Der Datenschutz und „Bring your own device“

Egal um welches rechtliche Thema es sich aus dem IT-Bereich handelt, Wilfried Reiners, Rechtsanwalt und Keynote-Speaker bei den STORAGE & DATAMANAGEMENT Technology Solution Days 2012, hat Antworten parat.

Storage-Insider.de: In Ihrer Keynote geht es unter anderem um die rechtliche Notwendigkeit der Datenklassifizierung. Müssen bei der Klassifizierung bestimmte Merkmale erfüllt sein und wenn ja, welche?

Reiners: Bei der Datenklassifizierung werden die Daten in Gruppen mit bestimmten Attributen aufgegliedert. Jede Gruppe ist dabei durch gemeinsame Eigenschaften definiert. Diese können eher technischer Art sein, beispielsweise Datenformate oder eben – unabhängig vom Datenformat – juristischen Bezug haben. Mit der Klassifizierung soll erreicht werden, dass die Daten in einer rasch geeigneten Datenstruktur abgelegt werden. Aus juristischer Sicht sind hier zunächst die Aufbewahrungsfristen des Handels-, Steuer und Arbeitsrechts relevant. Daneben können Branchennormen entscheidend sein.

„Bring your own device“ (BYOD) ist derzeit in aller Munde. Kann es hier für Unternehmen problematisch werden, beispielsweise was gesetzliche Anforderungen an E-Mails angeht?

Reiners: Die wirtschaftlichen Komponenten von BYOD werden gerne in den Vordergrund gestellt und die rechtlichen Konsequenzen nicht bedacht. Dies ist vor allem ein Mittelstandsproblem. Auf Konzernebene sieht das anders aus. Dort lassen sich die CIOs nicht durch private Devices ihr Sicherheitskonzept zerschießen. Rechtlich wird es brisant, wenn Mitarbeiter ihre persönlichen, also in ihrem Eigentum stehenden Devices, beruflich einsetzen. Da in vielen Fällen eine Trennung zwischen privaten und betrieblichen Informationen nicht möglich ist, kann es vor allem zu rechtlichen Problemen beim Datenschutz kommen.

Whitepaper Empfehlung

CIOBRIEFING 01/2020

Object Storage

Was raten Sie Unternehmen, die auf den „Bring your own device“-Zug aufspringen wollen?

Reiners: Am besten ist es, wenn die Firmen die Devices selbst anschaffen und dann mit einer vernünftigen Policy an die Mitarbeiter herausgeben. Möchte ein Unternehmen das private Device eines Mitarbeiters nutzen, empfehle ich den Abschluss einen Mietvertrages, in dem zumindest die elementaren Dinge geregelt sind.