Lade Inhalt...

Bring your own Device. Einführungsoptimierung von BYOD unter Datenschutzaspekten im Unternehmen

Seminararbeit 2016 46 Seiten

Informatik - IT-Security

Leseprobe

Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

1 Einleitung
1.1 Problemstellung
1.2 Zielsetzung
1.3 Vorgehensweise

2 Bring your own Device
2.1 Definition
2.2 Kritische Betrachtung des Einsatzes von BYOD
2.3 Rechtliche Herausforderungen

3 Datenschutz
3.1 Definition und gesetzlicher Geltungsbereich
3.2 Anforderungen gemäß BDSG

4 Einführungsoptimierung von BYOD unter Datenschutz-Aspekten
4.1 Vorgehensmodell der Risikoanalyse
4.2 Identifikation der Datenschutz-Risiken
4.3 Bewertung der ermittelten Risiken
4.4 Ableitung möglicher Maßnahmen zur Risikoprävention

5 Fazit

Literaturverzeichnis

Anhang

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abbildung 1: Aufbau der vorliegenden Arbeit

Abbildung 2: Ausprägungen von personenbezogenen Daten

Abbildung 3: Vorgehensmodell einer Risikoanalyse

Tabellenverzeichnis

Tabelle 1: Anforderungen gemäß BDSG Anlage zu §9

Tabelle 2: Auszug aus der Gefährdungsanalyse

1 Einleitung

1.1 Problemstellung

Neuartige Informations- und Kommunikationstechnologien, die Generation der „Digital Natives“1 und die fortschreitende Digitalisierung der Unternehmen lassen neue Mög- lichkeiten der Kombination von Arbeits- und Privatwelt entstehen. Eine Ausprägung davon ist die Nutzung von privaten Geräten wie zum Beispiel Notebooks, Tablets oder Smartphones am eigenen Arbeitsplatz. Diesen zunehmenden Trend nennt man neu- deutsch „Bring your own Device“, kurz BYOD, und wird unter den Mitarbeitern in Deutschland immer beliebter. Nach einer aktuellen Branchenbefragung des BITKOM- Verbands2 verwenden bereits 71% der Befragten in Deutschland private Geräte am Ar- beitsplatz.3 Für Unternehmen bietet der Einsatz von privaten Geräten viele Vorteile. So können Mitarbeiter jederzeit von jedem Standort aus arbeiten und erreichbar sein. Diese Flexibilität wird von Unternehmen gewünscht und gleichzeitig sogar von vielen Mitar- beitern auch gefordert.4 Eine Untersuchung von Virgin Media Business aus diesem Jahr zum Thema „Workplace of the future“ zeigt, dass vor allem für digital natives das Kri- terium Flexibilität bei der Arbeitgeberauswahl von großer Bedeutung ist.5 Für ein Un- ternehmen stellt sich damit in Zukunft nicht die Frage, ob und wann das Modell BYOD eingeführt wird, sondern ob das Unternehmen für diesen Schritt bereit ist und wie die Einführung am besten aus Sicht des IT-Sicherheitsmanagements angegangen wird.6

Die Einführung von BYOD im Unternehmen, welches personenbezogene Daten erhebt, verarbeitet oder nutzt, birgt andererseits neben Vorteilen viele Risiken und stellt die eigene IT-Abteilung insbesondere in Bezug auf die Einhaltung des Datenschutzes vor großen Herausforderungen.7 Der überwiegende Teil der Geräte ist für den privaten Ge- brauch ausgelegt und erfüllt folglich nicht die unternehmenseigenen hohen sicherheits- technischen Anforderungen. Vor allem die Einhaltung von gesetzlichen Regelungen zum Datenschutz gestaltet sich als besonders schwierig, wenn die Geräte den Mitarbei- tern gehören.8 Wie eine Studie der Pierre Audoin Consultants Group SA zeigt, kommt erschwerend hinzu, dass knapp 30% der Befragten für Unternehmen tätig sind, in wel- chen bisher keine oder nicht transparente Richtlinien für die Nutzung von privaten Ge- räten im Unternehmen existieren.9 Ohne oder mit nicht transparenten Richtlinien droht beim Kontakt zum Firmennetzwerk ein unkontrollierter Abfluss von Daten. Der Verlust personenbezogener Daten oder anderer Verstöße des Bundesdatenschutzgesetzes (BDSG) führt zu Sanktionen der Datenschutzbehörden, denn auch wenn sich die Daten auf privaten Geräten befinden, bleibt das Unternehmen gemäß BDSG die „verantwortli- che Stelle“10. Für die Vermeidung von Datenschutzverstößen ist es daher essentiell, dass sich das Unternehmen bei der Einführung von BYOD mit den gesetzlich festgelegten Datenschutz-Anforderungen gemäß BDSG auseinandersetzt, mögliche Risiken für den Datenschutz frühzeitig erkennt und Maßnahmen zur Risikominimierung und Einhaltung des Datenschutzes ableitet.

