Bring Your Own Device: technische und rechtliche Grundlagen Die wichtigsten Checks vor einer BYOD-Umsetzung

Autor / Redakteur: Wolfgang Schwab, Martin Schweinoch / Elke Witmer-Goßner

Der Einsatz privater Endgeräte der Mitarbeiter in der Unternehmens-IT greift rasant um sich. „Bring Your Own Device“ (BYOD) ist attraktiv für Mitarbeiter, die ihre modernen, multifunktionalen und mobilen Endgeräte flexibel nicht nur privat, sondern auch dienstlich nutzen möchten. Die Unternehmen selbst wollen dadurch gerade für hochqualifiziertes Personal attraktiv sein und flexibles sowie mobiles Arbeiten fördern.

Firma zum Thema

So attraktiv ein BYOD-Modell für viele Unternehmen erscheint: Bevor private Geräte zur beruflichen Nutzung Einzug in die Büros halten, sollten zuerst die technologischen und rechtlichen Voraussetzungen geklärt sein. (© Photosani - Fotolia.com)
So attraktiv ein BYOD-Modell für viele Unternehmen erscheint: Bevor private Geräte zur beruflichen Nutzung Einzug in die Büros halten, sollten zuerst die technologischen und rechtlichen Voraussetzungen geklärt sein. (© Photosani - Fotolia.com)

So verlockend die innovativen Möglichkeiten sind, so anspruchsvoll ist die technische und rechtliche Umsetzung. Bisher übliche Restriktionen und Paradigmen müssen überwunden werden. Die technologischen und rechtlichen Themen und Lösungen sind eng verwoben.

Wolfgang Schwab von der Experton Group AG und Martin Schweinoch, Leiter des Fachbereichs IT, Internet & E-Business bei SKW Schwarz Rechtsanwälte, erklären den notwendigen ganzheitlichen Ansatz, um die unterschiedlichen Anforderungen umzusetzen und Risiken für das Unternehmen und das Management zu vermeiden:

Das Client-Universum in Unternehmen wird sich in den nächsten Jahren komplett verändern. Der Startschuss war 2010. Waren die Infrastrukturen bis zu diesem Wendepunkt durch möglichst standardisierte Clients (Desktop, Notebook, etc.) geprägt, so zeigen Studien eine wachsende Vielfalt der Clients im gesamten Unternehmen auf.

Erst prüfen

Für die IT-Abteilung bedeutet diese Entwicklung Risiko und Chance zugleich. Chance für die IT-Abteilung, innovativ und zukunftsweisend zu agieren. Risiko, von neuen Technologien und Betriebsformen überrollt zu werden und die gebotenen Sicherheitsstandards nicht mehr einhalten zu können.

Wie häufig bei neuen technologischen oder organisatorischen Themen tun die meisten Unternehmen gut daran, den Hype der Anbieter und der Medien erst einmal zu ignorieren. Vor grundlegenden Veränderungen sollten sie sich zuvor einigen einfachen und doch elementaren Aufgaben stellen:

Bei mindestens fünf Prozent der Arbeitsplätze oder in großen Unternehmen mit mindestens hundert Arbeitsplätzen ist ein BYOD-Ansatz möglich (z.B. Notebooks, Smartphones oder Tablets). In der Produktion ist dies meistens ausgeschlossen, ebenso in der Entwicklung, außer ein Mitarbeiter möchte seine eigene Workstation mitbringen.

Geklärt sein sollten notwendige Investitionen für Virtualisierungslösungen, MDM-Lösungen oder HelpDesk für einen effizienten und sicheren Betrieb. Und auch über den Nutzen von BYOD, wie effizienteres und längeres Arbeiten oder Umsatzerhöhungen und Kostensenkungen, sollte innerhalb der Fachabteilungen bereits Einigkeit herrschen. Zudem sollte die ROI-Betrachtung über den Kosten-Nutzen-Vergleich betriebswirtschaftlich positiv ausfallen.

