"Die gefühlte Haftungslage hat sich verschlechtert"
Warum BYOD rechtlich äußerst riskant ist
Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
IT-Gesetze abschaffen?
Ist die Abschaffung bestehender Vorgaben wünschenswert, um die Komplexität zu verringern?
REINERS: Ein guter Gedanke. Das Wichtigste für ein Unternehmen ist doch, zu erkennen, welche Gesetze überhaupt relevant sind. In der Regel reduziert sich die Zahl der möglicherweise zur Anwendung kommenden Regelungen um mehr als die Hälfte, weil sie für ein Unternehmen nicht greifen. Schauen wir uns beispielsweise §28 Röntgenverordnung an - eine Norm, die Krankenhäuser und Radiologien betrifft und die Aufbewahrungsdauer für Röntgenbilder regelt. Die Aufgabe, diese innerhalb der Behandlungszeit im Normalfall 30 Jahre lang aufbewahren zu müssen, ist eine Herausforderung, keine Frage. Wer kann Ihnen heute schon sagen, wie Sie digitalisierte Daten drei Jahrzehnte lang zuverlässig vorhalten? Es gibt zwar viele Lösungsanbieter, die das behaupten - ein Blick zurück auf die vergangenen 30 Jahre zeigt aber, welche technischen Veränderungen dieser Zeitraum mit sich gebracht hat. Derzeit bedeutet das für mich noch die "ewige Migration". Um auf die Frage zurückzukommen, ganz generell betrachtet sind wir nicht überfrachtet mit Gesetzen.
Welche rechtliche Bedeutung hat der Trend "Bring your own device" für deutsche Unternehmen?
REINERS: Wenn der Mitarbeiter sein privates Gerät auch in der Firma nutzt, eine sehr große. Das betrifft die Bereiche Haftung, Eigentum an Daten, Datenschutz, Verschwiegenheit, Geheimnisverlust und auch Datenabfluss im Sinne von Know-how-Abfluss. Das Problem ist, dass es keinen "Täter" im eigentlichen Sinne gibt. Es gibt lediglich einen Mitarbeiter, der Unternehmensdaten auf seinem privaten Gerät abspeichert. Viele Unternehmen versuchen, den aufkommenden Problemen mit allerlei liberalen Policies Herr zu werden. Ich kenne aber keine einzige liberale Policy, die das BYOD-Thema in Gänze abdeckt. Die Frage, die sich Unternehmen stellen müssen, lautet: Ist ein Gerät mit einem Anschaffungspreis von unter 1000 Euro das Risiko wert? Ich sage: Nein, nie. Ich bin kein Freund von BYOD. Auch wenn Unternehmen die Vorteile betonen - höhere Sorgfalt seitens des Mitarbeiters im Umgang mit dem Gerät und dessen Sicherheitslevel - empfehle ich immer, die Geräte für die Mitarbeiter anzuschaffen und nicht umgekehrt. Alles andere ist in hohem Maße rechtlich riskant.