenheiten ein. Dasselbe gilt bei der Offenbarung geheimhaltungsbedürftiger Daten. Werden beispielsweise Kundendaten, die der Vertraulichkeit unterliegen, offenbart, weil sie durch privat genutzte Smartphones in unsichere Public Clouds oder auf sonstige Weise in die Hände Dritter geraten, ist mit Bußgeldern in fünf- bis sechsstelliger Höhe und – oftmals deutlich reputationsschädlicher – mit Anzeigepflichten gegenüber der Aufsichtsbehörde, den Geschädigten und der Öffentlichkeit, also oft den betroffenen Kunden, sowie mit der Verpflichtung zu Verlautbarungen in bundesweiten Presseorganen zu rechnen.
Diese Risiken berücksichtigende IT-Sicherheitskonzepte müssen mithin ganzheitlich ausgestaltet sein. Auf der einen Seite müssen sie den Nutzer im Mittelpunkt haben, weil Smartphones und Tablets deshalb so populär sind, weil sie gerade keine Beschränkung erfahren. Andererseits ist das Konzept aber unter dem Aspekt der IT-Compliance und hier insbesondere des Datenschutzes, der Datensicherheit und der geschäftlichen Geheimnisse zu betrachten.
Gefordert wird nicht weniger als eine Ganzheitlichkeit, die sich nicht einer technisch anspruchsvollen Lösung erschöpft sondern auch rechtlich-organisatorische und weitere, dem Bereich der „soft skills“ zuzuordnende Maßnahmen mit einbezieht.