In vielen Unternehmen ist es üblich, dass die Mitarbeiter eigene Geräte für berufliche Zwecke nutzen. Das Stichwort heißt BYOD (Bring Your Own Device). Doch was passiert, wenn es durch so ein Gerät die Sicherheit der Infrastrukur gefährdet ist und die privaten Geräte der Mitarbeiter IT-forensisch untersucht werden müssen? Ist das erlaubt?
Viele Unternehmen mussten die Mitarbeiter ins Homeoffice schicken und waren dadurch auch auf den Einsatz von privaten Geräten angewiesen. In dieser kurzen Zeit war es kaum einem Unternehmen möglich Notebooks für alle Mitarbeiter anzuschaffen. Zusammenhalt war gefragt und wurde auch gelebt. Wer nichts an Ausstattung hatte, der wurde versorgt, wer etwas dazu beigetragen konnte, hat es gemacht. Den es gibt kaum einen Angestellten, der beruflich viel am Rechner sitzt, der zu Hause nicht wenigstens einen Laptop hat. Wenn man sich die Smartphone-Statistiken (lt. Statista) ansieht, dann lag die Zahl ist die Zahl der Smartphone-Nutzer 2019 in Deutschland bei rund 58 Mio. Menschen, Tendenz steigend.
Der Vorteil liegt auf der Hand und dem Unternehmen war geholfen, den so wurden Kosten gespart. Gerade in dieser Zeit, wo jeder Unternehmer den Cent 4x umdreht um das Unternehmen durch die stürmischen Gewässer der Pandemie zu steuern um mit möglichst wenig Schaden zu überleben.
Welche Sicherheitsrisiken verbirgen sich bei Nutzung von privaten Geräten?
Auf ihre IT treffen unterschiedliche Geräte mit unterschiedlichen Programmen, die nicht auf Ihr IT-Sicherheitsnetz abgestimmt sind. Die Kontrolle des Unternehmens bei diesen Geräten ist weitgehendst entzogen. Ein einheitliches IT-Sicherheitslevel ist nicht umzusetzen. Auf diesen Geräten werden auch personenbezogene Daten und Geschäftsgeheimnisse verarbeitet. Im die Anforderungen der DSGVO Art. 32 zu erfüllen muss sich der Verantwortliche einiges Einfallen lassen. Kommt es zu einem Datenschutzvorfall, dann ist der Verantwortliche gem. Art. 33 und Art. 34 DSGVO in der Pflicht und muss den Vorfall aufklären. Es folgt die Verpflichtung den Vorfall der Behörde zu melden, die Betroffenen zu benachrichtigen und er muss Vorkehrungen treffen, damit es zu keinem weiteren Vorfall dieser Art im Unternehmen kommt. Für diese Maßnahmen braucht er Informationen von dem BYOD-Geräten.
Private Geräte – und nun?
Handelt es sich um die üblichen Konstellation – berufliche Geräte – berufliche Untersuchung des Verantwortlichen – ist eine IT-forensische Untersuchung in aller Regel kein Problem. Tritt ein schwerer Vorfalls auf, gibt es keine Alternative. Der Verantwortliche kann sich in diesem Fall gem. EG 49 auf sein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO oder, je nach Fall, auf § 26 Abs. 1 S. 1 oder S. 2 BDSG berufen.
Doch was passiert, wenn auf ein BYOD-Gerät zugegriffen werden muss um den Vorfall zu klären? Handelt es sich um das private Eigentum des Mitarbeiters, kann dieser aus nachvollziehbaren Gründen, etwas dagegen haben, dass das Unternehmen sein privates Gerät untersucht.
Gibt es eine Herausgabepflicht für den Mitarbeiter?
Nein, der Mitarbeiter muss sein Gerät nicht heraus geben. Das Gerät kann aber als Beweisstück beschlagnahmt werden. Das Problem ist, das es bei Datenschutz- und IT Sicherheitsvorfällen oft um Minuten geht, die Gefahr einzudämmen. Ein richterlicher Beschluss auf Beschlagnahmung kommt oft zu spät und die Beweise können noch rechtzeitig beseitig werden. Fakt ist, wenn sich der Mitarbeiter weigert, hat das Unternehmen praktisch keine Chance rechtzeitig an das Gerät zu kommen.
Technische Lösungsansätze
Wird der Einsatz von BYOD Geräte trotz Sicherheits- und Datenschutzbedenken geplant oder umgesetzt, muss eine Strategie erarbeitet werden. Diese setzt sich aus technischen und organisatorischen Maßnahmen zusammen und kann ein Risiko jedenfalls mindern. Im technischen Bereich bieten sich Virtualisierungstechniken und Containerlösungen an. Der Vorteil bei Containerlösungen, es werden private von beruflichen getrennt. Doch das alleine ist zu wenig. Informationen die auf den Workstations oder Laptops verarbeitet, dürfen nur auf den Netzwerklaufwerken des Unternehmens werden gespeichert werden. So räumt man sich für den Notfall einen technischen Zugang auf das Gerät ein, um dienstliche Inhalte im schlimmsten Fall sogar löschen zu dürfen. Auch der Zugriff aus der Ferne auf bestimmte Systemressourcen zum Zwecke IT-forensischer Untersuchungen ist wichtig.
Organisatorische Lösungsansätze
Ein solcher Zugang muss auch rechtlich standhalten sein. Es erfordert einen Abschluss einer tauglichen Nutzungsvereinbarung mit den jeweiligen Mitarbeitern. Weigert sich ein Arbeitnehmer und möchte das Zugriffsrecht nicht einräumen, ist ihm ein Gerät zu stellen. Sonst bekommt das Unternehmen ein Problem mit der erforderlichen Freiwilligkeit, da die genannten Rechtsgrundlagen an ihre Grenzen stoßen, wenn es um private und personenbezogenen Daten geht. Man kann es nicht vermeiden, bei einer IT-forensischen Untersuchung das automatisch mitzuverarbeiten. D.h. nur eine freiwillige Einwilligung für das Vorgehen rechtfertigt den Zugriff auf diese Daten.
Kurz zusammengefasst
Bei BYOD haben wir Probleme mit der IT-Sicherheit, mit den Rechtsgrundlagen, mit dem Zugriff auf die Geräte und mit IT-forensischen Untersuchungen. Werden diese Punkte nicht umgesetzt, muss am Ende das Unternehmen den Schaden tragen. Es muss daher genau überlegt werden, ob es nicht zielführend ist, Geräte den jeweiligen Mitarbeitern zu bereitzustellen. Ist das nicht möglich, dann sind genaue Nutzungsregeln aufzustellen um auf Konfliktsituationen vorbereitet zu sein. u