Einsatz privater Endgeräte im Unternehmen

BYOD und der Datenschutz

22. Oktober 2012, 06:00 Uhr   |  Peter Meuser/wg, Dr. Sebastian Kraska (skraska@iitr.de) ist Rechtsanwalt und externer Datenschutzbeauftragter bei IITR, Peter Meuser (pmeuser@itlab.de) ist unabhängiger IT-Berater mit Schwerpunkt Enterprise Mobility bei Itlab Consulting.

BYOD und der Datenschutz

Die Einbindung privater Smartphones und Tablets in die Unternehmens-IT ist technisch weitgehend problemlos und funktionell weitreichend realisierbar. Doch BYOD-Strategien (Bring Your Own Device: Angestellte nutzen Privatgeräte im Geschäftsalltag) erfordern eine intensive Auseinandersetzung mit Datenschutzvorgaben.

Nach dem Bundesdatenschutzgesetz (BDSG) bleibt ein Unternehmen als so genannte „verantwortliche Stelle“ (§ 3 Abs. 7 BDSG) auch dann für die ordnungsgemäße Verarbeitung personenbezogener Daten haftungsrechtlich verantwortlich, wenn diese Verarbeitung auf privaten Smartphones oder Tablets der Beschäftigten stattfindet. Ohne vorhergehende Vereinbarungen zwischen Unternehmen und Beschäftigten bestehen aber nur eingeschränkte Möglichkeiten, technische und organisatorische Vorgaben zur sicheren Datenverarbeitung auf Privatgeräten zu treffen und diese letztlich auch durchzusetzen. Aus Unternehmenssicht zielen technische Maßnahmen und schriftliche Regelungen mit den Beschäftigten darauf ab, Haftungsprobleme zu vermeiden und mögliche Konflikte beispielsweise mit dem Fernmeldegeheimnis zu entschärfen. Zur Meidung späterer Rechtsstreitigkeiten ist grundsätzlich zu empfehlen, bereits zu Beginn eine unternehmensinterne Regelung zur Haftungsverteilung zwischen Arbeitnehmer und Arbeitgeber in Form einer Betriebsvereinbarung (bei vorhandenem Betriebsrat), der IT-Richtlinie oder einer individuellen Vereinbarung zu treffen. Als zentrale Anforderung einer BYOD-Strategie gilt es, private und geschäftliche Daten möglichst klar voneinander zu trennen. Aus Sicht des Unternehmens gilt es, den unkontrollierten Datenabfluss über privat genutzte Cloud-Dienste wie Dropbox oder die Weiterleitung geschäftlicher E-Mails über private E-Mail-Konten zu verhindern oder möglichst zu erschweren. Dabei bedürfen insbesondere vom Anwender unkontrollierte, daher unbewusst ausgelöste Prozesse einer besonderen Aufmerksamkeit, da ein Mitarbeiter durch sein Arbeitsverhältnis zur Wahrung von Firmengeheimnissen verpflichtet ist. Aus Mitarbeitersicht muss die Privatsphäre in Form privater Daten, Apps und deren Konfiguration wie auch die Hoheit über das Privatgerät gewahrt bleiben. Dies lässt sich im Zuge erforderlicher administrativer Maßnahmen durch die Unternehmens-IT je nach eingesetzten Verwaltungswerkzeugen mal mehr, mal weniger gewährleisten. Potentielle Konfliktbereiche für den Mitarbeiter gilt es daher herauszuarbeiten, transparent zu dokumentieren und gegebenenfalls in schriftlichen Nutzungsregelungen aufzunehmen.