1.2 Zielsetzung

Das Ziel der wissenschaftlichen Ausarbeitung ist Unternehmen, die personenbezogene Daten erheben, verarbeiten oder nutzen und vor einer Einführung des BYOD-Modells stehen, eine Möglichkeit aufzuzeigen, die Einführung insbesondere im Hinblick auf den Datenschutz optimal zu gestalten. Die Identifikation und Bewertung der durch den Ein- satz von BYOD resultierenden Risiken und das Aufzeigen von Maßnahmen für eine Risikominimierung dienen zur Erreichung der Zielsetzung. Betrachtet werden insbeson- dere die Anforderungen des Datenschutzes gemäß Bundesdatenschutzgesetz. Die Um- setzung und praktische Evaluierung von erarbeiteten Lösungsansätzen in Form von Maßnahmen zur Einführungsoptimierung von BYOD erfolgt nicht in dieser Ausarbei- tung.

1.3 Vorgehensweise

Im Anschluss an die Einleitung werden in Kapitel 2 das BYOD-Modell und dessen rechtliche Herausforderungen beschrieben. In Kapitel 3 werden die grundsätzlichen Anforderungen an den Datenschutz gemäß des Bundesdatenschutzgesetzes für Unternehmen vorgestellt, die personenbezogene Daten erheben, verarbeiten oder nutzen. Die theoretischen Grundlagen bilden die Basis für eine Risikoanalyse in Kapitel 4 zur Identifikation und Bewertung von Risiken für den Datenschutz durch die Einführung von BYOD. Anschließend erfolgt aus den Ergebnissen der Risikoanalyse die Ableitung von möglichen Maßnahmen zur Einhaltung der gesetzlichen Datenschutz-Anforderungen und zur Risikominimierung. Abschließend werden im Fazit die wesentlichen Erkenntnisse der wissenschaftlichen Ausarbeitung zusammengefasst.

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Eigene Abbildung

Abbildung 1: Aufbau der vorliegenden Arbeit

2 Bring your own Device

Dieses Kapitel beschreibt das BYOD-Modell für Unternehmen, dessen kritische Betrachtung aus aktueller Literatur sowie rechtliche Herausforderungen, welche sich durch den Einsatz von BYOD im Unternehmen ergeben.

2.1 Definition

Seinen Ursprung hat BYOD aus dem englischen Kunstwort „Consumerisation of IT“.11 Ein deutscher Begriff hat sich bisher noch nicht etablieren können.12. Mit Consumerisation wird die Entwicklung bezeichnet, dass neue Technologien in Form von Geräten, Programmen oder Diensten als Erstes im Endkundenmarkt erscheinen und durch diesen den Weg in das Unternehmen finden.13 Die für den Endkundenmarkt bestimmten Produkte wie zum Beispiel Smartphones oder Tablets erhalten nach deren Einführung einen derart großen Zuspruch, dass diese auch in der Arbeitswelt verwendet werden, obwohl die Produkte hierfür nicht entwickelt wurden und folglich die Anforderungen der Arbeitswelt nicht erfüllen können.14 Verstärkt wird die Entwicklung in Zukunft zusätzlich, wenn sich der Abstand zwischen der Leistungsfähigkeit der Technologien im privaten und beruflichen Bereich weiter vergrößert.15

