Das Wichtigste in Kürze
- Die Nutzung privater Geräte in einem Firmenumfeld braucht ein klares und verständliches Sicherheitskonzept.
- Im BYOD-Konzept werden Verhaltensregeln, Zugriffsrechte und Vorgaben des Datenschutzes mit den Mitarbeitenden vereinbart.
- Die Nutzung eingesetzter Software und IT-Ressourcen wird mit dem Betriebsrat und den Mitarbeitenden unter rechtlichen Aspekten betrachtet.
- Es bedarf einer vertraglichen Regelung für die Wartung der Geräte, für den Support der Software und die eingesetzten Sicherheitsmaßnahmen.
In diesem Beitrag
- Was bedeutet Bring Your Own Device (BYOD)?
- Welche Vorteile hat BYOD für Mitarbeitende?
- Welchen Nutzen zieht das Unternehmen aus Bring Your Own Device?
- Welche Risiken birgt Bring Your Own Device?
- Wie kann BYOD datenschutzkonform eingesetzt werden?
- Wann ist der Zugang zum Unternehmensnetzwerk durch BYOD sicher?
- Wie können Geschäftliches und Privates bei BYOD getrennt werden?
- Wofür wird eine Betriebsvereinbarung bei Einführung von BYOD gebraucht?
- Welche Verantwortung tragen Arbeitnehmer und Arbeitgeber bei der BYOD-Nutzung?
- Welche Mitarbeiterinnen und Mitarbeiter eignen sich für die Nutzung von BYOD?
- Fazit
Sicher, flexibel und effizient von überall aus arbeiten: Mit Tablets, Smartphones und Laptops ist das möglich. Weil Mitarbeiter mit ihren privaten Geräten und Betriebssystemen am besten vertraut sind, ist die Idee entstanden, diese in die Firmen-IT zu integrieren. Damit Mitarbeiter sicher und mobil auf Geschäftsdaten zugreifen können und die Datenübermittlung datenschutzkonform ist, bedarf es jedoch eines gut durchdachten und individuell auf das Unternehmen zugeschnittenen Konzepts.
Was bedeutet Bring Your Own Device (BYOD)?
Wenn Unternehmen ihren Beschäftigten erlauben, mit privaten Geräten wie Smartphones, Tablets, Laptops oder auch Desktop-PCs auf Daten im Verantwortungsbereich des Unternehmens zuzugreifen, dann spricht man von Bring Your Own Device (BYOD). Mitarbeiterinnen und Mitarbeiter erledigen ihre Arbeitsaufgabe dementsprechend auf ihrem privaten Endgerät.
Für die Integration privater Devices brauchen Unternehmen aber unbedingt klare und für alle Beteiligten verständliche Richtlinien, individuelle Regelungen in Arbeitsverträgen und allgemein gültige Betriebsvereinbarungen.
Welche Vorteile hat BYOD für Mitarbeitende?
Arbeitnehmer können durch BYOD ihr bereits gewohntes Endgerät nutzen und müssen sich nicht etwa in ein anderes Betriebssystem einarbeiten. Das bringt drei wesentliche Vorteile:
- Die Eingewöhnungszeit, um das Gerät zu nutzen, entfällt.
- Ein Mobilitätsgewinn entsteht, wenn die Geräte auch im Home-Office verwendet werden.
- Flexibleres Arbeiten führt zu erhöhter Mitarbeiterzufriedenheit.
Nicht zuletzt reduziert sich für die Nutzer außerdem die Anzahl der mitgeführten mobilen Geräte, wenn zum Beispiel das Smartphone Arbeits- und Freizeitgerät in einem ist.
Welchen Nutzen zieht das Unternehmen aus Bring Your Own Device?
Auch dann, wenn im Unternehmen keine BYOD-Regelung gilt, werden private Geräte häufig für Arbeitszwecke genutzt, etwa um E-Mails zu checken oder Termine zu koordinieren. Diese Zugriffe sind dem Unternehmen allerdings meist nicht bekannt. Durch BYOD haben Unternehmen einen transparenteren Überblick darüber, mit welchen privaten Geräten Mitarbeiter auf Unternehmensdaten oder Firmenaccounts zugreifen.
