Berliner Beauftragter für Datenschutz: Achtung bei “Bring your own device”

28. März 2013

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit Dix hat am gestrigen Tag seinen Tätigkeitsbericht für das Jahr 2012 vorgestellt. Neben den Schwepunktthemen Funkzellenabfrage, EU-Datenschutzgrundverordnung, vermeidbare Fehler von Unternehmen bei der Durchführung von Prüfungen und Weitergabe von Verordnungsdaten durch Apothekenrechenzentren wird dabei der datenschutzrechtlich problematische Trend des Einbindens privater Endgeräte des Arbeitnehmers am Arbeitsplatz (“Bring your own device”) behandelt. Da sich diese Geräte meist dem IT-Management entzögen, mit dem der Arbeitgeber die eigenen informationstechnischen Geräte verwaltet und kontrolliert, seien technische und datenschutzrechtliche Gefahren gegeben, denen der Arbeitgeber mit einer Gesamtstrategie begegnen könne. So sollten beispielsweise schriftliche Vereinbarungen zur Regelung der rechtlichen und technischen Details getroffen werden, die u.a. Vorgaben enthalten, wer wann und in welcher Weise Zugriff auf Daten auf privaten Endgeräten haben kann, wie zwischen privaten und geschäftlichen Daten getrennt wird und wann eine Löschung von Daten erfolgt. Ferner sei es sinnvoll, Regelungen zur Arbeitszeit und zur Kostenverteilung zwischen Unternehmen und Arbeitnehmer für Gerät, Software und Nutzungsentgelte zu treffen. Aus technischer Sicht sollten Maßnahmen getroffen werden, die eine sichere Nutzung von mobilen Geräten (z.B. über eine Zwei-Faktoren-Authentifizierung, Bildschirrmsperren, VPN, Virenscanner) ermöglichen.

“Das Phänomen BYOD ist weiter zu beobachten. Bestimmte Probleme, Bedrohungen und Sicherheitsmaßnahmen sind bekannt, Lösungen bereits diskutiert und verfügbar. Durch die Kombination verschiedener technischer und rechtlicher Maßnahmen müssen die Risiken beherrscht werden, die durch die Nutzung privater Datenverarbeitungsgeräte im beruflichen Umfeld entstehen. Deshalb sollte BYOD in der öffentlichen Verwaltung weiterhin die Ausnahme bleiben.”, so Dix.