Datenschützer warnt vor Risiken bei "Bring your own device"

Der Berliner Datenschutzbeauftragte Alexander Dix hat in seinem Jahresbericht 2012 auf Gefahren beim Anbinden von IT-Geräten, die von Mitarbeitern mitgebracht werden, an die Infrastruktur des Arbeitgebers hingewiesen. Der Trend "Bring your own device" (BYOD) sei mittlerweile "in nahezu allen Unternehmen angekommen", schreibt DIx in dem am Mittwoch vorgestellten, über 200 Seiten langen Report. Meist entzögen sich die mitgebrachten mobilen Geräte wie Smartphones, Laptops oder Tablet-Rechner aber dem IT-Management der Firma. Ihr Einsatz berge daher unter anderem datenschutzrechtliche und technische Risiken.

Die vorhandene Informationstechnik gelte in Unternehmen und der öffentlichen Verwaltung häufig als "veraltet und dadurch zu langsam", erklärt Dix die Attraktivität von BYOD. Zudem würden die notwendigen Sicherheitsmaßnahmen in einer Institution "als Behinderung" wahrgenommen. Die Mitarbeiter schätzten es auch, berufliche und private Aufgaben auf ihren Geräten zu verbinden. Eine Einrichtung wiederum, die dieses Verfahren unterstütze, gelte als flexibel sowie attraktiv und könne Geld für Hardware sparen.

Eine wesentliche Bedrohung sieht der Datenschützer aber im unberechtigten Zugriff auf mitgebrachte Geräte und darauf lokal gespeicherte Daten. Als mögliches Szenario malt er einen Diebstahl oder den Einsatz von Schadsoftware aus. Die Integration der alltäglichen Gebrauchsgegenstände in die Netzwerke des Arbeitgebers könne zudem Angriffe auf diese Infrastrukturen erleichtern. Vorstellbar seien unerlaubte Zugriffe auch auf dort abgelegte Informationen sowie das Einschleusen von Viren oder Trojanern. Risiken könnten auch von Apps ausgehen, die Dienste in der Cloud anböten und damit von vornherein teils über weitreichende Rechte verfügten. Dies habe schon zu manchem Skandal geführt, da etwa komplette Adressbücher an Unbefugte übertragen worden seien.

Sollten Arbeitgeber trotzdem BYOD unterstützen wollen, mahnt Dix eine Gesamtstrategie zum Einschätzen und Bewältigen der damit verknüpften Gefahren an. Es empfehle sich, unter Einbezug des Betriebsrats in einer schriftlichen Vereinbarung rechtliche und technische Details sowie die Freiwilligkeit beider Seiten zu regeln. Festgehalten werden sollte darin etwa, wie zwischen privaten und geschäftlichen Daten getrennt werde und wer wann in welcher Form Zugriff auf die Informationen habe.

Es sei auch zu klären, wann und wie Daten gelöscht werden könnten. Nutzer müssten sich gegenüber dem zentralen System am besten über eine Chipkarten und eine PIN authentifizieren, Daten sollten nur verschlüsselt gespeichert und übertragen werden. In der öffentlichen Verwaltung müsse BYOD generell die Ausnahme bleiben. Abzuraten sei auch vom Einsatz von Tablets und Smartphones in der medizinischen Behandlung.

Im Bereich der öffentlichen Sicherheit kritisiert der Bericht vor allem eine fehlerhafte Umsetzung der gesetzlichen Bestimmungen für die Anti-Terror-Datei (ATD) in der Hauptstadt. Bei einer erneuten Überprüfung der Datenbank beim Berliner Polizeipräsidenten und beim Verfassungsschutz sei herausgekommen, dass die internen Datenschutzbeauftragten beider Behörden die vorgesehenen anlasslosen Kontrollen nicht durchgeführt hätten. Eingaben in das System seien so nicht auf Richtigkeit und Aktualität geprüft worden. Beiden Einrichtungen sei zudem unbekannt gewesen, wie Datensätze gesperrt werden könnten, rügt Dix. Offen geblieben sei, inwiefern eine elektronische Auswertung der beim Bundeskriminalamt (BKA) gespeicherten Protokolldaten ermöglicht werden könne.

Beim Polizeipräsidenten habe die Kontrolle zudem ergeben, dass Verwaltungsvorschriften zur einheitlichen Auslegung unbestimmter Rechtsbegriffe des ATD-Gesetzes nicht vorhanden beziehungsweise nicht bekannt seien. Die Pflicht zur Kennzeichnung bestimmter Daten wie der Telefonnummern, die mithilfe eines IMSI-Catchers ermittelt worden seien, habe die Behörde zudem nicht eingehalten.

Die im Herbst eingerichtete Neonazi-Datei kritisiert der Report als "ideenlose Imitation der Anti-Terror-Datei". Ungeachtet des dringenden Erfordernisses, den Rechtsextremismus zu bekämpfen, bestünden Bedenken gegen die Notwendigkeit der Errichtung dieser zusätzlichen zentralen Datenbank. Die Fehlerquellen bei der NSU-Fahndung seien bisher nicht ausreichend analysiert worden; unklar bleibe, in welchem Maß Sicherheitsbehörden gesetzliche Eingriffsbefugnisse fehlerhaft vollzogen hätten. Insgesamt bestünden gegen die Initiative ähnliche verfassungsrechtliche Einwände wie gegen das ATD-Gesetz. Es bestehe etwa die Gefahr, dass den Betroffenen zu Unrecht ein bestimmtes Gedankengut unterstellt werde.

Dix moniert weiter, dass entgegen eines Beschlusses des Abgeordnetenhauses die stigmatisierenden Hinweise "geisteskrank" und "Ansteckungsgefahr" wieder ins Berliner Polizeisystem eingeführt worden seien. Er begrüßte dagegen einen insgesamt zurückhaltenden Einsatz von Videoüberwachung an Schulen. Der Bericht gibt zudem unter anderem Hinweise auf vermeidbare Fehler von Unternehmen, wenn die Datenschutzaufsichtsbehörde klingelt, und macht Vorschläge zur Verbesserung der laufenden EU-Datenschutzreform. Außerdem kritisiert Dix die Flut von Funkzellenabfragen durch die Strafverfolgungsbehörden. Die massenhafte Auswertung von Handy-Daten sei zum alltäglichen Ermittlungsinstrument geworden, obwohl sie eigentlich nur zurückhaltend eingesetzt werden sollte. (jk)