- Es besteht mehr Kontrolle, welche Geräte von wem eingesetzt werden.
- Mitarbeiter, die mit ihrem Gerät vertraut sind, können effizienter arbeiten.
- Unternehmen sparen sich den Einkauf der Geräte und die Geltendmachung von Gewährleistungsansprüchen bei Gerätefehlern.
Außerdem wird die IT-Abteilung im Unternehmen entlastet, weil sich Mitarbeiter selbst um die Wartung ihres privaten Gerätes kümmern. Sie übernehmen mehr Verantwortung für ein Endgerät, das ihnen selbst gehört. Ergänzend wird mit BYOD die Arbeitsumgebung an Mitarbeiter-Bedürfnisse angepasst. Das führt neben mehr Zufriedenheit auch zu mehr Produktivität.
Welche Risiken birgt Bring Your Own Device?
Für ein Unternehmen, das eine BYOD-Strategie fährt, entsteht ein hoher organisatorischer und technischer Aufwand. Als Arbeitgeber müssen Sie sich damit auseinandersetzen, welche Inhalte auf den Privatgeräten zu sehen und zu verwalten sind und welche Software dort installiert wird. Die privaten Geräte können vom Unternehmen nur dann ins Unternehmensnetzwerk eingebunden werden, wenn alle Sicherheitsvorkehrungen getroffen werden, die
- das Ausspionieren von Geschäftsgeheimnissen unterbinden,
- den Diebstahl von Know-how verhindern und
- das System auf Angriffe vorbereiten.
Nicht nur der Einsatz von Schadsoftware, auch der Diebstahl eines mobilen Privatgeräts und damit der mögliche Zugriff unbefugter Dritter muss erwogen werden. Dann sind entsprechende Vorkehrungen zu treffen, damit keine Kontaktdaten, Anruflisten oder Kennwörter ausgelesen werden können. Denn der Zugriff Dritter könnte für Sie als Unternehmer einen immensen Schaden bedeuten. Doch ein klar formuliertes BYOD-Konzept hält die Risiken in Schach.
Schritt für Schritt: So gehen Sie bei der Einführung eines BYOD-Systems vor
- Analyse: Definieren Sie, wer mit welchem Gerät auf welche Daten zugreift.
- Integration: Binden Sie alle mobilen Geräte in das Sicherheitskonzept ein.
- Zugriff: Organisieren Sie Schutz, Verschlüsselung und Austausch.
- Regelung: Sichern Sie die Nutzung von Anwendungen und Services.
Für die Verwaltung der mobilen Endgeräte ist ein sogenanntes Mobile Device Management (MDM) oder als Weiterentwicklung auch ein Enterprise Mobility Management (EMM) auf jeden Fall hilfreich. Damit werden sowohl die mobilen Privatgeräte als auch die firmeneigenen Devices übersichtlich koordiniert. Das ermöglicht Ihnen weitreichende Kontrollmechanismen und Einsichtnahmen, die Sie mit dem Datenschutz-Konzept abgleichen müssen, um Datenmissbrauch und Datenpannen zu verhindern oder im Ernstfall wenigstens zu erkennen.
Wie kann BYOD datenschutzkonform eingesetzt werden?
Mit der Verwaltung der mobilen Endgeräte im Unternehmen durch eine MDM- oder EMM-Lösung werden auch die privaten Endgeräte zuverlässig aktiviert und abgesichert. Weil es hierdurch weitreichend möglich ist, über das mobile Gerät auf den privaten Bereich der Nutzerinnen und Nutzer zuzugreifen, müssen sich Unternehmen unbedingt an die Datenschutz-Grundverordnung (DS-GVO) halten. Beachten Sie Folgendes, damit die Beschäftigten dem Zugriff zustimmen:
- Private E-Mails oder das private Surfverhalten betreffen die Privatsphäre und dürfen nicht eingesehen werden.
- Wenn das MDM an einen Provider (Managed Mobility Service) ausgelagert wird, trägt das Unternehmen nach wie vor die Verantwortung für den Schutz der Privatsphäre.
- Bei der Implementierung eines MDM muss unbedingt der Betriebsrat hinzugezogen werden.
