Es ist ein Albtraum für jeden CIO. Aber die Entwicklung lässt sich wohl nicht mehr zurückdrängen. Immer mehr Mitarbeiter nutzen ihre privaten Handys zu beruflichen Zwecken. Für die Unternehmen ist der Trend „Bring your own device“ ein beachtliches Risiko.

Nach einer aktuellen Studie der britischen BT Group und Cisco dürfen rund 50 Prozent der Mitarbeiter in Unternehmen eigene Smartphones oder Computer für die Arbeit nutzen. „And some are still using them even though not allowed“, heißt es in dem Papier. Damit setzen sich die Unternehmen einem erheblichen Risiko aus.

Die Ursache steht in § 9 des Bundesdatenschutzgesetzes (BDSG). Hiernach muss die verantwortliche Stelle, also das datenverarbeitende Unternehmen, die technischen und organisatorischen Maßnahmen treffen, die erforderlich sind, um die in der Anlage des BDSG genannten Anforderungen zu gewährleisten.

Problematisch könnte zum Beispiel die Anlage zu § 9 Satz 1 BDSG sein.

Hier heißt es:

Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.

Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle)Anlage zu §9 Satz BDSG

Laut Branchenverband BITKOM heißt dies, dass die Nutzung durch Unbefugte, wie zum Beispiel die eigenen Kinder die eigenen Kinder, verhindert werden muss. Bei dienstlichen Handys ist diese Trennung für jeden klar und einleuchtend. Doch Hand aufs Herz: Wer lässt seine Kinder nicht mal mit dem eigenen Smartphone spielen. Man kann das gar nicht verhindern, zu groß ist die Neugier. Also wird eine harmlose App installiert, zur Freude des Nachwuchses.

Doch wenn das Handy auch beruflich genutzt wird, kann dies das Unternehmen normalerweise unter keinen Umständen zulassen. Es ist eine Zwickmühle, denn für wirkliche Sicherheit fehlen dem Unternehmen die Kontrollmöglichkeiten. Und wenn sie vorhanden wären – welcher Mitarbeiter lässt gern sein Handy von einem Administrator durchleuchten? Mit der Gefahr, dass dabei auch Privates öffentlich wird. Fotos, Mails, Spiele.

Von einem Mitarbeiter eines Mittelständlers habe ich als Lösung dieses Problems neulich einen ganz eigenen Ansatz gehört: „Ich kaufe mir einfach kein neues Handy. Dann kann ich auch weiterhin keine Mails lesen. Mit dem alten kann ich nur angerufen werden. Das reicht.“ Es ist ein Selbstschutz – auch gegen ein sich umgreifendes Selbstverständnis der Unternehmen, dass Mitarbeiter für alles und jeden jederzeit erreichbar sein müssen. (ftx)