Bring your own device (BYOD) ist die zurzeit unser Arbeitsumfeld am stärksten verändernde technologische Entwicklung. Darunter versteht man die Möglichkeit, private Endgeräte, vor allem Smartphones und Tablets, für berufliche Zwecke zu verwenden und in die IT-Systeme des Arbeitgebers zu integrieren. Eine jüngst veröffentlichte Studie ergab, dass bereits fast 50 Prozent aller Briten private Endgeräte für berufliche Zwecke verwenden. Nur ein Bruchteil davon gab jedoch an, dass deren Arbeitgeber dafür auch einen passenden (technischen und rechtlichen) Rahmen zur Verfügung stellen.

Der BYOD-Trend wurde klar von den Mitarbeitern und nicht den Arbeitgebern bzw. deren IT-Abteilungen ausgelöst. Es sind Mitarbeiter, die statt der als nüchtern empfundenen Endgeräte des Arbeitgebers lieber ihre "schickeren" privaten Smartphones verwenden, um nicht zwei Geräte mit sich tragen zu müssen. Unterstützt werden sie bei diesem Ansinnen vielfach (wenn auch zeitverzögert) von der Managementebene, die ihrerseits private Tablets (vor allem iPads) statt klobiger Laptops verwenden wollte. Und so sehen sich die IT-Abteilungen zunehmend dem Druck ausgesetzt, private Endgeräte in die IT-Systeme zu integrieren. Da sie für die Sicherheit und Funktionstüchtigkeit der Systeme selbst verantwortlich sind, bereitet ihnen dieser Trend massives Kopfzerbrechen. BYOD birgt aber derart viele technische und rechtliche Risiken, dass auch die Geschäftsführung und die einzelnen Mitarbeiter ernsthaft darüber nachdenken sollten, ob der damit einhergehende Komfort nicht zu teuer erkauft wird. Gerade Mitarbeiter sind sich oft nicht bewusst, wie sehr Risiken, die sonst ihr Arbeitgeber trägt, durch BYOD auf sie verlagert werden.

Die Vorteile von BYOD sind bekannt: vor allem gesteigerter Komfort, höhere Flexibilität, höhere Motivation der Mitarbeiter und gesteigerte Erreichbarkeit. Dadurch, dass ein Teil der unternehmensbezogenen Informationen durch BYOD jedoch auf Geräten gespeichert und verarbeitet wird, die nicht mehr im Eigentum und der unmittelbaren Verfügungsgewalt des Arbeitgebers stehen, tun sich neue Gefahrenbereiche auf. Allem voran geht es um den Schutz vertraulicher und sensibler Daten, um die Einhaltung rechtlicher Vorschriften wie insbesondere des Datenschutzgesetzes und die Eingrenzung von durch BYOD verursachten Kosten.

Unternehmen, die BYOD zulassen wollen, sollten zumindest folgenden Themen vorab klären:

• Welche privaten Endgeräte werden zugelassen, und welche Art von Zugang wird ermöglicht? Ist der Zugang nur über eine in sich geschlossene Software am Endgerät möglich, oder dürfen auch Standardanwendungen verwendet werden, die untereinander Daten austauschen und am Gerät zur Weiterverwendung abspeichern können? Muss der Zugang über eine verschlüsselte Verbindung erfolgen?
• Welche berufsbezogenen Informationen und Daten dürfen über private Endgeräte abgerufen werden? Wie müssen diese am Gerät verwaltet und wieder gelöscht werden?
• Wie müssen die Endgeräte gesichert werden, und dürfen Dritte (auch Familienmitglieder!) Zugang zu diesen Endgeräten erhalten? Wie kann wirksam verhindert werden, dass Unbefugte Zugriff auf die Geräte erhalten?
• Was passiert bei Verlust eines Geräts? Wie kann der Arbeitgeber die Daten per Fernwartung ("mobile device management") löschen, und was passiert mit den privaten Daten des Mitarbeiters, die ebenfalls am Endgerät gespeichert sind?
• Darf der Arbeitgeber das Endgerät und damit auch die private Verwendung durch den Mitarbeiter überwachen und bei Bedarf darauf zugreifen?
• Welche Mitarbeiter werden für BYOD zugelassen?
• Wie erhält der Arbeitgeber Zugriff auf die am Endgerät gespeicherten Daten, wenn das Arbeitsverhältnis beendet wird?
• Wer trägt die Kosten insbesondere für Datenroaming und bei Verlust des Geräts? Hier ist auch zu beachten, dass Mitarbeiter üblicherweise ihre privaten Tarife selbst auswählen und abschließen und gar nicht die Möglichkeit haben, ähnlich günstige Tarife wie Unternehmen zu erhalten.

Klare BYOD-Policy

Die Antworten zu diesen Fragen müssen nicht nur technisch korrekt umgesetzt werden, sondern sind unbedingt in einer entsprechenden BYOD-Policy umzusetzen. Diese Policy muss jedem einzelnen Mitarbeiter zwingend zur Kenntnis gebracht werden und von diesem verstanden und akzeptiert werden, bevor seine privaten Endgeräte für die berufliche Verwendung zugelassen werden. Jedem Mitarbeiter muss klar sein, dass er bei einem Verstoß Konsequenzen zu tragen hat, die bis zur Entlassung und zu Schadenersatzansprüchen gegen ihn führen können. Nur wer sich dessen deutlich bewusst ist, kann für sich selbst einschätzen, ob die Vorteile von BYOD die damit verbundenen Risiken überwiegen. (Wolfgang Tichy, DER STANDARD, 15.5.2013)