Durch ein MDM werden keine personenbezogenen Daten erfasst – also weder E-Mail-Adresse des privaten Gerätes noch private Kontakte. Auch der Browserverlauf und die Nutzungshäufigkeit bestimmter Apps werden nicht erfasst. Das MDM bzw. EMM unterstützt eine Trennung von Geschäftlichem und Privatem und verwaltet in erster Linie
- Gerätekennung und Informationen über das Betriebssystem,
- geschäftliche Telefonnummern, E-Mail-Kontakte und Nachrichten sowie
- die installierten Apps.
Wann ist der Zugang zum Unternehmensnetzwerk durch BYOD sicher?
Die Datensicherheit und der Schutz vor Datenverlust haben höchste Priorität, wenn Sie Ihren Mitarbeiterinnen und Mitarbeitern ermöglichen, am BYOD-System teilzuhaben. Die Art, wie Ihre Beschäftigten ihr privates Smartphone, Tablet, ihren Laptop oder PC nutzen können, wird ihnen durch das Unternehmen also exakt vorgeschrieben. Folgende Elemente bilden für einen sicheren Zugang die Basis:
- Mit einer Zwei-Faktor-Authentifizierung erfolgt eine sichere Anmeldung.
- Die Integration in die Unternehmensinfrastruktur gelingt über eine VPN-Verschlüsselung.
- Eine Sicherheitssoftware prüft Apps hinsichtlich möglicher Schadsoftware.
Zusätzlich identifizieren Protokollierungen eventuelle Angriffe auf ein Gerät und erkennen deshalb frühzeitig eine Gefahrenlage. Außerdem liegt es im Aufgabenbereich der IT, dass das Betriebssystem und die genutzten Programme stets aktualisiert werden und die Installation eines Patch-Managements Sicherheitslücken schließt.
Allen Maßnahmen zum Trotz: Eine hundertprozentige Sicherheit gibt es nie, da auch der Nutzer ein gewisses Restrisiko birgt. Mit gezielten technischen und organisatorischen Maßnahmen lässt sich dieses Risiko aber zumindest minimieren.
Wie können Geschäftliches und Privates bei BYOD getrennt werden?
Um ein angemessenes Schutzniveau zu gewährleisten, müssen Sie als Arbeitgeber gemäß Artikel 32 DS-GVO technische und organisatorische Maßnahmen nach dem aktuellen Stand der Technik einsetzen. Eine der notwendigen organisatorischen Maßnahmen sollte eine vertragliche Vereinbarung zwischen Ihnen und Ihren Arbeitnehmern sein, die die deutliche Trennung von Privatem und Geschäftlichem regelt:
- Unbefugte Dritte (z. B. Ehepartner, Lebenspartner, Kinder, Freunde und Bekannte) dürfen keinen Zugriff auf Unternehmensdaten haben.
- Die privaten Daten auf den Geräten müssen vor dem Zugriff des Arbeitgebers geschützt sein.
- Bei privaten Reisen ins Ausland muss sichergestellt werden, dass Sicherheitsorgane keinen Zugriff auf die Geschäftsdaten haben.
Damit das gesichert ist und Sie als Arbeitgeber trotzdem die betrieblichen Daten nutzen, bearbeiten oder löschen können, gibt es folgende Möglichkeiten:
- Durch die Konfiguration virtueller Desktops werden unterschiedliche Betriebssysteme genutzt. Die geschäftliche Nutzung erfolgt über eine VPN-Verbindung direkt im Rechenzentrum des Unternehmens.
- Die Partitionierung der Festplatte im Endgerät ermöglicht eine getrennte Speicherung von Daten und Betriebssystem. Die geschäftlichen Daten werden nicht mit den privaten vermischt.
- Eine Container-App verhindert unkontrollierten Datenverkehr. Die Daten sind verschlüsselt in einem gesicherten „Behälter“ (Container) hinterlegt. Informationen können nicht durch Copy-and-paste in einer unsicheren Anwendung landen.
Wofür wird eine Betriebsvereinbarung bei Einführung von BYOD gebraucht?
