Recht: Juristische Aspekte von Bring Your Own Device

Schwer zu trennen

Bring Your Own Device, also die Integration privater mobiler Endgeräte in die unternehmenseigene IT-Struktur, hat sich im Alltag nicht selten zu einem Albtraum für IT-Administratoren entwickelt. Zwar sind die Devices oft smart und einfach in der Hand-habung; bei der Integration der Geräte stellen sich aber zahlreiche rechtliche und technische Fragen. Damit verbunden ist ein großer Regelungs- und Verwaltungsaufwand, der die vermeintlichen Vorteile des BYOD wie Kostenersparnis und Effizienzsteigerung oft deutlich übersteigt. In diesem Beitrag zeigen wir einige der typischen Fragen bei der praktischen Umsetzung von BYOD im Unternehmen.
Der Trend zu Bring your own Device hat sich nicht selten zu einem Albtraum für IT-Abteilungen entwickelt. Zwar sind die Devices oft smart und einfach in der ... (mehr)

Schon bei privat genutzten Unternehmensgeräten ist der Zugriff auf die Geräte nur in engen Grenzen zulässig. Umso geringer sind die Zugriffsmöglichkeiten bei rein privaten Geräten, die auch betrieblich genutzt werden. Ein gezielter Zugriff des Unternehmens auf private Daten ist unzulässig und auch nicht durch §32 BDSG (Bundesdatenschutzgesetz) gedeckt.

So lässt sich der private Zugriff auch kaum durch eine entsprechende Einwilligung in eine BYOD (Bring Your Own Device)-Policy oder eine Betriebsvereinbarung regeln. Denn eine formelle Einwilligung des Arbeitnehmers wäre im Zweifel unzulässig, da nicht vollkommen freiwillig, und auch eine Betriebsvereinbarung wäre nicht geeignet, die Einwilligung des Mitarbeiters zu ersetzen. Regeln und kontrollieren lässt sich somit nur der Zugriff auf betriebliche Daten. Zudem sollte das Unternehmen in einer Vereinbarung regeln, wie mit privaten Daten umzugehen ist, die zufällig zur Kenntnis genommen werden.

Bei Administratoren besteht oft die Befürchtung, sich strafbar zu machen, wenn im Auftrag des Unternehmens privat genutzte Geräte der Mitarbeiter gescannt und überwacht werden, etwa um internen Sicherheitsrichtlinien zu genügen. Die Antwort ist nicht immer leicht – gerade dann, wenn eine vermeintliche Einwilligung des Mitarbeiters vorliegt, die am Ende aber rechtlich unwirksam ist. Allgemein gilt: Die private Kommunikation ist und bleibt privat, ein gezielter Zugriff hierauf kann unter Umständen nach §206 StGB (Strafgesetzbuch) eine Straftat darstellen. Wenn es technisch und organisatorisch nicht umsetzbar ist, die Geräte so zu administrieren, dass die private Kommunikation geheim bleibt, ist BYOD kein gangbarer Weg.

Private Daten gehören immer dem Inhaber des privaten Geräts. Das Löschen von erkennbar privaten Daten auf dem privaten Device des Mitarbeiters ist unzulässig und kann zu Schadensersatzansprüchen führen und bei Vorsatz sogar eine Straftat nach §303 a StGB darstellen.

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2020