Mehr als 40 Millionen Menschen in Deutschland benutzen inzwischen ein Smartphone. Dies hat auch Auswirkungen auf die Frage, ob der Arbeitnehmer sein eigenes Smartphone nicht auch für dienstliche Zwecke nutzen soll. Für den Arbeitgeber hat dies den Vorteil, dass er keine Smartphones anschaffen muss und der Arbeitnehmer muss nicht immer mit zwei Smartphones hantieren, wenn er private bzw. dienstliche Angelegenheiten erledigen will.

Sollte sich der Arbeitgeber dafür entscheiden, dem Arbeitnehmer zu erlauben, sein privates Smartphone auch dienstlich zu nutzen („Bring Your Own Device“, BYOD), sind verschiedene Aspekte des Datenschutzes und der Datensicherheit zu beachten.

Datenschutz…

Der private Arbeitgeber unterliegt als verantwortliche Stelle dem Bundesdatenschutzgesetz (BDSG), soweit es um seine dienstlich erhobenen und verarbeiteten Daten geht. Der Arbeitnehmer hingegen nicht, wenn er das Smartphone privat nutzt.

Allein dies macht schon deutlich, dass genau überlegt werden sollte, wie die Nutzung des Smartphones zu privaten und dienstlichen Zwecken im Alltag bewerkstelligt werden soll. Die sauberste Lösung ist hier ein Programm zu nutzen, das dafür sorgt, dass die privaten und dienstlichen Daten getrennt voneinander auf dem Smartphone verarbeitet werden. Dabei ist zu beachten, dass Administrationsrechte des Arbeitgebers auf die dienstlichen Daten beschränkt wird.

Eine echte Sandbox-Lösung, d.h. eine Trennung von Daten und Apps in verschiedene Schutzbereiche, ist ohne zusätzliche Software nicht möglich. Eine Entwicklung des Fraunhofer-Institus mit dem Namen „BizzTrust“ kann bspw. eine solche grundsätzliche Trennung ermöglichen und damit vertrauenswürdige Daten sicherer machen. Auch gibt es für das Android-Betriebssystem mittlerweile eine VM-Ware-Lösung, die es ermöglicht, sicher auf den Unternehmens-Desktop zuzugreifen.

Die Trennung von dienstlichem und privatem Bereich auf dem Smartphone spielt auch bei bestehenden Zugriffsmöglichkeit des Arbeitgebers auf die Daten eine wesentliche Rolle. So kann sich der Arbeitgeber schadensersatzpflichtig gegenüber dem Arbeitnehmer machen, wenn er auch private Daten löschen sollte. Daneben drohen auch strafrechtliche Risiken. Diese können zum Beispiel dann bestehen, wenn das Smartphone als Ganzes vom Arbeitgeber gescannt und überwacht wird. Mitarbeiter des Arbeitgebers, die dies in seinem Auftrag durchführen, können sich dann nach § 206 StGB strafbar machen.

…und Datensicherheit

Die größere Herausforderung ist aber die Gewährleistung der Datensicherheit. Hier gilt, wie bei jedem Gerät, dass die größte Schwachstelle der Nutzer selbst ist. Daher ist es unerlässlich, diesen immer wieder durch Schulungen auf die Sensibilität des Themas hinzuweisen.

Zugriffsschutz

Zusätzlich zum üblichen PIN zum Entsperren der SIM-Karte sollte das Smartphone mittels eines mind. 4-stelligen Codes geschützt werden. Dabei ist zu beachten, dass dieser Code nicht nur beim Anschalten des Smartphones abgefragt wird, sondern auch nach einer Inaktivität von ca. einer Minute. Ebenso sollte nach ca. 7 Fehleingaben das Gerät in den Werkszustand versetzt werden.

Verschlüsselung

Der Speicher des Smartphones sollte verschlüsselt werden. Dies gilt nicht nur für den internen Speicher, sondern auch für die SD-Karte.

Schnittstellen

Schnittstellen wie USB, WLAN oder Bluetooth sind neuralgische Punkte, über die Angriffe von außen auf das Smartphone durchgeführt werden. Daher sind diese Schnittstellen nur im Bedarfsfall zu öffnen.

Rooten/Jailbreaken

Das Rooten bzw. Jailbreaken, um gesperrte Funktionen freizuschalten oder zusätzliche Software auf dem Gerät installieren zu können, sollte von Arbeitgeberseite aus untersagt werden, da hierdurch auch das Berechtigungsmanagement und andere Sicherheitsmaßnahmen außer Kraft gesetzt werden.

Konfiguration

Der Arbeitnehmer sollte eine von der Administration vorgenommene Sicherheitskonfiguration nicht wieder ändern.

Apps/Fremdprogramme

Grundsätzlich dürfen keine Apps vom Arbeitnehmer installiert werden, es sei denn die Apps sind von der Administration freigegeben. Dies kann über eine Whitelist geschehen. Alternativ kann auch eine Blacklist gepflegt werden, auf der die Apps eingetragen sind, die nicht installiert werden dürfen.

Ortung/Löschung/Fernlöschung

Sollte der Arbeitnehmer das Smartphone verlieren oder es ihm gestohlen worden sein, ist zeitnah sicherzustellen, dass das Smartphone über GPS oder Provider geortet wird. Auch sollte sichergestellt werden, dass eine Fernlöschung (welche auch die privaten Daten betrifft) möglich ist.

Sofern iPhones in kleinen Unternehmen eingesetzt werden, kann dazu der Löschservice der iCloud genutzt werden. Mittlere oder größere Unternehmen, sowie Android-Nutzer sollten eine Mobile-Device-Management-Software mit dieser Funktionalität einführen. Dies sind Programme wie beispielsweise “Afaria” von Sybase, “Good Mobile Control” von Good Technology oder “ubi Suite” der deutschen Firma Ubitexx.

Datenlöschung

Auch sollte geregelt werden, dass bei Ausscheiden des Arbeitnehmers alle dienstlichen Daten auf dem Smartphone gelöscht werden.

Fazit

Das sog. Bring-you-own-device-Konzept macht viele Sicherheitsvorkehrungen erforderlich und der Arbeitgeber ist darauf angewiesen, dass der Arbeitnehmer sich kooperativ verhält. Auch birgt BYOD eine Vielzahl juristischer Fallstricke datenschutz-, arbeits-, zivil-, straf- und lizenzrechtlicher Art. Auf der anderen Seite kann die Zurverfügungstellung des privaten Handys für den Mitarbeiter insbesondere dann attraktiv sein, wenn sich der Arbeitgeber an den Kosten des Handyvertrages beteiligt.

Der Arbeitgeber sollte in Richtlinien bzw. in zu schließenden Betriebsvereinbarungen die technischen und organisatorischen Maßnahmen regeln. Die Vielzahl von Vorkehrungen, die für den Datenschutz und die Datensicherheit zu treffen sind, sollten nicht unterschätzt werden. Daher sollte der Arbeitgeber genau überlegen, ob er den Mehraufwand bei privaten Smartphones tatsächlich tragen will, insbesondere, da sich bei einer Vielzahl von Geräten die Vorfälle häufen werden.