Laut Betriebsverfassungsgesetz ist der Betriebsrat in einigen Fällen zur Mitbestimmung verpflichtet. Dazu zählen die Vorgaben zum Umgang mit Tablets und Smartphones. Wie der Gebrauch der privaten Devices geregelt ist und wann Softwarelizenzen für private Zwecke genutzt werden dürfen, muss genauso wie Datensicherungsmaßnahmen, Geheimhaltungspflicht und der Umgang mit Urheberrechten in der Betriebsvereinbarung beschrieben sein.
Welche Verantwortung tragen Arbeitnehmer und Arbeitgeber bei der BYOD-Nutzung?
Arbeitgeber müssen also klare Regelungen treffen, wie Privatgeräte für Unternehmenszwecke genutzt werden dürfen. Dabei muss auch und vor allem die Verantwortung der Mitarbeitenden geregelt sein, die etwa die folgenden Punkte umfasst:
- Das Betriebssystem muss regelmäßig aktualisiert werden, denn mit den Updates für Smartphones und Tablets werden Sicherheitslücken geschlossen.
- Auch Apps müssen regelmäßig aktualisiert werden, damit diese kein Einfallstor für Schadsoftware darstellen.
- Für dienstliche Aufgaben sollten lediglich die vom Unternehmen freigegebenen Apps genutzt werden. Denn nicht autorisierte Apps tragen ein hohes Datenschutz-Risiko.
- Für offene WLAN-Netze, die nicht unbedingt sicher sind, müssen Sicherheitsmechanismen etabliert werden.
- Das vom Hersteller konfigurierte Betriebssystem sollte nicht verändert werden, weil dadurch das Dateisystem angreifbar wird.
- Ein Zugriff auf Unternehmensdaten sollte nur über gesicherte Browser erfolgen, da sonst Malware eingeschleust werden könnte.
Welche Mitarbeiterinnen und Mitarbeiter eignen sich für die Nutzung von BYOD?
Abteilungen, deren Fokus auf Kommunikation, PR, Social Media, Service oder Kundensupport liegt, eignen sich besonders für die Einführung einer BYOD-Lösung. Da deren Mitarbeitende oft sehr mobil sein müssen, sind die Beschäftigten bereit, die vielfältigen IT-Vorgaben für die Nutzung der privaten Endgeräte zu akzeptieren. Auch IT-Spezialisten schätzen BYOD, weil sie besonders produktiv auf der gewohnten Umgebung – z. B. LINUX oder Apple – arbeiten.
Für Mitarbeiterinnen und Mitarbeiter allerdings, die nur mal schnell am Wochenende in den Terminkalender für die kommende Arbeitswoche schauen wollen, wäre ein Screenshot des Outlook-Kalenders an die private E-Mail-Adresse die einfachere und vor allem kostengünstigere Lösung.
Welche Alternative gibt es zu BYOD?
Prüfen Sie individuell für Ihr Unternehmen, ob anstelle einer BYOD- eine CYOD-Lösung grundsätzlich leichter zu realisieren ist. CYOD steht für Choose your own Device und ist eine Variante der Idee Corporate Owned, Personally Enabled (COPE), die die Nutzung dienstlicher Geräte im privaten Bereich ermöglicht. Dabei wählt ein Nutzer das Arbeitsgerät aus dem Firmenpool aus. Dieses Gerät kann nach Vereinbarung auch privat verwendet werden.
Fazit
Die Einführung von Bring Your Own Device ist komplex, weil die rechtlichen und technischen Aspekte äußerst vielfältig sind. Die Bereitstellung eins BYOD-Systems bietet Ihrem Unternehmen aber auch viele Vorteile und trägt auch zu einem zukunftsorientierten Image bei. Die Integration von privaten Geräten in das Unternehmensnetzwerk braucht auf jeden Fall klare Regeln:
- Daten sind bei Übertragung und auf dem mobilen Gerät zu verschlüsseln.
- Es dürfen nur autorisierte und aktualisierte Apps verwendet werden.
- Private und dienstliche Anwendungen und Daten müssen getrennt werden.
- Zugriffe auf Netzwerke und Cloud-Anwendungen sind zu schützen.
Wer allerdings die strengen Regelungen zugunsten eines individuellen Work-Life-Balance-Modells akzeptiert, kommt mit BYOD gut klar. Und je komfortabler das Arbeiten für die Beschäftigten gestaltet ist, desto weniger Gründe gibt es, Sicherheitssysteme zu umgehen.