Bring your own device - 15. April 2013

Balance halten

Der Einsatz von privaten Endgeräten für dienstliche Zwecke nimmt zu. Das ist nicht immer unproblematisch und mit vielen Risiken verbunden. Welche das sind und wie man sie verhindern kann, erzählen die DATEVDatenschützerinnen Claudia Seibt und Beate Beisswenger.

DATEV magazin: Warum nutzen immer mehr Mitarbeiter ihre privaten Endgeräte auch zu dienstlichen Zwecken?

Claudia Seibt: Die Nutzung von privaten Geräten wie Smartphones und Tablet-Computern am Arbeitsplatz liegt im Trend. Fast die Hälfte der ITK-Unternehmen erlaubt es Mitarbeitern, eigene Geräte mit dem Firmennetzwerk zu verbinden, was man „bring your own device“ nennt. Eine Branchenbefragung des BITKOM bestätigt das.

DATEV magazin: Der Einsatz ist doch risikobehaftet?

Claudia Seibt: Gerade für unsere Berufsträger ergeben sich Risiken im Zusammenhang mit Datenschutz und Datensicherheit, da die personenbezogenen Daten zumeist dem Berufsgeheimnis unterliegen. Die Frage ist, ob die modernen Geräte mit intensiver Anbindung an Suchmaschinen und regem Datenaustausch die erforderliche Sicherheit für sensible Mandantendaten bieten. Der Einsatz privater Geräte im geschäftlichen Umfeld ist durch die Kanzlei nicht nur unter arbeitsrechtlichen Bedingungen, sondern auch intensiv unter datenschutzrechtlichen Aspekten zu beleuchten.

DATEV magazin: Können Sie das genauer erläutern?

Claudia Seibt: Das Bundesdatenschutzgesetz verpflichtet die verantwortliche Stelle, also die Kanzlei, technische und organisatorische Sicherheitsmaßnahmen zu treffen. Das gilt besonders für den Schutz personenbezogener Daten der Mandanten.

DATEV magazin: Die Anforderungen sind insoweit vielschichtig?

Beate Beißwenger: Zunächst einmal ist sicherzustellen, dass der Zugriff auf geschäftliche Daten durch Unbefugte verhindert wird. Das setzt ein angemessenes Berechtigungssystem voraus. Jedenfalls ist der Zugriff auf bestimmte Daten und Anwendungen durch zuverlässige Authentifizierungsmaß­nahmen zu regeln. Und der Zugang zum Kanzleinetzwerk muss durch eine verschlüsselte Verbindung zwischen der Kanzlei-IT und dem Endgerät abgesichert sein.

DATEV magazin: Wie lässt sich die unbefugte Weitergabe von Daten verhindern?

Beate Beißwenger: Da eine nicht autorisierte Datenweitergabe sowohl über private als auch über dienstliche Mail-Accounts erfolgt, kann dieser Gefahr nur durch Sensibilisierung, Schulung und Kontrolle der Mitarbeiter begegnet werden.

DATEV magazin: Helfen hier nicht die bereits angesprochenen Verschlüsselungssysteme?

Claudia Seibt: Für die elektronische Übertragung von vertraulichen geschäftlichen Daten ist der Einsatz von aktuellen Verschlüsselungsverfahren sogar unerlässlich. Werden die Daten auf dem Gerät auch abgelegt, müssen sie verschlüsselt sein.

DATEV magazin: Stichwort Virenschutz. Was raten Sie hier?

Claudia Seibt: Gerade auch die mobilen Endgeräte sind durch Malware und Viren gefährdet, sie benötigen folglich definitiv einen Virenschutz. Daher ist eine verpflichtende beziehungsweise automatisierte Installation von Antiviren-Software auf den Geräten geboten, um zu verhindern, dass virenbehaftete Daten in das Kanzleinetzwerk eingeschleust werden.

DATEV magazin: Gibt es Handlungsempfehlungen, die Sie den Kanzleien mit auf den Weg geben?

