Datenschutz im Umgang mit Smartphones

Mobile Devices und Bring Your Own Device: Wildwuchs bringt Unternehmen in Schwierigkeiten

Die Vorteile der mobilen Arbeit mit Smartphones und Laptops liegen auf der Hand: erhöhte Verfügbarkeit, schnellere Reaktionszeiten, größere Flexibilität und damit einhergehend eine größere Zufriedenheit der Mitarbeiter. Doch die Nutzung dieser Mobile Devices birgt auch Gefahren für Datenschutz und Informationssicherheit.

Viele Risiken, die hierbei existieren, sind grundsätzlich nicht neu: Neben Diebstahl und Verlust des Geräts sind es vor allem Schadprogramme und die unsachgemäße Handhabung, die zu einem Vertraulichkeitsverlust sensibler Mitarbeiterdaten führen können und damit auch datenschutzrechtlich relevant sind. Aber auch die Vermischung von privaten und dienstlichen Daten ist in diesem Zusammenhang nicht unproblematisch.

Während es für Desktop- und mobile PCs (Laptops/Notebooks) schon umfangreiche und etablierte Verfahren und Produkte gibt, um die Datensicherheit zu gewährleisten, stehen diese für Smartphones und Tablets noch aus. Denn die zurzeit verfügbaren Smartphones sind in der Regel für Konsumenten und deren Bedürfnisse entwickelt und sollen eher durch Features und Benutzerfreundlichkeit als durch Sicherheit begeistern. Auf zahlreiche sicherheitstechnische Anforderungen wie zum Beispiel die Verschlüsselung des Datenspeichers, den Einsatz von Firewall und Virenscanner sowie komplexe Beschränkungen von Zugangsrechten haben die Smartphone-Hersteller bislang noch nicht oder nur unvollständig reagiert (Blackberry bildet hierbei teilweise eine Ausnahme). Somit wurden viele Geräte an den Sicherheitsbedürfnissen der Unternehmen vorbei entwickelt.

Umso wichtiger ist es, dass Unternehmen, die mobile Personalarbeit einführen oder erlauben möchten, entsprechende Regelungen in Form von Organisationsanweisungen und Betriebsvereinbarungen sowie technische Maßnahmen zur IT-Sicherheit treffen, die die Sicherheitsrisiken mindern, wenn sie sie auch nicht eliminieren können. Dies ist auch – oder insbesondere – bei einer „Bring your own Device“-Strategie zu beachten (BYOD), bei der Mitarbeiter ihre privaten Endgeräte dienstlich nutzen dürfen. Zum Teil wird auch ein „inoffizielles“ BYOD an der IT-Abteilung und der IT-Sicherheit vorbei „eingeführt“, indem sich Mitarbeiter E-Mails auf Ihre Smartphones weiterleiten, Internetkalender zur Teamkoordination oder Cloud-Speicher für die Ablage und den Austausch von Dateien nutzen.

Mobile Devices werden demnach an den Sicherheitsanforderungen vorbei entwickelt und zum Teil in den Unternehmen ohne Beteiligung der Sicherheitsverantwortlichen eingeführt. Es ist aber unumgänglich, dass Unternehmen nicht nur verbindliche Richtlinien schaffen, sondern die Mitarbeiter auch für die sicherheitstechnisch und datenschutzrechtlich relevanten Themen sensibilisieren. Denn viele notwendige Maßnahmen sind – mangels technischer Lösungen noch stärker als bei anderen Geräten – durch den Mitarbeiter selbst umzusetzen. Neben Präsenzschulungen durch die IT-Abteilung oder den Datenschutzbeauftragten sind E-Learning-Lösungen denkbar, mit denen eine kontinuierliche Sensibilisierung erreicht werden kann, da die Informationen laufend aktualisiert werden.

Fazit: Bevor Mobile Devices und BOYD schleichend im Unternehmen Einzug halten, sollten über entsprechende Einführungskonzepte und Schulungen die Wahrung der Sicherheit und des Datenschutzes sichergestellt werden. Weiteres unter

Communic@tion