Einige Unternehmen werden feststellen, dass eine betriebswirtschaftliche Betrachtung schnell zu einem Aus für ein derartiges Projekt führt. Dies sollte dann auch so entschieden werden! Andere werden in einzelnen Teilsegmenten bzw. Abteilungen positive Resultate feststellen. Diese sollten sich dann die Technologie genauer ansehen und insbesondere entscheiden, ob der Betrieb der Mitarbeitergeräte selbst oder durch einen Dienstleister bewerkstelligt werden soll.

Bevor Unternehmen offensiv in Richtung „Bring Your Own Device“ kommunizieren, sollten einige technologische und organisatorische Fragen geklärt werden. So sollte im Vorfeld ein Anreizsystem definiert werden, beispielsweise über Geld, nichtmonetäre Vorteile oder über die Wahlfreiheit bei den Geräten.

Wichtig ist auch, die Kommunikation hinsichtlich Zielgruppe und Zeitraum zu definieren . Außerdem ist eine Abstimmung mit allen notwendigen Stellen wie Management, Personalabteilung, Betriebsrat und Vertrauensleute Voraussetzung.

Außerdem sollten Fragen zu Betrieb und Wartung beantwortet sein: Soll auf Support vollkommen verzichtet werden oder voller Support gewährt werden oder zumindest Support bis zur Virtualisierungsschicht? Zu klären wäre auch, ob eine Ersatzlösung für beschädigte oder verlorene Geräte existiert.

Geregelt sollte auch der Zugriff auf die Unternehmens-IT und die Backend Systeme sein, die über das Interent (über eine Virtualisierungslösung, das Frontend oder Web-Interface), über ein VPN via Internet und LAN oder über Anmeldung im Corporate Network erfolgen kann. Von letzterer Möglichkeit ist aber aus Sicherheitsgründen abzuraten.

Wenn diese Themenkomplexe definiert und abgestimmt sind sowie die wirtschaftliche Betrachtung positiv ist, spricht aus technischer Sicht nichts gegen ein BYOD-Modell.

Rechtsfragen klären

Der „Bring Your Own Device“-Ansatz berührt nicht nur technische Fragen, sondern insbesondere auch rechtliche. Werden diese nicht gelöst, treffen das Unternehmen nicht nur deutlich erhöhte Risiken, sondern auch erhebliches Konfliktpotenzial. Was geschieht etwa mit privaten Daten auf dem Device des Mitarbeiters, die auf der Unternehmens-IT gesichert werden? Kann der Mitarbeiter auf dem Device vorhandene Unternehmensdaten in private Backups seines Device einbeziehen? Was geschieht mit privaten E-Mails, die vom Device über Systeme des Unternehmens laufen?

Aus rechtlicher Sicht berührt BYOD mehrere Themenfelder, die untereinander in Wechselwirkung stehen. Im Vergleich zu bisher von Unternehmen bereitgestellten mobilen Endgeräten (etwa Notebooks oder Handys) geben sich bei BYOD neue Herausforderungen aus zwei grundliegenden Aspekten. Zum Einen findet auf BYOD-Geräten eine Vermischung von privater und dienstlicher Nutzung statt. Zum Anderen stellt die technische Architektur marktgängiger Geräte mit frei installierbaren Apps ein neues Risikopotenzial in verschiedenen Aspekten dar.

So ist auch rechtlich ein ganzheitlicher Ansatz notwendig, um die erforderlichen Lösungen zu schaffen. Dafür reichen interne Richtlinien alleine nicht aus. Vielmehr sind auch Erfordernisse von Datenschutz und Datensicherheit umzusetzen, Lizenzfragen zu klären, die Kostenverteilung zwischen Unternehmen und Mitarbeiter sowie deren steuerliche Behandlung und nicht zuletzt die Mitbestimmung – um nur einige wichtige Themen zu nennen.

Diese Aspekte und ihre Lösungen stehen in Wechselbeziehungen. Ein Vorgehen, das rechtliche Themen nicht pro aktiv einbindet, führt nicht nur zu überflüssigem Aufwand, sondern vor allem auch zu Haftungsrisiken für Unternehmen und Management.

(ID:32042650)