Datentrennung auf Endgeräten

Unter den heute verbreiteten Mobilplattformen Apple IOS, Google Android, RIM Blackberry OS und Microsoft Windows Phone 7.x verfügt lediglich RIM mit Blackberry Balance von Haus aus über geeignete Mechanismen, um private und geschäftliche Daten konsequent administrativ zu trennen und einen benutzerinitiierten wie auch programmgesteuerten Datenaustausch zwischen beiden Welten zu verhindern. So lassen sich zwar beispielsweise unter IOS und Android private und geschäftliche E-Mail-Konten, Adressbücher und Terminkalender getrennt anlegen, doch werden diese jeweils von ein und derselben App auf gleicher Sicherheitsebene verwaltet. Erhalten Unbefugte Zugriff auf private Daten, stehen gleichermaßen auch die geschäftlichen Konten offen (und umgekehrt). Dabei entstehen in der Praxis bereits viel früher Problemsituationen als mit Firmengeräten: Wie soll der Mitarbeiter erklären, dass der Sohnemann wohl beim Daddeln auf dem Iphone (Nutzung des Privatgeräts durch Freunde und Familie) versehentlich wichtige Firmen-E-Mails gelöscht hat (kein spezifischer Zugriffsschutz auf Firmen-Konto in der E-Mail-App). Entscheidet sich daher ein Unternehmen für den Einsatz der Standard PIM-Apps (Personal-Information-Management) von IOS und Android, sind weiterreichende Verhaltensregeln mit dem Mitarbeiter und damit Einschränkungen über die Hoheit auf seinem Pivatgerät zu vereinbaren. Dazu gehört meist ein globaler und somit unbequemer Zugriffsschutz über ein Gerätekennwort und die Geräteverschlüsselung, wie auch ein Verbot der Weitergabe an Dritte. MDM-Lösungen (Mobile-Device-Management) wie Airwatch oder Mobileiron (vgl. Test in LANline 7/2012) helfen, technische Richtlinien Art durchzusetzen. Beim sonstigen beschränkten Einsatz des Privatgeräts muss das Unternehmen auf die Kooperationsbereitschaft des Mitarbeiters hoffen. Eine konsequente Trennung privater von geschäftlichen Daten mit technischen Maßnahmen und damit einen wesentlich weniger restriktiven Einsatz ermöglicht aber nur die so genannte „Containerization“: Hier werden geschäftliche Daten auf App-Ebene unabhängig von sonstigen Geräteeinstellungen verschlüsselt, mit einem eigenen Zugangskennwort versehen und der Datenaustausch mit anderen Apps kontrolliert oder lediglich mit anderen Geschäfts-Container-Apps zugelassen. Im Ergebnis muss der Privatbereich des Mitarbeiters wesentlich geringeren zu regelnden Restriktionen unterliegen, da ein versehentlicher Zugriff auf Geschäftsdaten ausgeschlossen ist. Beispiele für Lösungen dieser Art sind unter Android die App Touchdown (vereinigt E-Mail, Adressbuch, Kalender und Aufgaben) in Verbindung mit der MDM-Lösung Airwatch oder auch die Good-Technology-Lösung Good for Enterprise für IOS, Android und Windows Phone (E-Mail, Adressbuch, Kalender, Aufgaben und Intranet-Browser, Test in LANline 9/2012). Dieser Ansatz erleichtert es auch, erforderliche Regelungen hinsichtlich der Durchführung von Reparatur und Wartungsarbeiten zu treffen. Da auch nur der Besitzer ein Privatgerät für einen Garantietausch oder eine Reparatur einreichen kann, muss dieser gewährleisten, dass keine Firmengeheimnisse auf diesem Weg in die Hände Dritter geraten.