Mit BYOD wird das Consumerisation der Endgeräte bezeichnet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt BYOD in einem Überblickspapier „Consumerisation und BYOD“ als eine Strategie von Institutionen, die ihre Mitarbeiter zur dienstlichen Nutzung ihrer Privatgeräte nicht verpflichtet, sondern ermutigt oder sogar finanziell unterstützt.16 Das BSI betont an der Stelle, dass die Endgeräte unter Umständen subventioniert werden, aber immer Eigentum der Mitarbeiter bleiben.17

2.2 Kritische Betrachtung des Einsatzes von BYOD

Durch den Einsatz von BYOD ergeben sich Vor- und Nachteile für das Unternehmen. Die Vorteile aus Unternehmenssicht sind unter anderem die Einsparung von IT-Kosten und Zeit, da die Geräte privat von den Mitarbeitern gekauft werden.18 Der Einkauf des Geräts und die damit verbundenen Kosten in Form von Geld und Zeit werden auf den Mitarbeiter verlagert. Zudem ergibt sich eine erhöhte Mitarbeiterzufriedenheit durch den Einsatz von Geräten, die sich die Mitarbeiter selber aussuchen und für dienstliche Zwecke nutzen dürfen.19 Weitere Vorteile sind die Steigerung der Produktivität sowie eine gesteigerte Mobilität und damit Flexibilität der Mitarbeiter.20 Abschließend erhoffen sich Unternehmen durch BYOD das Image eines modernen Arbeitsgebers für derzeitige sowie für mögliche, zukünftige Arbeitnehmer.21

Für das Unternehmen ist der Einsatz von BYOD verbunden mit der Erstellung eines umfangreichen Regelwerks. Das bedeutet Zeit und Kosten für das Unternehmen.22 Es ergeben sich zudem rechtliche Risiken durch eine mögliche Verletzung des Datenschutzes beim Verlust von Kundendaten oder beim Zugriff auf die privaten Geräte der Mitarbeiter.23 Zeitgleich entstehen Risiken für die Datensicherheit im Unternehmen.24 Eine unerlaubte Nutzung von Software auf den privaten Geräten der Mitarbeiter für dienstliche Zwecke kann zu Strafzahlungen führen.25 Durch die Nutzung von vielen unterschiedlichen Geräten bei freier Auswahlmöglichkeit kann es zudem zu einer schwierigen und komplexen, heterogenen Umgebung im Unternehmensnetzwerk kommen.26 Damit ergibt sich eine deutlich zeit- und kostenintensivere Verwaltung der Endgeräte gegenüber der Verwaltung von unternehmenseigenen Geräten mit einheitlichen Gerätetypen. Neben der zeit- und kostenintensiven Verwaltung häufen sich gleichermaßen durch die komplexe, heterogene Umgebung Probleme an den Kommunikationsschnittstellen des Netzwerks und die Kontrolle über Endgeräte und der geschäftliche Daten werden erschwert.27

2.3 Rechtliche Herausforderungen

Die Unternehmen stehen beim Einsatz von BYOD besonders rechtlichen Herausforderungen gegenüber, die im Weiteren näher beleuchtet werden sollen.

1. Freiwilligkeit von BYOD

Das verwendete Gerät der Mitarbeiter unterliegt nicht der Verfügungsbefugnis des Arbeitgebers, da das Gerät Privateigentum der Mitarbeiter ist. Demzufolge kann BYOD nicht durch das allgemeine Direktionsrecht28 des Arbeitgebers für Mitarbeiter erzwungen werden.29

2. Mitbestimmung sowie Beteiligung des Betriebsrates

Die Einführung von BYOD erfordert in den überwiegenden Fällen die Beteiligung des Betriebsrates.30 Nach §87 Absatz 1 Nr. 6 des Betriebsverfassungsgesetzes (BetrVG) ist der Betriebsrat mitbestimmungspflichtig, sofern eine „Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen“ vorliegt. Die Einführung von BYOD führt in der Regel dazu, dass das Unternehmen nachvollziehen kann, wann der Mitarbeiter über sein privates Gerät auf Unternehmensdaten zugegriffen hat. Eine Überwachungsmöglichkeit nach BetrVG §87 Absatz 1 Nr. 6 ist damit gegeben und eine Mitbestimmungspflicht des Betriebsrates liegt vor.31