Beate Beißwenger: Bevor man die Nutzung privater Geräte zulässt, sollte man klare Regeln aufstellen, damit sich die Mitarbeiter, aber auch der Kanzleichef eindeutig orientieren können: Was ist erlaubt und was nicht? In den Richtlinien ist zu regeln, welche mobilen Geräte zugelassen sind. Dann sind vor allem sicherheitstechnische Vorgaben zu machen hinsichtlich des Einsatzes von Verschlüsselungstechnologien, der Verpflichtung zur Nutzung von Antiviren-Software sowie die Trennung von privaten und Kanzleidaten betreffend. Wichtig sind zudem Regelungen bezüglich der Kontroll- und Zugriffsrechte des Arbeitgebers auf das private Gerät; regelmäßig wird das nur im Verdachtsfall erfolgen. Unerlässlich sind auch Benachrichtigungs- und Verhaltensregeln für die Mitarbeiter, die den Verlust oder Diebstahl des Geräts betreffen. Die skizzierten Handlungsanweisungen sollten aktiv kommuniziert werden, damit jeder Mitarbeiter Kenntnis davon erhält.

DATEV magazin: Lässt sich „bring your own device“ überhaupt mit dem Datenschutz vereinbaren?

Der Berufsträger sollte bedenken, dass es keinen 100-prozentigen Schutz gibt.

Claudia Seibt: Ja, aber nicht um jeden Preis. Neben arbeits- und haftungsrechtlichen Herausforderungen sind auch technische Maßnahmen und organisatorische Regelungen notwendig, um die personenbezogenen Daten zu schützen. Man sollte stets bedenken, dass es keinen 100-prozentigen Schutz gibt und das Restrisiko bei der Kanzleileitung liegt. Ein verlorenes Gerät, das nicht sicher geschützt ist und mit dem auf dienstliche Informationen zugegriffen werden kann, führt leicht zu einer Informationspflicht gegenüber der zuständigen Datenschutzaufsichtsbehörde und den Betroffenen. Bei besonders sensiblen, etwa berufsrechtlich geschützten Daten empfiehlt sich die Nutzung privater Geräte nicht.

DATEV magazin: Gibt es technische Lösungsangebote, mit denen die dienstliche Nutzung privater Endgeräte sicherer wird?

Claudia Seibt: Für Berufsträger favorisieren wir ausschließlich die Nutzung und Verarbeitung der geschäftlichen Daten mittels Remote Access über einen verschlüsselten VPN-Tunnel im Kanzleinetzwerk. Die Daten bleiben hier in der Kanzlei gespeichert, eine Datenhaltung auf dem Gerät selbst unterbleibt. Aber auch beim Zugriff via VPN ist auf eine geeignete Verschlüsselung und Authentifizierung der Kommunikation, etwa per SSL, zu achten. Darüber hinaus besteht immer noch ein Restrisiko hinsichtlich der unbefugten Einsichtnahme von Daten durch Dritte, etwa bei der Verarbeitung in der Öffentlichkeit oder dem Verlust des ungesperrten Geräts.

DATEV magazin: Wie geht der Trend weiter? Zeichnen sich neue Business Cases in der
Zukunft ab?

Beate Beißwenger: Die steigende Nutzung von Smartphones und Co. im geschäftlichen Bereich ist ein unumstrittener Techniktrend, führt aber nur selten zu Kostensenkungen. Die rasante Entwicklung im Bereich Kommunikationstechnologie sowie die spürbare Begeisterung der Anwender lässt aber vermuten, dass in dem Thema noch jede Menge Dynamik steckt.

DATEV magazin: Und wie lautet Ihr Fazit?

Beate Beißwenger: Der Berufsträger ist gut beraten, klare organisatorische Regeln einzuführen, die Nutzung privater Geräte für besonders sensible Daten, etwa berufsrechtlich geschützte, zu untersagen und technische sowie organisatorische Maßnahmen entsprechend § 9 Bundesdatenschutzgesetz umzusetzen.

Mehr dazu

Mehr dazu

Das CHEF-Seminar „Mobile Endgeräte im professionellen Einsatz“ behandelt unter anderem auch Datenschutz und Datensicherheit im Kanzleialltag sowie das Mobile Device Management.

INFORMATIONEN UND ANMELDUNG

Tel.: +49 911 319-22433
E-Mail: florian.binoeder@datev.de

Unter www.datev.de/shop finden Sie eine detaillierte Beschreibung sowie alle Veranstaltungstermine inklusive Buchungsmöglichkeit
(Art.-Nr. 73126).

 

Zum Autor

Robert Brütting

Rechtsanwalt in Nürnberg und Fachjournalist Recht sowie Redakteur beim DATEV magazin

Weitere Artikel des Autors