Bring your own device
© Billion Photos / Shutterstock

„Bring your own Device“: Worauf Behörden achten müssen

Ein Blick auf rechtliche Besonderheiten und die Container-Lösung SecurePIM

Immer mehr Beschäftigte im Public Sector möchten mobil arbeiten. Und auch Behörden und Verwaltungen haben während der Corona-Krise den hohen Stellenwert erkannt, den mobiles Arbeiten mit sich bringt. Rechtsanwalt Maximilian Schumann und CTO Dr. Hermann Granzer sprachen darüber, worauf bei der Nutzung von privaten Geräten für dienstliche Zwecke (engl. „Bring your own device“, BYOD) aus rechtlicher und technologischer Sicht zu achten ist.

Diane Schöppe

Rechtliche Besonderheiten 

Die Nutzung eines privaten Smartphones oder Tablets für den dienstlichen Gebrauch geschieht nicht im rechtsfreien Raum, sondern bringt rechtliche Herausforderungen mit sich. Und das auf verschiedenen Ebenen. Beachtet werden müssen Datenschutz, Datensicherheit, Urheberrechte/Lizenzen, Arbeitsnehmerschutz sowie Arbeits- und Urlaubszeit der Mitarbeiterinnen und Mitarbeiter, fasst Maximilian Schumann, IT- und Datenschutzrechtler bei TaylorWessing, zusammen. 

Unter den Datenschutz fallen die DGSVO-Pflichten des Arbeitgebers ebenso wie die Eigentumsrechte der Arbeitnehmerinnen und Arbeitnehmer. Im persönlichen Bereich findet die DGSVO zwar keine Anwendung, sie wird jedoch auf die Daten, die der Beschäftigte im dienstlichen Umfeld verarbeitet, angewendet. Laut Gesetz sind Behörden und Verwaltungen also weiterhin für den Datenschutz und die Weiterverarbeitung der Daten verantwortlich. Denn sie entscheiden über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten.

Datenschutz & Datensicherheit

Datenschutz geht einher mit Datensicherheit: Mögliche Gefahren müssen also berücksichtigt und bedacht werden. BYOD bietet zwar Angriffsfläche für Cyberattacken und Hackerangriffe. Diese stehen jedoch nicht im Vordergrund. Datensicherheit fängt im Fall BYOD schon viel früher an: Dadurch, dass sich das Gerät in einem häuslichen Umfeld oder am Strand befindet, können potentiell unbefugte Dritte Kenntnisse von den Daten erlangen, so Rechtsanwalt Schumann. Daraus ergibt sich die Pflicht, dass die Behörde umfangreiche Schutzmaßnahmen zu ergreifen und Vorfälle auch melden muss. Geregelt ist das durch die DGSVO und andere rechtliche Vorschriften. 

Nicht zu unterschätzen ist auch die Sensibilisierung der Beschäftigten zu den Belangen des Datenschutzes und der IT-Sicherheit. Beschäftigte sollten angeleitet und regelmäßig geschult werden. Denn, wie hört man es momentan in vielen digitalen Austauschformaten, in denen es um die Zukunft der Verwaltung geht: Digitalisierung ist nichts ohne den Menschen

Dokumentieren & Speichern

Ein weiteres wichtiges Thema ist die Dokumentation, Speicherung und Aufbewahrung von Daten. Dazu sind Behörden und Verwaltungen durch viele Gesetze und Verordnungen verpflichtet, etwa durch das Verwaltungs­verfahrens­gesetz (VwVfG) und die Aktenordnung der Länder. 

Für die Führung der dienstlichen Akten und die revisionssichere Dokumentation und Aufbewahrung heißt das: Die Behörde ist und bleibt verantwortlich – und daher können Akten nicht ausschließlich auf private Geräte ausgelagert werden. Beim Einsatz privater Geräte zu dienstlichen Zwecken ist immer sicherzustellen, dass die Behörde auf die dienstlichen Unterlagen zugreifen kann.

Urheberechte & Softwarelizenzen

An die Rechte, die Urheberinnen und Urheber an ihren Schöpfungen haben, und an Lizenzen für Softwarenutzung denkt man sicher nicht als Erstes, wenn es um BYOD geht. Und doch gilt es, auch sie zu beachten. Programme, die Mitarbeiterinnen und Mitarbeiter für persönliche private Zwecke installiert haben, dürfen nicht ohne Weiteres für die Zwecke der Öffentlichen Verwaltung genutzt werden. Wollen Behörden und Verwaltungen diese nutzen, müssen sie Business-Lizenzen erwerben. Werden Urheberrechte verletzt, können rechtlich gesehen sowohl gegen Beschäftigte, die diese dienstlich nutzen, als auch gegen die Behörde Ansprüche geltend gemacht werden. 

Die juristischen Anforderungen sind lösbar

Die gute Nachricht ist: Den rechtlichen Anforderungen kann so begegnet werden, dass sowohl der Arbeitgeber als auch die Beschäftigten, die ihr privates Smartphone oder Tablet beruflich nutzen, abgesichert werden. Etwa mit Hilfe einer Container-Lösung: Bei der Container-Lösung wird das private Gerät des Mitarbeiters von den dienstlichen Daten getrennt. Das bedeutet auch, das die dienstlichen Vorschriften für Geräteverlust, Virenschutz und betriebliche Spionage nur auf die dienstlichen Daten angewandt werden. Das private Gerät unterliegt also nicht diesen Vorschriften und bleibt damit ganz in den Händen des Mitarbeiters“, erklärt Dr. Hermann Granzer, CTO bei Virtual Solution. Dies erhöhe letztendlich die Akzeptanz durch die Beschäftigten – der Arbeitgeber kann weder auf die privaten Dingen raufschauen noch eingreifen. 

SecurePIM trennt beruflich von privat

Eine Lösung, die auf der Container-Technologie basiert, ist SecurePIM. In ihr sind mehrere Funktionen integriert. Die Kalenderfunktion und die Kontaktfunktion synchronisieren sich automatisch mit der Exchange-Lösung, die die Behörde verwendet. Darüber hinaus gibt es eine Notizfunktion, einen sicheren Browser, eine Dokumentenfunktion, eine Kamera, verschlüsselte Telefonie und einen Messenger. Kurz gesagt: SecurePIM ist eine mobile Office-Lösung.

Der Container sichert diese Office-Lösungen bis zum Standard VS-NfD ab. Das heißt, mittels der Lösung wird die digitale Welt der Nutzerinnen und Nutzer in genau zwei Welten aufgeteilt: Einerseits in die dienstliche Welt, andererseits in eine private Welt – und das alles auf einem Gerät!

Auf der privaten Ebene können Beschäftigte alle Apps verwenden und alle Einstellungen vornehmen, so wie es ihren Vorstellungen entspricht. Die Nutzung der privaten Apps hat keinen Einfluss auf die Sicherheit der dienstlichen Daten. Damit ist diese Lösung DSGVO-konform, es kann VS-NfD sicher kommunizieren werden und außerdem ist sie integraler Bestandteil einer Bring-your-own-Device-Strategie.

So erhöhen Sie die Passwortsicherheit in Ihrer Behörde

Wie Sie schwache Passwörter erkennen, verhindern und starke Passwörter durchsetzen

Sichere Erkennung mit PFIRP

PFIPR – das Privacy Friendly Identity Recognition Protocol ist ein Meilenstein. Was macht das Protocol einzigartig?