Bring Your Own Device (BYOD)

Bring Your Own Device (BYOD)

Derzeit liegt es im Trend, dass Mitarbeiter, vor allem die jüngere Generation, ihre eigenen Geräte auch beruflich nutzen. Dieser Trend ist durch die Abkürzung BYOD definiert und steht für Bring Your Own Device. Durch die Cloud und browserbasierte Anwendungen können Mitarbeiter theoretisch von überall auf Firmendaten zugreifen und Aufgaben abarbeiten. Damit reichen private Rechner oder Handy, und Browser, um auf Firmendaten zugreifen zu können.

Die Einführung von BYOD bringt gewisse Vor- und Nachteile mit sich. Auf der einen Seite macht eine solche Flexibilität den Arbeitsplatz attraktiver. Zum anderen gibt es für das Unternehmen ein gewisses Einsparpotenzial bei der Anschaffung von Geräten.

Es gibt jedoch einige Risiken, mit denen sich das Unternehmen vor der Umsetzung unbedingt auseinandersetzen sollte. Im Folgenden werden wichtige Fragen für einen risikobasierten Ansatz gestellt und mögliche Handlungsvorschläge vorgestellt.

Es ist wichtig, dass Unternehmen das Thema BYOD in ihr Datenschutzmanagementsystem integrieren und sich der Risiken bewusst sind. Denn im Falle von Datenschutzverletzungen, die durch Mitarbeiter verursacht werden, haftet die verantwortliche Stelle, also das Unternehmen, in vollem Umfang.

• Welche Daten dürfen im Rahmen des BYOD von Mitarbeitern verarbeitet werden?
• Was ist der Umfang und Zweck der Verarbeitung?
• Welcher Kreis von Mitarbeitern ist zur BYOD befugt?
• Welche Art und Typ von Geräten kommen in Frage?
• Welche Kriterien gibt es damit ein Gerät zugelassen wird?

• Dürfen Daten gespeichert oder nur eingesehen werden?
• Was passiert beim Verlust von Geräten?
• Welche Reaktionen sind von Mitarbeitern bei einer Datenschutzverletzung zu erwarten?
• Was passiert bei Beendigung des Beschäftigungsverhältnisses?
• Wie ist die Trennung von privaten und Unternehmensdaten gewährleistet?
• Wie werden Daten verwaltet?
• Dürfen IT-Administratoren auf private Telefone zugreifen?

Zusammengefasst muss das Unternehmen die folgenden Punkte für die Umsetzung prüfen: Je nach Umfang der Datenverarbeitung, d.h. ob Daten eingesehen oder auch gespeichert werden dürfen, gibt es Maßnahmen zur Datensicherheit und zum Datenschutz. Aus diesem Grund sollte BYOD in das Datenschutzmanagementsystem integriert und bei der jährlichen Risikobewertung berücksichtigt werden. Dabei ist ein gut dokumentiertes Gesamtkonzept der technischen und organisatorischen Maßnahmen unerlässlich für das Unternehmen.

Nachfolgend geben wir einige Beispiele zur Umsetzung von technischen und organisatorischen Maßnahmen im Rahmen des BYOD:

Mögliche technische Maßnahmen :

• Festlegung von Zugriffsberechtigungskonzepten
• Einrichtung einer Zugangs & Zutrittskontrolle
• Trennung von privaten & betrieblichen Daten, z.B. durch den Einsatz von MDM Softwares
• Technische Umsetzbarkeit einer Fernsteuerung, beispielsweise Fernlöschung bei Verlust bzw. Ausscheiden von Beschäftigten
• Technische Umsetzbarkeit einer Verschlüsselung sowie Kategorisierung von betrieblichen Daten

Mögliche organisatorischen Maßnahmen:

• Betriebsvereinbarung oder Richtlinie zu BYOD
• Festlegung des Zwecks, des Art und des Umfangs
• Festlegung der Mitarbeiterkreise
• Bestimmung ob MDM zum Einsatz kommt
• Regelmäßige Datenschutzschulungen
• Festlegen von Maßnahmen für den Fall des Ausscheidens eines Mitarbeiters aus dem Unternehmen
• Klare Definition und Unterweisung von Mitarbeitern zum Umgang mit Datenschutzverletzungen
• Definition des Verfahrens über Wartungsarbeiten, Patchmanagement & Umgang mit defekten Geräte.

Wenn das Unternehmen nicht sicherstellen kann, dass die Datenverarbeitung den Anforderungen der DSGVO in Bezug auf Datensicherheit und Datenschutz entspricht, sollte BYOD vermieden werden. Besonders kompliziert kann es werden, wenn das Unternehmen im Rahmen von BYOD sensible Daten verarbeitet. In einem solchen Fall sollte professionelle Unterstützung durch einen Datenschutzbeauftragten in Betracht gezogen werden.