BYOD: Maßnahmen zum Datenschutz für Smartphones, Tablet Computer und Laptops

1
Posted 7. August 2012 by Redaktion IT-Onlinemagazin in Geschäftsführer
Dr. Philip Kempermann, LL.M. (Düsseldorf), BYOD Strategie für Mobile Lösungen

Dr. Philip Kempermann

In Unternehmen wird die IT-Compliance durch mobile Geräte zunehmend unsicher. Firmen schaffen für ihre leitenden Angestellten Anreize, indem sie klassische Diensthandys durch Smartphones ersetzen. Häufig werden diese zusätzlich durch Tablet Computer ergänzt. Darüber hinaus erlauben einige Unternehmen den Mitarbeitern eigene Laptops in die Firma mitzubringen, um Kosten zu sparen. Während die Nutzerfreundlichkeit, Verfügbarkeit und gegebenenfalls auch die Motivation der Mitarbeiter durch solche Maßnahmen durchaus gesteigert werden können, bleiben die daraus entstehenden Risiken für die IT-Compliance – insbesondere im Bereich Datenschutz und IT-Sicherheit – häufig außer Acht.

Notwendige Maßnahmen zur IT-Compliance präventiv treffen

Jedoch ist jedes Unternehmen gesetzlich dazu verpflichtet zumindest bestimmte Grundregeln des Risikomanagements zu beachten (siehe § 91 Abs. 2 AktG, der entsprechend auf GmbHs anzuwenden ist. Ergänzt wird dies durch Ziffer 4.1.4 des Deutschen Corporate Governance Kodex, der den Vorstand eines Unternehmens zum Risikomanagement und zum Risikocontrolling verpflichtet).

Unterlässt die Geschäftsleitung die entsprechend gebotenen Maßnahmen, macht sie sich unter Umständen persönlich gegenüber dem Unternehmen für die dadurch entstehenden Schäden haftbar. Daher sollten vor der Ausgabe von mobilen Kommunikationsgeräten oder dem Aufspringen auf den „Bring Your Own Device (BYOD)“-Trend die Risiken für die IT-Struktur des Unternehmens genauestens analysiert und die gebotenen Maßnahmen getroffen werden.

Die Risiken liegen außerdem auf der Hand: Bei Smartphones bedienen sich Apps großzügig vorhandener Adressbücher und anderer gespeicherter Daten. Dies bedeutet, Daten werden teilweise ohne weitere Nachfrage auf von den Anbietern der jeweiligen Apps bereitgestellte fremde Server exportieren. Jedoch wird von Nutzern aber auch ganz bewusst ein Export von Daten vorgenommen – etwa wenn der Nutzer Cloud-Dienste wie Dropbox oder iCloud verwendet. Dabei bleibt häufig außer Acht, dass diese Dienste die Daten vorwiegend in Ländern speichern, die nach deutschem Datenschutzrecht als Länder mit nicht ausreichendem Datenschutzniveau angesehen werden. Weswegen ein Transfer von personenbezogenen Daten, zu denen etwa auch Kundendaten gehören können, zunächst einmal nach § 4b Abs. 2 BDSG unzulässig ist und eine Ordnungswidrigkeit darstellen kann. Aus diesem Grund bedarf der Einsatz von Mobile Devices und BYOD der gründlichen Vorbereitung und Festlegung von notwendigen Einschränkungen.

Technische und organisatorische Maßnahmen sind der Grundstein der IT-Sicherheit

Deswegen sind aus dem Bereich des Datenschutzes vor allem angemessene technische und organisatorische Schutzmaßnahmen nach § 9 BDSG festzulegen. Diese Vorschrift gilt nicht nur für fest installierte Systeme, sondern letztendlich für alle automatisierten Datenverarbeitungssysteme. Zu denen gehören auch Smartphones oder Tablets. Außerdem müssen die entsprechenden technischen und organisatorischen Schutzmaßnahmen auch für Daten gelten, die auf USB-Sticks oder anderen portablen Speichermedien aufgespielt werden. Besondere Aufmerksamkeit muss vor allem den Aspekten der Zugangs- und Zugriffskontrolle nach § 9 BDSG geschenkt werden: Die Zugangskontrolle zielt auf die Sicherung der Benutzung der Datenverarbeitungsanlagen ab, indem sie zum Beispiel einen Zugang zu den Systemen nur durch Eingabe eines Passworts oder Verwendung eines Chips ermöglicht. Das gilt auch, wenn der Zugang zum System nur über das Internet möglich ist. Bei der Zugriffskontrolle wird zusätzlich vorgesehen, dass auf die entsprechenden Daten nur durch berechtigte Personen zugegriffen werden kann.