3. Nutzungsrechte

Die Rechte für die private und geschäftliche Nutzung der Mitarbeitergeräte sind erforderlich und einzuholen. Dabei sind nicht nur auf die Nutzungsrechte für das jeweilige Gerät und das Betriebssystem zu achten, sondern auch für die im Gerät installierte Software und Medieninhalte. Wichtig ist die Tatsache, dass bei privater und geschäftlicher Nutzung teilweise unterschiedlich lizensiert wird.32

4. Steuerrecht

Bei einer finanziellen Bezuschussung der Mitarbeitergeräte muss unter anderem geprüft werden, ob die Bezuschussung steuerrechtliche Vorteile für das Unternehmen hat oder als geldwerter Vorteil angesehen werden muss.33

5. Datenschutzrecht

Die für die vorliegende wissenschaftliche Arbeit relevanteste rechtliche Herausforderung bei BYOD stellt das Datenschutzrecht dar. Dieses wird im nachfolgenden Kapitel näher beschrieben.

3 Datenschutz

In diesem Kapitel wird der Begriff „Datenschutz“ und dessen Geltungsbereich definiert und die daraus entstehenden Anforderungen zur Einhaltung des Datenschutzes gemäß Bundesdatenschutzgesetz thematisiert.

3.1 Definition und gesetzlicher Geltungsbereich

Das Bundesdatenschutzgesetz definiert den Begriff „Datenschutz“ ausdrücklich in §1 Absatz 1. Der Datenschutz bezeichnet die notwendigen Maßnahmen, um den Einzelnen davor zu schützen, dass er durch den Umgang mit personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Der Datenschutz ist damit eine besondere Ausprägung des Persönlichkeitsrechts und des Rechts auf informationelle Selbstbe- stimmung.34 Beide Rechte werden im Artikel 1 und 2 des Grundgesetzes folgenderma- ßen definiert: „Artikel 1: Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt. Artikel 2: Jeder hat das Recht auf freie Entfaltung der Persönlichkeit, soweit er nicht die Rechte des anderen verletzt und nicht gegen die verfassungsmäßige Ordnung oder gegen das Sittengesetz verstößt“. Im Mittelpunkt des Datenschutzes stehen somit der Schutz der Person und dessen perso- nenbezogene Daten. Personenbezogene Daten beschreibt das BDSG in §3 Absatz 1 als Einzelangaben über persönliche oder sachliche Verhältnisse eines bestimmten Betroffe- nen. Die Abbildung 2 zeigt einen Auszug von Ausprägungen der in §3 Absatz 1 des BDSG genannten Einzelangaben über persönliche oder sachliche Verhältnisse einer Person.

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Eigene Abbildung nach: Behling, B., Abel, R. (2014): S. 619. Abbildung 2: Ausprägungen von personenbezogenen Daten

Gemäß BDSG §1 Absatz 2 gilt das Gesetz insbesondere für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch öffentliche und nicht-öffentliche Stellen (z.B. Unternehmen der Privatwirtschaft).

3.2 Anforderungen gemäß BDSG

Die Kernaussagen des BDSG sind im Wesentlichen:

