BYOD – Mehr als nur ein Trend?
Bei BYOD denkt der ein oder andere vielleicht an eine typische Abkürzung aus der Jugendsprache. Dabei steht BYOD für den Trend, bei dem Mitarbeiter ihre eigenen mobilen Endgeräte wie Notebooks, Tablets oder Smartphones für geschäftliche Tätigkeiten nutzen – Bring your own Device. Außerhalb von Unternehmen kommt BYOD beispielsweise in Schulen oder Universitäten zum Einsatz.
Sowohl für Anwender als auch Unternehmen ergeben sich eine Reihe von Vorteilen. Anwender bzw. Angestellte benötigen nur noch ein Gerät für die berufliche sowie die private Nutzung. Unternehmen hingegen sparen sich die Anschaffung von IT-Ausstattungen, die je nach Größe des Unternehmens eine beachtliche Summe ausmachen kann.
Was sollte man beachten?
Für den Datenschutz und die Sicherheit der Unternehmens-IT stellt BYOD ein klares Risiko dar, welches so manchen IT-Sicherheitsbeauftragten ins Schwitzen bringt. Beispielsweise können Daten auf jenen privaten Geräten gespeichert und verarbeitet werden, die Kontrolle dieser Geräte ist nur schwer umsetzbar. Meist entziehen sich die privaten Geräte dem IT-Management, mit dem der Arbeitgeber die eigenen informationstechnischen Geräte verwaltet und kontrolliert.
Um diese Sicherheitslücken zu schließen, sollten die Geräte zum einen mit spezifischen Anwendungen bzw. mit gesonderter Software ausgestattet werden, zum anderen sollten dem Anwender Verhaltensregeln für den Umgang mit privaten Geräten im beruflichen Umfeld an die Hand gegeben werden.
Neben den technischen Fallstricken lauern auch rechtliche Gefahren, denen man sich bewusst sein sollte. Wer also seinen Mitarbeitern BYOD erlaubt, benötigt spezielle Richtlinien, in denen der Arbeitgeber klar formuliert, was der Mitarbeiter darf und was nicht. Ebenso muss geklärt werden, welche Sicherheitsprogramme auf dem privaten Laptop oder Handy installiert sein müssen, welche Zugriffsmöglichkeiten dem Arbeitgeber gewährt werden und wer im Zweifel bei Beschädigungen der Geräte für die Kosten aufkommt.
- Mitarbeiter müssen Verschlüsselung, einen Passwortschutz und einen Virenscanner auf den Privatgeräten installieren.
- Mitarbeiter dürfen berufliche E-Mails nicht an ihr Privatkonto weiterleiten.
- Mitarbeiter dürfen keine Daten aus dem Firmennetzwerk herunterladen und speichern
- Was passiert, wenn ein Mitarbeiter aus dem Unternehmen austritt
- Mitarbeiter dürfen ihre Geräte nur nutzen, wenn sichergestellt ist, dass niemand mitliest. Dies gilt im Übrigen auch unabhängig von BYOD. Wenn man sich allerdings die Mitreisenden, schwerbeschäftigten und überall arbeitenden Kollegen im Zug oder im Flughafen so anschaut, scheint dies speziell bei klassischen Unternehmensberatungen oder großen Konzernen noch nicht angekommen zu sein…
Die Mitarbeiter müssen den Regeln übrigens schriftlich zustimmen und sich verpflichten, diese einzuhalten. Bei Unternehmen mit einem Betriebsrat sollte dieser unbedingt zu Beginn der Einführung von BYOD hinzugezogen werden, denn hier braucht es eine Betriebsvereinbarung, die BYOD regelt.
Wie lässt sich BYOD mit dem Thema Datenschutz vereinen?
Zuerst einmal sei klargestellt: Datenschutz, also die Daten zu schützen, mit denen die Firma arbeitet, ist Chefsache. Dies gilt besonders, wenn es sich um personenbezogene Daten wie Kunden- oder Mitarbeiterkontakte handelt. Diese Verantwortung hat der Unternehmen auch dann, wenn seine Mitarbeiter im Rahmen eines BYOD-Konzeptes ihre eigenen mobilen Endgeräte nutzen. Dies heißt für den Unternehmer, er muss geeignete technische sowie organisatorische Vorkehrungen zum Thema Datenschutz treffen, wenn er seinen Mitarbeitern BYOD erlaubt.
