Sie befinden sich hier:

Private Nutzung dienstlicher Smartphones

Die Nutzung eines dienstlich beschafften Smartphones zu privaten Zwecken sollte untersagt werden, da dies häufig aufgrund von fehlenden Kontrollmöglichkeiten ein Sicherheitsrisiko darstellt.

Eine Nutzung privater Geräte für den Zugriff auf dienstliche IT-Systeme macht personenbezogene Daten eines Unternehmens bzw. einer Behörde auf Geräten zugänglich, die nicht ihrer vollen Kontrolle unterliegen. Dies wirft eine Vielzahl von Gefahren auf: Es ist beispielsweise häufig nicht möglich, auf dem privaten Gerät ausreichende Sicherheitsmaßnahmen zu ergreifen. Außerdem kann kaum die Nutzung durch andere Personen, wie z.B. Familienmitglieder und Freunde, unterbunden werden, womit eine unbefugte Offenbarung von schutzwürdigen personenbezogenen Daten möglich ist. Auch der Austausch von Geräten und die datenschutzgerechte Entsorgung sind nicht kontrollierbar.

Die Nutzung von Privatgeräten ist daher nicht zu empfehlen. Sollte ein Unternehmen oder eine Behörde trotzdem die Privatnutzung dienstlicher Smartphones gestatten, muss zumindestens Folgendes gewährleistet sein:

  • Es muss sichergestellt sein, dass eine Trennung zwischen privaten Anwendungen und Daten sowie dienstlichen Anwendungen und Daten erfolgt. So darf z.B. eine private App nicht auf das dienstliche Adressbuch zugreifen können. Auch die Datenablage muss in getrennten Verzeichnissen erfolgen.
  • Bei der Nutzung von Schnittstellen wie Bluetooth muss sichergestellt sein, dass der Kommunikationspartner keinen Zugriff auf dienstliche Daten erhält.
  • Die Speicherung dienstlicher personenbezogener Daten muss verschlüsselt erfolgen. Dabei ist darauf zu achten, dass private Daten und dienstliche Daten separat verschlüsselt vorgehalten werden, so dass auch ein Administrator der verantwortlichen Stelle nicht auf die privaten Daten des Nutzers zugreifen kann.
  • Scheidet ein Mitarbeiter aus, müssen alle privaten (personenbezogenen) Daten von dem Gerät gelöscht werden.
  • Es muss möglich sein, sämtliche dienstlichen personenbezogenen Daten auf dem Gerät aus der Ferne zu löschen, wenn das Gerät gestohlen wurde oder verloren gegangen ist.
  • Es muss schriftliche Dienstanweisungen/Dienstvereinbarungen/Richtlinien geben, wie mit den Geräten und Zugriffsmöglichkeiten zu verfahren ist und welche Pflichten für den Nutzer bestehen.
  • Dem Nutzer ist die Umgehung der eingerichteten Sicherheitsmaßnahmen (z. B. mittels Jailbreaking) zu untersagen.
nach oben