Firmenzugriff auf Daten

Ein Unternehmen sollte mit dem Beschäftigten vorab detailliert vereinbaren, wer wie wann und in welcher Form seitens des Unternehmens (Fern-)Zugriff auf die Daten des Privatgeräts nehmen kann. Aus rechtlicher Sicht wiegt jede verdeckte Datenverarbeitungsmaßnahme rechtlich schwerer als eine offene oder transparente und ist daher datenschutzrechtlich schwerer zu rechtfertigen. Während sich bereits bei firmeneigenen Endgeräten im Mitarbeiterinteresse die Fernerhebung von Gesprächs- und Ortungsdaten meist verbietet, sind im Kontext von Privatgeräten weitere Erfassungsbereiche gegenüber dem Beschäftigten zu dokumentieren. Dazu gehört die zentrale Inventarisierung der installierten Apps. Soll die Konformität gegenüber Unternehmensrichtlinien anhand von Apps – meist „Blacklists“ – abgeleitet werden, muss eine zentrale MDM-Lösung auf regelmäßiger Basis eine App-Erhebung durchführen. Einige MDM-Lösungen erlauben es, im Zweifelsfall die App-Inventarisierung zu deaktivieren. Ein akzeptables Restrisiko für das Unternehmen können ohne App-Inventarisierung aber nur Container-Lösungen gewährleisten. Weniger kritische, bei zentraler Erfassung aber dennoch gegenüber dem Mitarbeiter zu dokumentierende Geräteparameter sind Informationen über private E-Mail- und WLAN-Konfigurationen, der Roaming-Status zur Erkennung von Auslandsaufenthalten oder die Version des installierten Betriebssystems. Insbesondere wenn diese Parameter zum Ausschluss von der Unternehmensanbindung führen, sollte eine entsprechende Mitarbeiterinformation vorliegen. Ein Ausschluss von der Unternehmensanbindung reicht dabei von der Deaktiverung der E-Mail-Synchronisation, über die Kappung aller Kommunikationskanäle (zum Beispiel durch Setzen der VPN- und WLAN-Client-Zertifikate auf die Zertifikatsperrliste) bis hin zur Fernlöschung von Daten. Durch die Freiheiten des Benutzers am eigenen Gerät kann dieser auch selbst und meist unbeabsichtigt für den Ausschluss von der Unternehmenseinbindung sorgen. Ein Beispiel ist die Aktualisierung auf ein neues Betriebssystem wie IOS 6, zu dem nicht alle unternehmenskritischen Anwendungen zwingend kompatibel sind. Daraus resultierende Probleme lassen sich nur durch entsprechende Vereinbarungen abmildern. Technisch unterbinden lässt sich die Mitarbeiteraktivität am Gerät heute noch nicht.

Wann darf das Unternehmen Daten löschen?

Insbesondere im Verlustfall des Smartphones (unter Umständen auch bei streitigem Ausscheiden des Beschäftigten) kann es wünschenswert sein, die auf dem Privatgerät gespeicherten Geschäftsdaten per Fernbefehl zu löschen. Von diesem Löschbefehl wären dann – je nach Mobilplattform und eingesetzter MDM-Lösung – auch private Daten des Beschäftigten betroffen. Hier ist daher eine Regelung im Vorfeld unabdingbar: Der Arbeitsnehmer wird durch technische Maßnahmen nicht aus seiner Pflicht zur Information des Arbeitgebers bei Verlust seines Privatgeräts mit Geschäftsdaten entlassen, da auch für das Unternehmen im Datenverlustfall nach § 42a BDSG eine Meldepflicht entsteht. Bereits die Standardmöglichkeiten von Microsoft Exchange Activesync (und dessen Implementation zum Beispiel in Lotus Traveler) erlauben auch ohne zusätzliche MDM-Mechanismen eine vollständige Gerätelöschung, solange noch eine Verbindung zum Gerät zwecks Datensynchronisation besteht. Den Datenschutzproblemen bei der Komplettlöschung eines Privatgeräts kann ein Unternehmen aber grundsätzlich nur entgehen, wenn der Besitzer diese über ein Self-Service-Portal ausgelöst hat. Daran ändert auch die Benutzerbestätigung zur administrativen Fernlöschung im Einrichtungsdialog der MDM-Clients nur wenig. Eine selektive und damit gezielte Löschung von Geschäftsdaten ist daher aus Unternehmenssicht anzustreben. Die Standardfunktionen von IOS erlauben, über eine Apple-konforme MDM-Lösung alle zentral verwalteten Apps, deren Daten, wie auch WLAN-, VPN- und E-Mail-Konfigurationen zu löschen sowie ausgebrachte Geräterestriktionen zurückzusetzen. Dies setzt ein Gerät praktisch in den „Privatzustand“ zurück. Vergleichbare Möglichkeiten für die Android-Plattform ergeben sich nur durch herstellerspezifische Business-Erweiterungen wie Samsungs SAFE in Kombination mit darauf aufbauenden MDM-Lösungen wie zum Beispiel Mobileiron. Eine wirksame, rein auf den geschäftlichen Bereich beschränkte Fernlöschung über alle unterstützten Mobilplattformen hinweg erlauben nur Container-Ansätze wie Good for Enterprise und Blackberry Balance. Beim Einsatz von Monitoring-Tools zur Überwachung des korrekten Systemzustandes und der zulässigen Systemverwendung sind datenschutzrechtlich insbesondere zwei Punkte relevant: Erstens müssen die Art und Weise der Datenverarbeitung und der damit verbundene Zweck zu Beginn transparent beschrieben sein, zweitens ist gilt es, beim Einsatz von Software bei (vor allem außereuropäischen) Drittdienstleistern die insoweit geltenden Datenschutzvorgaben zu beachten. Die kontinuierliche Aufzeichnung von Überwachungsdaten zu Endgeräten stellt von jeher insbesondere bei Produkten amerikanischer Herkunft einen Bereich dar, dem es besondere Aufmerksamkeit zu schenken gilt. So zeichnet beispielsweise die Blackberry-Unternehmenslösung Gesprächsdaten und aufgerufene Internet-Seiten standardmäßig auf, wenn der Administrator dies nicht ausdrücklich ausschaltet. Selbst die durchaus nützliche Möglichkeit zur Geräteortung bei Verlust, wie sie Airwatch und Mobileiron für Iphones und Android-Geräte anbieten, sollte man vor Aktivierung mit den Geräteinhabern vereinbaren. Letztlich bestimmen Regelungen zur Kostenübernahme, ob die Aufzeichnung des Roaming-Status von Privatgeräten überhaupt notwendig ist. Ein besonderes Augenmerk liegt auf der Erkennung von Jailbreaks (Iphone) und Rooting (Android). Auf Mobilgeräten in diesem Zustand können Anwender Apps jenseits der kontrollierten App Stores installieren, so zum Beispiel unautorisierte Software wie einen Keylogger zur Aufzeichnung sämtlicher Tastatureingaben wie dem Kennwort zur Geräteentschlüsselung. Die meisten MDM-Clients verfügen zwar standardmäßig über eine Jailbreak- und Rooting-Erkennung. Da diese aber durch die Dynamik der Verfahren nicht garantiert greifen, sollte der Mitarbeiter schriftlich erklären, von dieser beliebten Art der Funktionserweiterung seines Mobilgeräts abzusehen.

