08.11.2020 | Datenschutz & IT | ID: 1075525

BYOD und COPE - Besteht ein Datenschutz- oder Sicherheitsrisiko?

Der Einsatz von BYOD und COPE gewinnt mehr und mehr an Bedeutung im Arbeitsalltag. Unternehmen müssen jedoch unbedingt datenschutz- und arbeitsrechtliche Aspekte beachten und dementsprechende Sicherheitsmaßnahmen treffen.

Was bedeutet BYOD und COPE?

Beide Modelle stellen eine moderne Alternative zum klassischen IT-Bereitstellungsmodell dar. Sie bedürfen jedoch im Vorfeld einer sorgfältigen Abklärung möglicher Sicherheitsrisiken sowie datenschutz- und arbeitsrechtlicher Fragenstellungen.

Bring Your Own Device (BYOD): Hierbei handelt es sich um ein Modell, bei dem private mobile Endgeräte der Nutzer wie Smartphones, Tablets und/oder Laptops in die Netzwerke von Unternehmen oder Bildungseinrichtungen integriert werden. Die Nutzer verwenden also ihre eigenen Geräte.

Corporate Owned, Personally Enabled (COPE): Ein Unternehmen stattet seine Angestellten mit mobilen Arbeitsgeräten wie Smartphones, Tablets und/oder Laptops aus und gibt diese auch für den privaten Gebrauch außerhalb der Arbeitszeit frei. Hierbei ist das Unternehmen für die Bereitstellung der Dienste verantwortlich, weshalb es die Kontrolle über die berücksichtigten Hersteller, Modelle und Datentarife hat.

Mögliche Sicherheitsrisiken für Betriebs- und Geschäftsgeheimnisse sowie Personendaten

BOYD birgt allgemein insbesondere folgende Risiken:

• Überwachung,
• Identitätsdiebstahl
• Abfangen von Informationen
• Spionage von Geschäftsgeheimnissen
• Diebstahl von Firmen-Know-how
• Zugriff auf Online-Banking-Systeme
• Vorbereitung für spätere Angriffe

Da durch BYOD und COPE das Unternehmensnetzwerk und die Unternehmensdaten privaten Inhalten und Applikationen und somit auch privat verursachten Sicherheitsproblemen wie Malware, Viren oder Trojanern ausgesetzt sind, müssen Unternehmen verschiedene rechtliche, technische und organisatorische Maßnahmen (TOM) umsetzen, um Betriebs- und Geschäftsgeheimnisse wie auch Personendaten von Kunden sowie Mitarbeitenden zu schützen.

Arbeitsrechtliche Aspekte

Aus arbeitsrechtlicher Sicht ist die Frage der Haftung des Arbeitgebers für Schädigung und Verlust des Gerätes des Mitarbeiters von Bedeutung. § 1014 ABGB legt fest, dass der Arbeitgeber dem Arbeitnehmer all jene Schäden zu ersetzen hat, die aufgrund der Erfüllung dienstlicher Pflichten infolge erhöhter typischer Gefahren entstanden sind. Dafür müssen allerdings folgende Voraussetzungen kumulativ vorliegen:

• Verwendung eines privaten Endgerätes im Interesse des Arbeitgebers zur Erfüllung der Dienstpflichten
• Vorliegen einer Risikoerhöhung gegenüber dem allgemeinen Lebensrisiko durch die dienstliche Nutzung
• maximal geringfügiges Verschulden des Arbeitnehmers

Diese Ersatzpflicht des Arbeitgebers kann jedoch mittels Vertrag (Dienstvertrag) ausgeschlossen werden. Problematisch wäre allerdings ein nachträglicher Verzicht des Arbeitnehmers auf seinen Ersatzanspruch, da hier die Willensfreiheit stark eingeschränkt wäre.

Datenschutzrechtliche Aspekte

Problembehaftet aus arbeits- sowie datenschutzrechtlicher Sicht ist nicht nur eine systematische MDM- oder EMM-basierte Kontrolle der mobilen Endgeräte, sondern bereits der bloße Zugriff auf die Geräte durch das Unternehmen im Einzelfall. Sowohl bei BYOD wie auch bei COPE ist problematisch, dass die persönlichen Daten des Arbeitnehmers, die auf dem mobilen Endgerät bearbeitet werden, nicht von der geschäftlichen Datenbearbeitung und den entsprechenden Unternehmensdaten getrennt sind.

Ausschluss des Zugriffs Unberechtigter

Bei Zugriff des Arbeitgebers auf die Geschäftsdaten kann daher der gleichzeitige Zugriff auf die privaten Arbeitnehmerdaten ohne aufwendige technische und organisatorische Maßnahmen nicht ausgeschlossen werden. Gleiches gilt für Dritte, beispielsweise Familienangehörige des Arbeitnehmers, die zumindest bei BYOD diese mobilen Endgeräte ebenfalls mitbenutzen, während dies im COPE-Modell durch die Unternehmen in der Regel durch entsprechende Benutzerweisungen generell ausgeschlossen sein dürfte.

Aus datenschutzrechtlicher Sicht unabdingbar sind daher – abgesehen von der generellen Gewährleistung der Datensicherheit – die technische und logische Trennung von geschäftlichen und privaten Daten, die Einführung von entsprechenden spezifizierten Nutzungsweisungen für Mitarbeitende sowie die umfassende Regelung des Zugriffs zur Geräteüberprüfung, für Fernwartung oder zur Datenlöschung inklusive transparenter vorgängiger Information der Mitarbeitenden. Hinsichtlich geschäftlich bedeutsamer Inhalte sind Verschlüsselungen und Passwörter unverzichtbar.

Rechtliche, technische und organisatorische Maßnahmen bei BYOD und COPE

Zusammenfassend sind unternehmensseitig zur Risikobegrenzung sowie für die rechtskonforme Umsetzung und den Betrieb sowohl von BYOD- wie COPE-Modellen folgende Maßnahmen zu implementieren und stets dem jeweils aktuellen technischen Stand anzupassen:

• Genehmigungspflicht durch bezeichnete Verantwortliche
• transparente Nutzungsweisungen für Mitarbeitende
• transparente Regelung des Zugriffs zur Geräteüberprüfung, für Fernwartung oder zur Datenlöschung per MDM- oder EMM-Lösungen
• Trennung von geschäftlichen und privaten Daten (technisch und logisch)
• technische und organisatorische Maßnahmen (TOM) wie VPN oder andere sichere Übertragungskanäle, Firewalls, Sandboxes, Festplattenverschlüsselung, Webmail, Passwort-Policies etc.
• Regelung der geschäftlichen Datenablage auf lokalem Unternehmensserver oder einer Unternehmenscloud

Personenbezogene Daten müssen gem Artikel 5 Abs 1 lit f DSGVO in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.

Im Österreichischen Datenschutz-Anpassungsgesetz (DSAG 2018) findet sich in § 54 DSG eine Aufzählung von typischen Maßnahmen, die getroffen werden müssen. Diese können auch für private Organisationen herangezogen werden.