Eine Möglichkeit ist, dass man für Mitarbeiter, die auf Daten des Firmenservers zugreifen wollen, einen s.g. Virtual-Private-Zugang (VPN) anbietet, denn Daten sollten immer auf den Firmenservern bleiben. Dieser VPN Zugang sollte dann technisch so eingerichtet sein, dass die Mitarbeiter die Daten einsehen und auch bearbeiten können, aber eben nicht runterladen können. Vereinfacht bedeutet dies: Der Zugriff auf den Firmenserver ist mittels VPN nur temporär möglich. Sobald die Verbindung unterbrochen wird, sind die Daten auf dem privaten Gerät weg.
Eine weitere Möglichkeit wäre die Nutzung aus der Cloud heraus (natürlich unter Einhaltung der entsprechenden, datenschutzrechtlichen Vorgaben für Deutschland, Stichwort gesicherte Unternehmens-Cloud). Die Speicherung der Daten sollte ausschließlich verschlüsselt erfolgen. Hier lassen sich zudem s.g. Data Loss Prevention-Richtlinien global zentral steuern und von der IT kontrollieren. Mehr zu diesem Thema findet ihr übrigens in unserem Blogartikel hier (Link)
Für eine bessere Übersicht kann der Arbeitgeber auch eine Software zum Mobile Device Management (kurz MDM) einsetzen. Dies ist eine Art Flottenmanagement, die alle ans Firmennetz angeschlossenen Geräte zentral verwaltet. Je nach Software und Konfiguration hat man hier sehr vielfältige Möglichkeiten (zB. Datenlöschung auf verlorenen oder gestohlenen Geräten)
Eine zusätzliche, spannende Frage ist die Nutzung von Whatsapp auf den privaten Geräten, die auch beruflich genutzt werden. Whatsapp ist nicht DSGVO-konform (übrigens genauso wenig wie die chinesische Variante WeChat). Da die APP automatisch auf alle gespeicherten Kontakte im Adressbuch zugreift, dürfen Mitarbeiter keine Kundendaten auf dem Handy speichern – noch nicht einmal die Telefonnummer von Kunden, mit denen man im regen Austausch ist. Ist Whatsapp auf dem Smartphone installiert und wird es beruflich genutzt, lässt sich der Datenschutz nur über eine sogenannte Container-Lösung gewährleisten. Diese sorgt dann dafür, dass die App nicht mehr auf Daten außerhalb dieses Bereiches zugreifen kann.
Insgesamt muss sichergestellt sein, dass Unternehmensdaten und private Daten vollständig voneinander getrennt bleiben und die Bestimmungen der DSGVO eingehalten werden. Dies kann durch eine Unterteilung der privaten Geräte in 2 Arbeitsbereiche (Privat und Beruf) erfolgen.
Vorteile von BYOD
- Anschaffungskosten für IT Ausstattung auf Unternehmensseite wird reduziert
- Höhere Flexibilität der Unternehmen
- Höhere Mobilität der Mitarbeiter
- Mitarbeiterzufriedenheit steigt, denn sie können ihre eigenen Geräte verwenden und müssen nicht mehr hin und her switchen
- Sie profitieren von der oft höheren Leistungsfähigkeit der eigenen Geräte
- Mitarbeiter sind mit dem Umgang ihrer eigenen Geräte vertraut und lange Einarbeitungszeiten entfallen
Nachteile von BYOD
- behindert die Einführung einer einheitlichen IT im Unternehmen
- es entsteht ein höherer Aufwand für die Einrichtung und das Management unterschiedlicher Endgerätetypen, Inkompatibilitäten sind keine Seltenheit
- stellt ein Sicherheitsrisiko für die IT-Infrastruktur des Unternehmens dar
- das Unternehmen hat weniger Kontrolle über Geräte, Anwendungen und Daten
- die Einhaltung datenschutzrechtlicher Vorgaben wirft juristische Fragestellungen auf
- Komplexität durch die Nutzung vieler verschiedener heterogener Geräte steigt
Trotz allem sei gesagt, dass BYOD gerade im Rahmen der Ausweitung von Homeoffice ein Trend ist, der nicht aufzuhalten ist. Ein im Vorfeld gut überlegtes BYOD-Konzept hilft bei der Umsetzung – damit der Unternehmer und seine Mitarbeiter keine unangenehmen Überraschungen erleben.