Die Möglichkeiten, entsprechende Sicherungssysteme bei Smartphones oder Tablets umzusetzen, sind sicherlich nicht ausufernd. Eine Mindestmaßnahme zur Absicherung stellt es aber dar, in den Geräten fest vorzugeben, dass eine Codesperre voreingestellt ist, die auch nicht deaktiviert werden kann. Die Codesperre muss sich zusätzlich bei Nichtbenutzung des Gerätes automatisch aktivieren, und zwar nicht erst nach einer geraumen Zeit, sondern relativ zügig. Des Weiteren sollte zur Sicherstellung der Datensicherheit eingestellt werden, dass sich das Gerät nach einer bestimmten Anzahl von Fehlversuchen zur Passwort- oder Codeingabe automatisch löscht. Zumindest die iOS-Geräte sehen eine solche Einstellung bereits mit den Standardprogrammen vor. Gleichfalls ist zu empfehlen, die Möglichkeit einer Fernlöschung der Geräte einzurichten.

Außerdem sollte für die Zwecke der IT-Sicherheit in Erwägung gezogen werden, dass nicht ohne Weiteres Apps installiert werden können, die Sicherheitsrisiken mit sich bringen. Dies gilt zum Beispiel für Jailbreak-Apps, die eine weitgehende Manipulierbarkeit der jeweiligen Geräte ermöglichen. Gegebenenfalls bedarf es dazu Maßnahmen, die bei Installation einer entsprechenden App alle weiteren Zugriffe auf die Firmendaten automatisch unterbinden. Zudem müssen regelmäßige Backups der auf den Mobilfunkgeräten gespeicherten Daten, insbesondere der Textdokumente, vorgenommen werden, um sicherzustellen, dass die Aufbewahrungspflichten nach AO und HGB unter Berücksichtung der Grundsätze ordnungsmäßiger DV-gestützter Buchungssysteme (GoBS) und der Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) eingehalten werden.

Das größte Risiko für die IT-Sicherheit ist immer der Nutzer selbst

All diese auf den technischen Möglichkeiten aufbauende Maßnahmen nutzen jedoch nichts, wenn das größte Sicherheitsrisiko, nämlich der Nutzer, nicht über die von ihm ausgehenden Sicherheitsrisiken informiert wird und er nicht zur Einhaltung bestimmter Maßnahmen verpflichtet wird. Daher sollte grundsätzlich bei der Ausgabe von mobilen Kommunikationsgeräten oder der Zulassung von BYOD mit den jeweiligen Nutzern eine Nutzungsvereinbarung getroffen werden, die die wichtigsten Maßnahmen regelt. Dazu gehört dann auch, dass keine zu einfachen Passwörter oder Codesperren verwendet werden dürfen, dass diese nicht an Dritte weitergegeben werden, dass auch die Geräte nicht weitergegeben und insbesondere nicht unbeaufsichtigt gelassen werden. In einer entsprechenden Vereinbarung können des Weiteren Vorgaben zur Installation von Programmen auf mobilen Kommunikationsgeräten oder zur Verwendung von aktueller Virenschutzsoftware auf privaten Geräten gemacht werden. Zu beachten: Bei einer entsprechenden Nutzungsvereinbarung ist unter Umständen der Betriebsrat zu involvieren, da Regelungen zur Nutzung von IT-Systemen zumeist nach § 87 Nr. 6 BetrVG mitbestimmungspflichtig sind.

Sollten die vereinbarten Regeln verletzt werden und es doch dazu kommen, dass ein Nutzer ein mobiles Gerät verliert, das den Zugriff auf die Unternehmens-IT ermöglicht, müssen unverzüglich Maßnahmen eingeleitet werden. Dies setzt voraus, dass der Nutzer zur unverzüglichen Meldung eines entsprechenden Verlustes verpflichtet ist. Sofort nach Eingehen einer Meldung muss der Zugang des Nutzers zur Unternehmens-IT über die verlorenen Geräte gesperrt werden. Nach Möglichkeit sollten auch die Daten von dem Gerät gelöscht werden. Außerdem ist zu prüfen, ob der Verlust nach § 42a BDSG meldepflichtig ist. Das ist der Fall, wenn bestimmte Arten personenbezogener Daten, die unter Umständen auf den Geräten gespeichert sind, Dritten unrechtmäßig zur Kenntnis gelangt sind und schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Wird diese Meldung unterlassen, kann ein Bußgeld bis zu 300.000 Euro drohen.

Fazit: Die Nutzung moderner Kommunikationsmittel und moderne Einsatzweisen von Geräten der Mitarbeiter können erhebliche Effizienzvorteile mit sich bringen. Gleichzeitig entstehen dadurch jedoch auch neue zusätzliche Risiken. Diese müssen durch geeignete technische Maßnahmen und Vereinbarungen festgelegt, um Risiken der Nutzer zu reduzieren, um der Pflicht zum Risikomanagement und -controlling nachzukommen.

Dr. Philip Kempermann, LL.M. (Düsseldorf)
Kontaktdaten: p.kempermann@heuking.de

Veröffentlichung mit freundlicher Genehmigung von Dr. Philip Kempermann, Rechtsanwalt und Salaried Partner bei HEUKING KÜHN LÜER WOJTEK, Düsseldorf.

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:


Das IT-Onlinemagazin ist Medienpartner der DSAG Technologietage 2017: