Privatsphäre bei BYOD: Schaut Big Brother zu?

Wenn Mitarbeiter ihre privaten Endgeräte beruflich nutzen, können für das Unternehmen Probleme mit dem Datenschutz und der Privatsphäre entstehen.

Dieser Artikel behandelt

Tablets

ÄHNLICHE THEMEN

Unternehmen, die ihren Mitarbeitern die Nutzung privater Endgeräte erlauben, sollten beachten, dass dabei Probleme...

mit dem Datenschutz und der Privatsphäre sowie andere rechtliche Bedenken auftreten können.

Organisationen können mit Hilfe von Mobile Device Management (MDM)-Software sehr einfach überwachen, wo sich ihre Mitarbeiter aufhalten und was sie mit ihrem Gerät machen. Laut einer Umfrage von Harris Interactive betrachten aber vier von fünf Angestellten eine solche Überwachung als eine Verletzung ihrer Privatsphäre. In der Studie zeigen sich Angestellte darüber besorgt, dass ihr Arbeitgeber Bilder, Musik und andere persönliche Daten von ihrem Gerät löschen kann und Einsicht hat, welche Webseiten sie besucht haben. Von den Befragten hatten nur 15 Prozent geringe oder keine Bedenken hinsichtlich dieser Datenschutzaspekte bei „Bring your own device“-Programmen (BYOD).

Datenschutzrechtliche Bedenken bei BYOD

Die BYOD-Bewegung hat viele Unternehmen im Sturm erobert. Manager und Mitarbeiter treiben das Thema mit gleicher Begeisterung voran und zwingen so die IT-Abteilungen, sich mit den Problemen bei Sicherheit und Datenschutz auseinanderzusetzen, die der Einsatz privater Geräte am Arbeitsplatz mit sich bringt.

Die Bedenken der Mitarbeiter hinsichtlich des Datenschutzes bei BYOD sind durchaus berechtigt. Die mobile Technologie und MDM Software ermöglichen es einem Unternehmen, jeden Schritt seiner Mitarbeiter zu überwachen, ob sie im Dienst sind oder nicht. Mitarbeiter, die an einem BYOD-Programm teilnehmen, räumen der IT-Abteilung unter Umständen unwissentlich eine Vielzahl von Rechten ein. Dies kann zum Beispiel die Installation von Anwendungen, das Löschen von Daten, die Überwachung der Nutzung oder das Sammeln persönlicher Informationen umfassen.

Selbst eine simple Verbindung über Microsoft Exchange ActiveSync ermöglicht es der IT-Abteilung, persönliche Daten vom betroffenen Gerät zu entfernen. Jedes MDM-System benötigt einen gewissen Zugriff auf die persönlichen Daten des Benutzers. Von dort fehlt nicht viel, und der Arbeitgeber kann auch auf Kontakte, installierte Anwendungen, Facebook-Kontendaten und die Browser-Historie zugreifen.

Das heißt nicht, dass die IT-Abteilung oder irgendjemand im Unternehmen auf die persönlichen Daten des Nutzers zugreifen möchte. In vielen Fällen sind das Management und die Rechtsabteilung genauso wie der Nutzer daran interessiert, dass seine persönlichen Daten unberührt bleiben, da sonst rechtliche Folgen drohen. Wäre das Management zum Beispiel verpflichtet etwas zu unternehmen, wenn es auf diesem Weg entdeckt, dass der Mitarbeiter in illegale Aktivitäten verstrickt ist? Was passiert, wenn das Unternehmen nichts unternimmt?

Selbst wenn ein Unternehmen Schritte unternimmt, die persönlichen und beruflichen Daten zu trennen, so sind die Mitarbeiter trotzdem im Fall von Rechtsstreitigkeiten zur Offenlegung verpflichtet. Anwälte können verlangen, dass Mitarbeiter ihre Geräte übergeben, was dazu führt, dass Dritte Zugriff auf die persönlichen Daten erhalten, inklusive Browser-Historie, finanzielle Details, Konten sozialer Netzwerke und Informationen über Familie und Freunde des Benutzers. Genauer gesagt kann ein Gericht eine komplette forensische Untersuchung des Gerätes veranlassen, wenn es in einem Fall als relevant angesehen wird.

Wie die Privatsphäre bei BYOD sichergestellt werden kann

Ein Arbeitgeber wird nicht verhindern können, dass das private Gerät eines Mitarbeiters in einem Rechtsstreit untersucht wird. Er kann jedoch Maßnahmen ergreifen, um die datenschutzrechtlichen Bedenken der Mitarbeiter zu adressieren, ohne die Herausforderungen bei der Sicherheit aus den Augen zu verlieren.

Eine Möglichkeit hierfür ist die Einführung einer MDM-Software, welche die persönlichen Daten von den geschäftlichen trennt. So können die MDM-Produkte von MaaS360 und MobileIron geschäftliche Daten von mobilen Geräten löschen, ohne die privaten Daten des Benutzers zu beeinträchtigen. Dies löst zwar nicht die Bedenken hinsichtlich Überwachung und Datenschutz, stellt aber sicher, dass die Urlaubsfotos der Mitarbeiter sicher sind.

Ein anderer Ansatz, um die persönlichen Daten zu schützen, beruht darauf, nur die Daten und nicht das Gerät selbst zu verwalten. In diesem Fall führt die IT ein Mobile Application Management (MAM) ein und kontrolliert nur die berufsbezogenen Anwendungen und den Zugriff des Mitarbeiters auf Unternehmensdaten. MAM kann rollenbasierte Richtlinien festlegen und durchsetzen, und darüber hinaus festlegen, wie Dateien gespeichert bzw. geteilt werden. Außerdem ist es so möglich, Daten zu entfernen und Anwendungen zu entziehen, wenn ein Mitarbeiter das Unternehmen verlässt oder das Gerät verliert. Die Verwaltung der Unternehmensanwendungen und Unternehmensdaten stellt sicher, dass keine Daten in die privaten Anwendungen und Dienste übertragen werden können. So können Mitarbeiter in ihrer Freizeit Angry Birds spielen so viel sie wollen, ohne dass dabei sensible Daten gefährdet sind. Letztlich sind nur die Daten für Compliance und Sicherheit entscheidend, nicht das Gerät.

Einige Unternehmen setzen für den BYOD-Zugriff virtuelle Desktops ein, andere wiederum nutzen virtuelle Verbindungen auf speziell eingerichteten Android-Geräten. Ab einem gewissen Punkt treten diese Systeme in Konkurrenz zu MDM- und MAM-Lösungen. Egal für welchen Ansatz sich ein Unternehmen entscheidet, allen Mitarbeitern muss klar kommuniziert werden, auf was sie sich einlassen, wenn sie an einem BYOD-Programm teilnehmen.

BYOD-Richtlinie für die Privatsphäre

Bevor ein Unternehmen irgendetwas mit den privaten Geräten der Mitarbeiter tun kann, zum Beispiel die Installation eines MDM- oder MAM-Clients, müssen alle Mitarbeiter umfassend informiert werden und ihre Zustimmung hierzu erteilen. Ohne diese Zustimmung begibt sich das Unternehmen in Gefahr, Datenschutzgesetze zu verletzen, sobald irgendein Zugriff auf eines der Geräte erfolgt. Hier kommt eine sorgfältig geplante Erklärung zur BYOD-Richtlinie ins Spiel.

Diese Erklärung sollte alle Rechte und Verantwortlichkeiten definieren, sowohl für Arbeitgeber als auch Arbeitnehmer, und erläutern, wie die privaten Daten des Mitarbeiters geschützt werden. Die Angestellten müssen informiert werden, worauf der Arbeitgeber Zugriff hat, was er auf dem Gerät installieren kann und welche Maßnahmen ergriffen werden, wenn der Mitarbeiter das Unternehmen verlässt oder das Gerät verliert.

Die Mitarbeiter sollten genau wissen, was ihr Arbeitgeber tun darf und welche Umstände dazu führen, dass ein Gerät eingezogen und untersucht werden kann. Wenn Mitarbeiter eine entsprechende Erklärung unterzeichnen, muss ihnen vollkommen bewusst sein, wozu sie ihr Einverständnis geben. Das Ziel der Richtlinie sollte der Schutz sowohl des Mitarbeiters als auch des Unternehmens sein.

Die Aufstellung einer BYOD-Richtlinie ist alles andere als trivial. Solche Richtlinien sind gesetzlichen Rahmenbedingungen unterworfen und können sich je nach Art des Industriezweiges deutlich voneinander unterscheiden. Ein international tätiges Unternehmen steht sogar vor noch größeren Herausforderungen, da jedes Land eigene Vorschriften hinsichtlich der Kontrolle von Mitarbeitern und Geräten hat. Grundsätzlich dürfen BYOD-Richtlinien in keinem Fall die Privatsphäre von Mitarbeitern verletzen, unabhängig davon, wo diese arbeiten. Aus diesem Grund sollte keine Richtlinie eingeführt werden, ohne die Folgen einer Überwachung und Kontrolle persönlicher Geräte zu berücksichtigen. Unternehmen sollten jeden Schritt vorsichtig planen, um rechtliche Probleme von Beginn an auszuschließen.

Die Zukunft der BYOD-Privatsphäre

Was die Entwicklung der „Consumerisation“ angeht, ist es schwer, sich eine Rückkehr in die Zeit vor BYOD vorzustellen. Viele Unsicherheitsfaktoren bleiben aber bestehen, besonders was den rechtlichen Schutz der betroffenen Mitarbeiter angeht. Selbst wenn ein Mitarbeiter eine Vereinbarung unterzeichnet hat, können dennoch Fragen zu den Zugriffsmöglichkeiten des Unternehmens auftauchen. Die rechtlichen Rahmenbedingungen müssen noch definiert werden, was den Schutz des Mitarbeiters unter diesen Umständen betrifft. Und keine Richtlinie kann hierbei einen vollständigen Schutz bieten.

Auf der anderen Seite könnten sich viele Mitarbeiter entscheiden, nicht an BYOD-Programmen teilzunehmen, wenn die Rahmenbedingungen hierfür zu streng sind, was wiederum zu höheren Ausgaben und einem Wettbewerbsnachteil führen könnte. Gleichzeitig wäre es für jedes Unternehmen schwierig, seine Mitarbeiter dazu zu bringen, ihr eigenes Gerät zu nutzen, selbst wenn es ein mobiles Gerät dem Mitarbeiter einfacher machen würde, seinen Job zu erledigen.

Wohin führt uns das? Könnten die Herausforderungen des Datenschutzes so komplex werden, dass alle Mitarbeiter ein zweites Gerät nur für den beruflichen Einsatz benötigen? Könnten die datenschutzrechtlichen Probleme so schwierig zu lösen sein, dass Unternehmen ihre BYOD-Programme wieder komplett einstellen müssen?

BYOD ist noch immer ein sehr junges Thema und die Regeln sind noch fließend. Fest steht, dass sich die Bedenken hinsichtlich der persönlichen Daten und der Rechte der Mitarbeiter auf Datenschutz bei BYOD nicht einfach in Luft auflösen werden. Je früher diese Bedenken offen thematisiert werden, desto besser für alle Beteiligten.

Artikel wurde zuletzt im September 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Tablets

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close