Mobiles Arbeiten ist an sich sehr praktisch und ermöglicht den Mitarbeitern mehr Flexibilität. Heutzutage müssen auch Mitarbeiter in der öffentlichen Verwaltung häufig von unterwegs oder im Homeoffice auf Dokumente und Fachanwendungen zugreifen. Viele verwenden dafür und um mit Kollegen zu kommunizieren gerne ihr privates Smartphone oder Tablet. Selbst wenn der Arbeitgeber dienstliche Geräte bereitstellt, verwenden die meisten Mitarbeiter lieber ihre eigenen. Denn oftmals ist die Hard- und Software ihres Arbeitgebers veraltet, außerdem möchte niemand mehrere Smartphones auf einmal mit sich führen. Mit BYOD (Bring Your Own Device), der Integration privater Endgeräte in die IT-Struktur der Behörden, gehen Länder, Städte und Gemeinden ohne Regelungen große Risiken ein. Wir klären hier über mögliche Fallstricke auf, die bei BYOD in rechtlichen und technischen Fragen lauern können.
Keine offizielle Regelung
Falls die Behörde die Nutzung privater Geräte nicht offiziell geregelt hat, gelten die gesetzlichen Bestimmungen. Daraus folgt wiederum eine direkte Auswirkung auf die Haftung: Da die Nutzung des Geräts für die Behörde erfolgt und sie darüber in Kenntnis gesetzt wurde, ist sie auch dienstlich veranlasst. Das bedeutet, dass Länder, Städte und Gemeinden grundsätzlich dafür aufkommen müssen, sollte ein solches Gerät während der üblichen Arbeitszeit beschädigt werden oder verloren gehen. Ein eventuelles Mitverschulden des Mitarbeiters ist aus Gründen der „beschränkten Arbeitnehmerhaftung“ ausgeschlossen. Verbindliche Regelungen und Nutzungsvereinbarungen für den Einsatz von Privatgeräten am Arbeitsplatz sind also dringend notwendig.
Keine ausreichenden Sicherheitsvorkehrungen und kein Datenschutz
Neben diesen rechtlichen Problemen bringt das BYOD-Modell auch zahlreiche sicherheitstechnische und datenschutzrelevante Fallstricke mit sich. Veraltete Betriebssysteme, unsichere WLAN-Verbindungen und die Nutzung von Apps, die es mit der Privatsphäre nicht so genau nehmen, sind häufig Einfallstore für Cyber-Kriminelle und Gründe für die Verletzung der DSGVO. Für die informelle dienstliche Kommunikation innerhalb von Behörden wird beispielsweise häufig WhatsApp genutzt. Die App liest die Adressbücher der Mitarbeiter aus und kommt dadurch an Kontaktdaten von Kollegen und Lieferanten. Darüber hinaus erfasst WhatsApp auch Metadaten, etwa GPS-Daten, Absturzberichte und Nutzerverhalten. Viele Länder und Kommunen haben für WhatsApp und Co. keine Nutzungsregelungen aufgestellt oder dulden sie stillschweigend.
Keine klare Trennung zwischen dienstlich und privat
Wenn dienstliche und private Daten und Anwendungen auf dem Smartphone nicht strikt voneinander getrennt sind, stehen die IT-Verantwortlichen vor einem weiteren Problem: Sie verlieren auf einem Privatgerät die Kontrolle über dienstliche Daten und Systeme. Wenn dann nach einem erfolgreichen Cyber-Angriff oder dem Verlust des Gerätes schnell sensible Informationen remote gelöscht werden müssen, stellt dies ein großes Problem dar.
Eine BYOD-Strategie sollte nur verfolgt werden, wenn es eine klare und sichere Trennung von privaten und dienstlichen Daten sowie Anwendungen gibt. Dennoch wäre es falsch, die Nutzung des eigenen Smartphones zu verbieten, denn das wäre für die Mitarbeiter demotivierend und ineffizient.
SecurePIM – die Container-Lösung für sicheres mobiles Arbeiten
Eine Container-Lösung wie SecurePIM Government sorgt dafür, dass der dienstliche und der private Bereich auf dem Mobilgerät des Mitarbeiters strikt voneinander getrennt werden. Daten und Dokumente werden nach höchsten Standards verschlüsselt gespeichert und auch Ende-zu-Ende verschlüsselt übertragen. Damit schützen sich Behörden und Ämter sicher vor Cyber-Angriffen und garantieren gleichzeitig die Einhaltung der DSGVO.