+49 30 285 058 56 berlin@res-media.net
Fachanwälte in Kooperation

Technische Umsetzung datenschutzrechtlicher Vorgaben bei Bring Your Own Device (BYOD) – So gehts!

Im Rahmen von „Bring Your Own Device“ (BYOD) wird Mitarbeitern eines Unternehmens der Zugriff auf IT-Ressourcen des Unternehmens über private Geräte ermöglicht. Dem Unternehmen obliegen nach dem Bundesdatenschutzgesetz (BDSG) jedoch diverse Kontrollpflichten, um Datenmißbrauch durch Mitarbeiter oder Dritte zu verhindern. In der Anlage zu § 9 BDSG sind dazu diverse Anforderungen formuliert, die in organisatorischer Hinsicht  im Rahmen der automatisierten Verarbeitung von Daten zu treffen sind. Unter anderem wird hier verlangt, dass Zutritts,- Zugangs- und Zugriffskontrollen, Weitergabe-, Eingabe-, sowie Verfügbarkeitskontrollen sowie eine Kontrolle der Auftragsdatenverarbeitung stattzufinden haben.
In der technischen Umsetzung bedeutet dies für Unternehmen im Einzelnen Folgendes:
1. Zutrittskontrolle
Im Rahmen der Zutrittskontrolle ist von dem betreffenden Unternehmen zu gewährleisten, dass Unbefugten der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt wird.
Dies bedeutet, dass in der Richtlinie zu regeln ist, dass auch die private IT Dritten nicht zugänglich gemacht werden darf. In diesem Falle muss eine Regelung zur Wartung und Reparatur der privaten IT gefunden werden, da in diesem Falle tatsächlich ein Unbefugter Zugang zu IT-System bekommt. Ein solcher Zugang durch Dritte wäre nur unbedenklich, wenn sich zum Zugangszeitpunkt keine personenbezogenen Daten des Unternehmens auf dem jeweiligen Gerät befinden.
2. Zugangskontrolle
Im Rahmen der Zugangskontrolle ist zu gewährleisten, dass unbefugte Dritte keinen Zugang zu dem Gerät haben.
3. Zugriffskontrolle
Die Zugriffskontrollmaßnahmen werden auf Unternehmens – IT üblicherweise vom Administratorenteam eingerichtet und überwacht. Es empfiehlt sich, ein adäquates Berechtigungssystem auch  für die private IT zu errichten. Zu regeln wäre, ob unterschiedliche Accounts auf dem betroffenen privaten Gerät zu nutzen sind oder ob bestimmte Unternehmensdienste durch spezielle Authentifizierungsmaßnahmen zu schützen sind.
Im Einzelnen sind im Rahmen der Zugriffskontrolle folgende Maßnahmen  zu empfehlen:

  • Verpflichtung zur Verwendung von Antivirensoftware
  • Einschränkung des Zugriffs auf Daten und Applikationen, z.B. beim Öffnen von Unternehmensdaten in andren nicht kontrollierten Applikationen;
  • Unterbinden von Screenshot-Funktionen in Geschäftsanwendungen;
  • Unterdrücken von Cloudbasierten Sprachassistenten (z.B. Siri) in       Geschäftsanwendungen;
  • Sofern ein Zugriff auf unternehmensinterne Webportale stattfindet, empfiehlt    sich der Zugang über einen eigenen sicheren Browser, der die Kommunikation zwischen Portal und mobilem Endgerät zusätzlich verschlüsselt.

 4. Weitergabekontrolle
Unabhängig von der gewählten technischen Lösung können sich Risiken durch Kopiermöglichkeiten aus einer Unternehmenssoftware auf das private Gerät ergeben.
Diesen kann begegnet werden durch:

  • Sensibilisierung/Schulung der Mitarbeiter
  • Untersagung der Nutzung nicht vertrauenswürdiger Cloud-Dienste (Location        Based Services) zum Dokumentenaustausch
  • Regelung zur Fernlöschung und –sperrung bei Diebstahl oder Verlust
  • Sofern Zugriff auf unternehmensinterne Web-Portale erfolgen soll, sollte dieser  zwischen Portal und mobilem Endgerät zusätzlich verschlüsselt sein.

5. Eingabekontrolle
Im Rahmen der Eingabekontrolle ist zu gewährleisten, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten in das Datenverarbeitungssystem eingegeben oder verändert worden sind. Diesbezüglich sollte eine unternehmensseitige Protokollierung der Datenverarbeitung möglich und vereinbart sein.
Bildnachweis: © Robert Kneschke @ fotolia.com

An den Anfang scrollen