Kundenservice: Tel +43.1.97000-100 • kundenservice@forum-media.at
© WEKA Business Solutions GmbH
A-1200 Wien, Dresdner Straße 45
E-Mail: kundenservice@forum-media.at
drucken
Beide Modelle stellen eine moderne Alternative zum klassischen IT-Bereitstellungsmodell dar. Sie bedürfen jedoch im Vorfeld einer sorgfältigen Abklärung möglicher Sicherheitsrisiken sowie datenschutz- und arbeitsrechtlicher Fragenstellungen.
Bring Your Own Device (BYOD): Hierbei handelt es sich um ein Modell, bei dem private mobile Endgeräte der Nutzer wie Smartphones, Tablets und/oder Laptops in die Netzwerke von Unternehmen oder Bildungseinrichtungen integriert werden. Die Nutzer verwenden also ihre eigenen Geräte.
Corporate Owned, Personally Enabled (COPE): Ein Unternehmen stattet seine Angestellten mit mobilen Arbeitsgeräten wie Smartphones, Tablets und/oder Laptops aus und gibt diese auch für den privaten Gebrauch außerhalb der Arbeitszeit frei. Hierbei ist das Unternehmen für die Bereitstellung der Dienste verantwortlich, weshalb es die Kontrolle über die berücksichtigten Hersteller, Modelle und Datentarife hat.
BOYD birgt allgemein insbesondere folgende Risiken:
Da durch BYOD und COPE das Unternehmensnetzwerk und die Unternehmensdaten privaten Inhalten und Applikationen und somit auch privat verursachten Sicherheitsproblemen wie Malware, Viren oder Trojanern ausgesetzt sind, müssen Unternehmen verschiedene rechtliche, technische und organisatorische Maßnahmen (TOM) umsetzen, um Betriebs- und Geschäftsgeheimnisse wie auch Personendaten von Kunden sowie Mitarbeitenden zu schützen.
Aus arbeitsrechtlicher Sicht ist die Frage der Haftung des Arbeitgebers für Schädigung und Verlust des Gerätes des Mitarbeiters von Bedeutung. § 1014 ABGB legt fest, dass der Arbeitgeber dem Arbeitnehmer all jene Schäden zu ersetzen hat, die aufgrund der Erfüllung dienstlicher Pflichten infolge erhöhter typischer Gefahren entstanden sind. Dafür müssen allerdings folgende Voraussetzungen kumulativ vorliegen:
Diese Ersatzpflicht des Arbeitgebers kann jedoch mittels Vertrag (Dienstvertrag) ausgeschlossen werden. Problematisch wäre allerdings ein nachträglicher Verzicht des Arbeitnehmers auf seinen Ersatzanspruch, da hier die Willensfreiheit stark eingeschränkt wäre.
Problembehaftet aus arbeits- sowie datenschutzrechtlicher Sicht ist nicht nur eine systematische MDM- oder EMM-basierte Kontrolle der mobilen Endgeräte, sondern bereits der bloße Zugriff auf die Geräte durch das Unternehmen im Einzelfall. Sowohl bei BYOD wie auch bei COPE ist problematisch, dass die persönlichen Daten des Arbeitnehmers, die auf dem mobilen Endgerät bearbeitet werden, nicht von der geschäftlichen Datenbearbeitung und den entsprechenden Unternehmensdaten getrennt sind.
Bei Zugriff des Arbeitgebers auf die Geschäftsdaten kann daher der gleichzeitige Zugriff auf die privaten Arbeitnehmerdaten ohne aufwendige technische und organisatorische Maßnahmen nicht ausgeschlossen werden. Gleiches gilt für Dritte, beispielsweise Familienangehörige des Arbeitnehmers, die zumindest bei BYOD diese mobilen Endgeräte ebenfalls mitbenutzen, während dies im COPE-Modell durch die Unternehmen in der Regel durch entsprechende Benutzerweisungen generell ausgeschlossen sein dürfte.
Aus datenschutzrechtlicher Sicht unabdingbar sind daher – abgesehen von der generellen Gewährleistung der Datensicherheit – die technische und logische Trennung von geschäftlichen und privaten Daten, die Einführung von entsprechenden spezifizierten Nutzungsweisungen für Mitarbeitende sowie die umfassende Regelung des Zugriffs zur Geräteüberprüfung, für Fernwartung oder zur Datenlöschung inklusive transparenter vorgängiger Information der Mitarbeitenden. Hinsichtlich geschäftlich bedeutsamer Inhalte sind Verschlüsselungen und Passwörter unverzichtbar.
Zusammenfassend sind unternehmensseitig zur Risikobegrenzung sowie für die rechtskonforme Umsetzung und den Betrieb sowohl von BYOD- wie COPE-Modellen folgende Maßnahmen zu implementieren und stets dem jeweils aktuellen technischen Stand anzupassen:
Personenbezogene Daten müssen gem Artikel 5 Abs 1 lit f DSGVO in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.
Im Österreichischen Datenschutz-Anpassungsgesetz (DSAG 2018) findet sich in § 54 DSG eine Aufzählung von typischen Maßnahmen, die getroffen werden müssen. Diese können auch für private Organisationen herangezogen werden.
Zur Merkliste hinzufügen
Aus der Merkliste entfernen
Zum Beitrag