1. Verbot mit Erlaubnisvorbehalt (BDSG §4 bzw. §4a): Das Erheben, Verwenden, Nutzen und Verarbeiten von personenbezogenen Daten ist grundsätzlich nicht erlaubt. Die Ausnahme bildet zum einen eine Einwilligung des Betroffenen, sei- ne personenbezogenen Daten erheben, verwenden, nuten oder verarbeiten zu dürfen. Zum anderen das BDSG selbst oder eine andere Rechtsvorschrift.
2. Zweckmäßigkeit bei der Verarbeitung der Daten sowie Mitteilungspflicht ge- genüber den Betroffenen (BDSG §4): Zum einen darf die Verarbeitung der Da- ten nur erfolgen, wenn der ursprüngliche Zweck für die Erhebung der Daten ver- folgt wird. Zum anderen ist die verarbeitende Stelle verpflichtet, den Betroffe- nen zu informieren, wer genau welche Daten und mit welchem Zweck verarbei- tet oder speichert.
3. Datenvermeidung und Datensparsamkeit (BDSG §3a): Es sind so wenig wie möglich personenbezogene Daten zu erheben, zu verarbeiten und zu nutzen.
4. Anonymisierung (BDSG §3a): Die personenbezogene Daten sind zu anonymi- sieren oder zu pseudonymisieren, sofern dies möglich ist und keinen im Ver- hältnis zu dem gewünschten Schutzzweck unverhältnismäßigen Aufwand erfor- dert.
5. Bestimmung eines Datenschutzbeauftragten (BDSG §4f): Die in Kapitel 3.1. ge- nannten Stellen sind verpflichtet, schriftlich einen zur Erfüllung seiner Aufgaben geeigneten Datenschutzbeauftragten zu ernennen.
6. Nicht ausschließbare oder beschränkbare Rechte des Betroffenen (BDSG §6): Der Betroffene hat das Recht auf Auskunft (BDSG §19, 34) und auf Berichti- gung, Löschung oder Sperrung (BDSG §20, 35) der gespeicherten Daten.
7. Regelung zu Schadensersatzansprüchen (BDSG §7 bzw. §8): Bei Verletzungen des Datenschutzes gegenüber den Betroffenen ist die verantwortliche Stelle zum Schadenersatz verpflichtet.

Das BDSG fordert im §9 die im vorausgegangenen Kapitel aufgezählten Stellen dazu auf, die technischen und organisatorischen Maßnahmen zu treffen, welche zur Erfüllung der im BDSG ausgeführten Vorschriften erforderlich sind. Im selben Paragraph schränkt das BDSG die zu treffenden Datenschutzmaßnahmen über das Verhältnismä- ßigkeitsprinzip wieder ein. Demnach sind die Maßnahmen nur notwendig, sofern der hierfür erforderliche Aufwand in einem angemessenen Verhältnis zu dem angestrebten

Schutzzweck steht. Die notwendigen Vorschriften bzw. Anforderungen, die bei einer Verarbeitung oder Nutzung von personenbezogenen Daten für den Datenschutz erfüllt werden müssen, werden in der Anlage des BDSG mit Verweis auf §9 wie folgt aufge- führt:

Abbildung in dieser Leseprobe nicht enthalten

Quelle: eigene Darstellung nach: BDSG Anlage zu §9

Tabelle 1: Anforderungen gemäß BDSG Anlage zu §9

Nach Aufzählung der wesentlichen Anforderungen durch den BDSG lassen sich Paral- lelen zu den sogenannten Schutzzielen der Informationssicherheit Verfügbarkeit, Ver- traulichkeit und Integrität ausmachen.35 Der Untersschied liegt im Gegenstand der Be- trachtung und der Zielsetzung. Während für die Informationssicherheit generell als schutzbedürftige klassifizierte Daten Gegenstand der Betrachtung sind, schränkt der Datenschutz punktuell auf die personenbezogenen Daten ein.36 Im Mittelpunkt steht für den Datenschutz der Schutz natürlicher Personen vor unbefugter Erhebung, Verarbei- tung und Nutzung ihrer personenbezogenen Daten durch Vertraulichkeit der personen- bezogenen Daten, Korrektur inkorrekter personenbezogenen Daten und bei Bedarf de- ren Löschung.37 Weitere rechtliche Regelungen zum Datenschutz sind u.a.:38

- Die europäische Datenschutzrichtlinie (95/46/EG):

Diese Richtlinie stellt einen Mindeststandard für den Datenschutz in allen euro- päischen Mitgliedstaaten sicher. Das BDSG entspricht der Umsetzung dieser Richtlinie.

- Das Landesdatenschutzgesetz:

Dieses Datenschutzgesetz beinhaltet Spezialregelungen für die Behörden der je- weiligen Länder und betrifft die nicht-öffentlichen Stellen wie Unternehmen da- her nicht direkt.

- Das Telemediengesetz (TMG)

- Das Telekommunikationsgesetz (TKG)

[...]


1 Definition: Als digital natives werden Personen der gesellschaftlichen Generation beschrieben, die in der digitalen Welt aufgewachsen sind.

2 Definition: Der BITKOM-Verband ist der Interessenverband des deutschen Branchenverbandes der Informations- und Telekommunikationsbranche.

3 Vgl. Bitkom e.V. (2013).

4 Vgl. Dreger, J. (2015), S. 39.

5 Vgl. Polycom GmbH (2015).

6 Vgl. Keyes, J. (2013), S. 1.

7 Vgl. Bruggmann, T., Feil, T., Ehmann, E. (2014), S. 48.

8 Vgl. Hammerschmidt, C. (2015), S. 44.

9 Vgl. Pierre Audoin Consultants (PAC) Groupe SA (2014), S. 28.

10 Definition: Die verantwortliche Stelle ist gemäß BDSG §3 Absatz 7 jede Person oder Stelle, welche personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Die verantwortliche Stelle dient dabei als Anknüpfungspunkt für die im BDSG fest- gelegten Vorschriften und Pflichten. Gegenstand der Verantwortlichkeit ist der Datenumgang.

11 Vgl. Bundesamt für Sicherheit in der Informationstechnik (2013), S. 1.

12 Vgl. ebd., S. 1.

13 Vgl. Franke, C. (2015), S. 12 f.

14 Vgl. ebd., S. 12 f.

15 Vgl. Vogel, R., Kocoglu, T., Berger, T. (2010), S. 26.

16 Vgl. Bundesamt für Sicherheit in der Informationstechnik (2013), S. 1.

17 Vgl. ebd., S. 1.

18 Vgl. Lebek, B. (2014), S. 3.

19 Vgl. Winterfeldt, A. (2014), S. 6.

20 Vgl. Lebek, B. (2014), S. 3.

21 Vgl. Winterfeldt, A. (2014), S. 6.

22 Vgl. ebd., S. 12.

23 Vgl. Walter, T. (2015), S. 6.

24 Vgl. Lebek, B. (2014), S. 11.

25 Vgl. Winterfeldt, A. (2014), S. 10.

26 Vgl. Bundesamt für Sicherheit in der Informationstechnik (2013), S. 3.

27 Vgl. Winterfeldt, A. (2014), S. 12.

28 Definition: Das Direktionsrecht ist das Recht des Arbeitsgebers auf Grundlage des Arbeitsvertrages gegenüber dessen Arbeitsnehmern, Weisungen zu erteilen. Das Direktionsrecht wird auch als Weisungs- recht bezeichnet.

29 Vgl. Bruggmann, T., Feil, T., Ehmann, E. (2014), S. 48.

30 Vgl. Walter, T. (2015), S. 14.

31 Vgl. ebd., S. 14.

32 Vgl. Bruggmann, T., Feil, T., Ehmann, E. (2014), S. 48.

33 Vgl. Kohne, A., Ringleb, S., Yücel, C. (2015), S. 169.

34 Vgl. Behling, B., Abel, R. (2014), S. 618 f.

35 Vgl. Behling, B., Abel, R. (2014), S. 623.

36 Vgl. ebd., S. 624.

37 Vgl. ebd., S. 624.

38 Vgl. Loomans, D., Matz, M., Wiedemann, M. (2014), S. 11 f.

Details

Seiten
46
Jahr
2016
ISBN (eBook)
9783668346505
ISBN (Buch)
9783668346512
Dateigröße
699 KB
Sprache
Deutsch
Katalognummer
v345053
Institution / Hochschule
FOM Hochschule für Oekonomie & Management gemeinnützige GmbH, Stuttgart
Note
1,3
Schlagworte
bring device einführungsoptimierung byod datenschutzaspekten unternehmen

Autor

Teilen

Zurück

Titel: Bring your own Device. Einführungsoptimierung von BYOD unter Datenschutzaspekten im Unternehmen