BYOD und GDPdU

Gerichte bewerten Firmendaten auf Privatgeräten kritisch

Christiane Pütter ist Journalistin aus München. Sie schreibt über IT, Business und Wissenschaft. Zu ihren Auftraggebern zählen neben CIO und Computerwoche mehrere Corporate-Publishing-Magazine, vor allem im Bereich Banken/Versicherungen.
CIOs müssen sich stärker um die Aufbewahrung digitaler Unterlagen in den privaten Handhelds der Mitarbeiter kümmern. Zumindest in den USA zeichnet sich ab, dass der BYOD-Trend ("Bring your own device") auch Richtern bewusst wird. In Deutschland betrifft das beispielsweise die GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen).
Auf welchen privaten Handhelds liegen welche geschäftlichen Daten - solche Fragen müssen Unternehmen beantworten können.
Auf welchen privaten Handhelds liegen welche geschäftlichen Daten - solche Fragen müssen Unternehmen beantworten können.
Foto: Realisature 123D/Shutterstock.com

Den Begriff Narrenfreiheit will Ajith Samuel nicht verwenden. Letztlich aber spricht der Vice President Process InnovationInnovation von der Software-Firma Exterro darüber - über die bisherige Praxis von US-amerikanischen Gerichten, Unternehmen beim Thema DatenschutzDatenschutz ein gewisses Herausreden auf die Komplexität der IT zuzugestehen. Das sei allerdings immer seltener der Fall, so Samuel in seinem Beitrag "Bracing for the E-discovery dangers of BYOD" (für "Bring your own device") auf cmswire.com. Alles zu Datenschutz auf CIO.de Alles zu Innovation auf CIO.de

Denn der Trend, wonach Mitarbeiter Unternehmensdaten zunehmend auf ihren privaten Geräten nutzen, sei in den Köpfen der Richter angekommen. Samuel geht davon aus, dass sich die Rechtsprechung updaten wird. In den USA betrifft das vor allem E-Discovery, in Deutschland beispielsweise die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU).

Samuel sieht Unternehmen dringend gefordert, Policies und Richtlinien für den Umgang mit BYOD aufzustellen. Dafür müssen sich CIO, Rechtsabteilung und Management zusammensetzen. Samuel rät, zunächst einmal folgende Daten zu unterscheiden:

1. Unternehmensdaten: das betrifft sämtliche Informationen (Mails, Dokumente, Präsentationen etc.) dienstlicher Art,

2. private Daten: alle Dokumente, Fotos etc. die rein privater Natur sind sowie

3. vom Nutzer erstellte Daten: alle Notizen, Kontaktlisten etc., die der Anwender selbst erstellt hat und

4. vom Gerät erstellte Daten: Informationen, die das Gerät automatisch erstellt, etwa Zeitpunkt des Ein- und Ausschaltens, Setting-Informationen und anderes.

Wie Samuel beobachtet, konzentrieren sich Entscheider oft nur auf Unternehmensdaten und auf nutzergenerierte Daten. Es gebe jedoch auch Fälle, in denen vom Gerät erstellte Daten wichtig seien. Unternehmen sollten diese dokumentieren können.

Checkliste für den IT-Chef

Der IT-Chef muss eine Menge Informationen einholen: Die Anzahl der privaten SmartphonesSmartphones, TabletsTablets und anderer Geräte samt der jeweiligen Modelle, die Anwendungen und ihre jeweiligen Versionen, die Plattformen, die der einzelne Mitarbeiter nutzt, und Anderes. Die Dinge werden zusätzlich kompliziert durch die Frage nach dem "Aufenthaltsort" der Daten. Denn diese befinden sich nicht unbedingt im Gerät, möglicherweise liegen sie in der Cloud oder auf einem separaten ServerServer. Alles zu Server auf CIO.de Alles zu Smartphones auf CIO.de Alles zu Tablets auf CIO.de

Wie ein Unternehmen seine BYOD-Richtlinien ausgestaltet, hängt von verschiedenen Faktoren ab. Dazu zählen folgende: wie setzt sich die Belegschaft zusammen (Kopfarbeiter, Kreativarbeiter, gewerblich-technischer Bereich etc.) und welche Bedürfnisse in puncto IT leiten sich daraus ab, als welche Rechtsform operiert das Unternehmen, welche Compliance-Vorgaben hat es zu erfüllen und, natürlich, mit welcher Art Daten arbeitet es, nutzt es ausschließlich eigene IT-Ressourcen oder arbeitet es mit externen Providern.

Für Samuel geht es nicht darum, das Mitbringen beziehungsweise die dienstliche Nutzung eigener Geräte zu verbieten. CIOs sollten eine differenzierte Nutzung erlauben. Beispielsweise kann es zulässig sein, dass ein Mitarbeiter vom privaten Handheld Mails verschickt - aber verboten, Meetings aufzuzeichnen. Auch kann es die Arbeit der unternehmenseigenen Datenschützer erleichtern, wenn die Belegschaft die nicht-privaten Daten regelmäßig in vorgegebenen Orten speichert.

Samuel warnt davor, dieses viel diskutierte Thema auf die lange Bank zu schieben. Im Zweifelsfalle dürften Gerichte davon ausgehen, dass die Problematik bekannt ist - und die Entscheider einen Plan entwickelt haben.

Zur Startseite