Schlagwort: Bring Your Own Device

Gefährdung von Geschäftsdaten durch Bring Your Own Device

24. Oktober 2014

Eine aktuelle Studie von Censuswide im Auftrag von Oracle ergab, dass Unternehmesdaten duch den Umgang mit mobilen Endgeräten, vor allem durch junge Arbeitnehmer, stark gefährdet sind. Für die Studie wurden 1500 Angestellte globaler Unternehmen befragt – je 500 in den Regionen Europa und Afrika, Nordamerika sowie dem asiatischen und pazifischen Raum.

Die Grenzen zwischen privater und geschäftlicher Nutzung verschwimmen dabei bei mobilem Arbeiten unter den Befragten zusehends – und damit einhergehend offensichtlich auch die Beschädigung oder der Verlust von Laptop, Smartphone oder Tablet.

71 Prozent der Befragten im Alter von 16 bis 24 greifen von privaten Geräten aus auf Arbeitsdaten zu. 73 Prozent haben schon einmal ein mobiles Endgerät verloren und 52 Prozent wurde schon einmal ein Handy, Laptop oder Tablet gestohlen.

Dieser Umstand ist nicht nur ärgerlich für die Betroffenen, sondern kann mitunter, durch den möglichen Verlust geschäftsinterner Daten, sogar negative Auswirkungen für den Arbeitgeber mit sich bringen. So verwundert es nicht, dass nur 24 Prozent der Befragten angeben, dass ihr Arbeitgeber mobile Arbeitskonzepte unterstützt.

 

Berliner Beauftragter für Datenschutz: Achtung bei „Bring your own device“

28. März 2013

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit Dix hat am gestrigen Tag seinen Tätigkeitsbericht für das Jahr 2012 vorgestellt. Neben den Schwepunktthemen Funkzellenabfrage, EU-Datenschutzgrundverordnung, vermeidbare Fehler von Unternehmen bei der Durchführung von Prüfungen und Weitergabe von Verordnungsdaten durch Apothekenrechenzentren wird dabei der datenschutzrechtlich problematische Trend des Einbindens privater Endgeräte des Arbeitnehmers am Arbeitsplatz („Bring your own device“) behandelt. Da sich diese Geräte meist dem IT-Management entzögen, mit dem der Arbeitgeber die eigenen informationstechnischen Geräte verwaltet und kontrolliert, seien technische und datenschutzrechtliche Gefahren gegeben, denen der Arbeitgeber mit einer Gesamtstrategie begegnen könne. So sollten beispielsweise schriftliche Vereinbarungen zur Regelung der rechtlichen und technischen Details getroffen werden, die u.a. Vorgaben enthalten, wer wann und in welcher Weise Zugriff auf Daten auf privaten Endgeräten haben kann, wie zwischen privaten und geschäftlichen Daten getrennt wird und wann eine Löschung von Daten erfolgt. Ferner sei es sinnvoll, Regelungen zur Arbeitszeit und zur Kostenverteilung zwischen Unternehmen und Arbeitnehmer für Gerät, Software und Nutzungsentgelte zu treffen. Aus technischer Sicht sollten Maßnahmen getroffen werden, die eine sichere Nutzung von mobilen Geräten (z.B. über eine Zwei-Faktoren-Authentifizierung, Bildschirrmsperren, VPN, Virenscanner) ermöglichen.

„Das Phänomen BYOD ist weiter zu beobachten. Bestimmte Probleme, Bedrohungen und Sicherheitsmaßnahmen sind bekannt, Lösungen bereits diskutiert und verfügbar. Durch die Kombination verschiedener technischer und rechtlicher Maßnahmen müssen die Risiken beherrscht werden, die durch die Nutzung privater Datenverarbeitungsgeräte im beruflichen Umfeld entstehen. Deshalb sollte BYOD in der öffentlichen Verwaltung weiterhin die Ausnahme bleiben.“, so Dix.

 

 

BayLfD: BYOD in Krankenhäusern

24. Januar 2013

Im Rahmen seines jüngst vorgestellten 25. Tätigkeitsberichtes hat der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) begrüßenswerterweise auch Stellung zu dem zweifelhaften Trend „Bring Your Own Device“ (BYOD) in Krankenhäusern bezogen. Mitarbeitern die Anbindung an das Unternehmensnetzwerk – insbesondere an das Krankenhausinformationssystem – mit privaten Endgeräten (z.B. Laptops, Smartphones, Tablet PCs) sowie die ortsungebundene Nutzung dieser privaten Geräte für dienstliche Zwecke zu gestatten, sei aus datenschutzrechtlichen Gründen unzulässig. Vorausgesetzt, ein externer Abruf von Patientendaten wäre erforderlich, müsste den betroffenen Mitarbeitern vielmehr ein Dienstgerät zur Verfügung gestellt werden. Bei privaten Geräten könne nicht hinreichend sichergestellt werden, dass ein Unbefugter keine Einsicht in die Daten der Krankenhauses nehmen kann. Durch den Abruf von Patientendaten von außen mittels privater Mitarbeitergeräte seien die mit einem Gewahrsam des Krankenhauses verbundenen ausschließlichen Verfügungs-, Einfluss- und Kontrollmöglichkeiten aus rechtlicher Sicht selbst dann nicht gegeben, wenn die Patientendaten nur einsehbar wären und eine Speicherung der Daten auf dem privaten Gerät tatsächlich technisch ausgeschlossen werden könnte.