Immer wieder bietet das Thema „Bring your own device“ (BYOD) im Datenschutzkontext Gesprächsbedarf. Auf den ersten Blick hört es sich natürlich mehr als vorteilhaft an, wenn der Mitarbeiter Endgeräte, die zu Hause überflüssig sind oder mit denen er bereits vertraut ist, zur betrieblichen Nutzung zur Verfügung stellt. Problematisch wird es allerdings dann, wenn z.B. etwas kaputt ist. Wer bezahlt die Reparatur nun?
Eine andere, viel größere Frage, ist die nach der Privatsphäre. Ein schwerwiegender Nachteil der Nutzung privater Endgeräte ist der, dass die Kontrollmöglichkeiten des Arbeitgebers (AG) insbesondere in Hinblick auf Sicherheitseinstellungen sehr gering ausfallen. Darüber hinaus ergibt sich zwangsläufig ein Konflikt in Hinblick auf die Kontrolle der Privatsphäre der Mitarbeiter. Ein Arbeitgeber kann nur dann auf sämtliche Strukturen des Endgerätes zugreifen, wenn er die private Nutzung ausdrücklich vorher untersagt hat. In einem anderen Fall wird es immer rechtliche Probleme und Diskussionsbedarf geben, da persönliche Daten auch vor dem AG schutzbedürftig sind und er die Privatsphäre seiner Mitarbeiter nicht verletzen darf. Aus diesem Grund ist es essentiell die Nutzungszwecke vorher abzugrenzen und betriebliche und private Nutzung streng voneinander zu trennen. Wird dies nicht getan, hat im Zweifelsfall der Arbeitgeber die Nachsicht.
Um diesen Konflikt zu vermeiden sind Arbeitgeber dazu angehalten ihren Mitarbeitern selbst geeignete Geräte zur Verfügung zu stellen. Wird BYOD trotz aller gegenteiligen Empfehlungen im Unternehmen eingesetzt, sind die folgenden Maßnahmen zu treffen:
- Es ist zwingend eine Vereinbarung zwischen AG und Mitarbeiter nötig, die es dem AG erlaubt betriebliche Informationen zu kontrollieren. Dazu zählt beispielsweise auch eine Löschung von Daten aus der Ferne.
- Die Geräte sollten allesamt von der firmeninternen IT-Abteilung eingerichtet und freigegeben werden.
Generell empfiehlt es sich, dass betriebliche Daten nicht auf dem jeweiligen Endgerät des Nutzers sondern auf unternehmensinternen Cloudspeichern gespeichert werden. Auch ist der Einsatz von Softwarecontainern sinnvoll. So können sogar bedenkliche Anwendung (z.B. Office 360) unter besonderen informationstechnischen Bedingungen entschärft werden. Der Zugang zum firmeninternen E-Mail-Postfach sollte über eigene, abgesicherte Weboberflächen erfolgen. Außerhalb des Firmengeländes sollte die Einwahl ausschließlich über ein gesichertes Netzwerk und VPN-Client erfolgen.
Der Schutz der Firmengeheimnisse ist auch bei BYOD das höchste Gut!
Quelle: Artikel „Rechtliche Grundlagen: Datenschutz und Datensicherheit im Homeoffice“, abgerufen am 08.04.2020 unter https://www.heise.de/newsticker/meldung/Datenschutz-und-Datensicherheit-im-Homeoffice-4698301.html