Fazit

Gestatten Unternehmen die Nutzung privater Geräte in der Arbeit, bleiben sie haftungsrechtlich für die Datenverarbeitung auf diesen Geräten verantwortlich, haben aber im Zweifel keine Möglichkeit, das Gerät vollumfänglich zu kontrollieren. Sollen in einem Unternehmen dennoch private Mobilgeräte zum Einsatz kommen, ist aus rechtlicher Sicht eine vorherige Regelung mit den Beschäftigten zu treffen, um eine noch vertretbare Balance zwischen Haftungsrisiken einerseits und Vorteilen aus der Verwendung privater Smartphones andererseits zu finden. Wie technische Maßnahmen diese Vereinbarungen zum geschäftlichen Einsatz privater Geräte unterstützen können, hängt einerseits von der jeweiligen Mobilplattform ab, andererseits von der ausgewählten Lösung für das MDM oder Mobile-Application-Management (MAM). Ohne Sicherheitsrisiko für das Unternehmen oder Datenschutzbedenken gegenüber dem Beschäftigten lässt BYOD sich heute nicht generell und mit beliebigen Geräten umsetzen. Die meisten Möglichkeiten bietet heute Apple mit IOS 5. Der Autor auf LANline.de: pmeuser

Vor der Aktivierung einer Geräteverwaltung per MDM-Lösung wird der Anwender zunächst um seine Zustimmung gebeten (hier Airwatch auf einem Samsung Galaxy S3). Bild: Peter Meuser
Die MAM-Lösung Good for Enterprise verwaltet Geschäftsdaten getrennt von sonstigen Daten in einem App-Container (hier auf dem Apple iPhone 4s). Bild: Peter Meuser
LANline.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Nachwuchsförderung mit BYOD
Datenschutz will geregelt sein
Mehr Konsistenz beim Datenschutz

Verwandte Artikel

BYOD