„Willkommen an Ihrem neuen Arbeitsplatz. Ein Wandel, der einer Transformation bedarf.“ So lautet die Überschrift auf der Website zum Thema Workplace Services der Firma IBM [1]. Worum geht es?
Es geht um „höhere Produktivität Ihrer Mitarbeiter durch orts- und zeitunabhängige Zusammen-arbeit“. Wie soll das erreicht werden?
Im Unternehmen sollen intelligente Geräte wie z. B. Notebooks, Smartphones und Tablets eingesetzt werden, die es ermöglichen, geschäftliche Vorgänge von jedem Ort aus zu bearbeiten. Ein Mitarbeiter, der zum Beispiel mittels seines Smartphones während der Zugfahrt zu einem Kunden Zugriff auf entsprechende Firmendaten hat, bringt sicherlich einen Mehrwert für seinen Arbeitgeber.
Im Rahmen der geplanten Einführung „mobiler Arbeitsplätze“ stellt sich für die Geschäftsleitung die Frage, ob man nicht gleich auf einen weiteren „neuen Zug“ aufspringt. Dieser Zug trägt den verheißungsvollen Titel: „BYOD“. In Neudeutsch: Bring Your Own Device oder übersetzt etwa: Bringe dein eigenes Gerät mit. Das bedeutet: Bringe dein eigenes, privates Smartphone mit in die Firma und nutze dies auch für die Bearbeitung geschäftlicher Vorgänge.
So manchem IT-Verantwortlichen werden sich hier angesichts der Risiken die Haare sträuben. Anstatt an „Bring Your Own Device”, denkt er womöglich an „Bring Your Own Desaster“.
Dennoch – wenn man „trendy“ sein will und die hoch geschätzten „Nerds“ für das Unternehmen nicht verlieren will, mag so mancher Geschäftsführer seinen IT-Verantwortlichen bedrängen, diese neue Möglichkeit auch im eigenen Unternehmen einzuführen, schließlich sind eventuelle Sicherheitsprobleme doch lösbar.
Es gibt sicher viele positive Argumente für BYOD – sowohl für die Mitarbeiter als auch für das Unternehmen. Dies ist nicht Thema dieses Artikels. Wenn man sich jedoch mit kritischen Aspekten näher auseinandersetzt, erkennt man gravierende Probleme, die bei der geplanten Einführung von BYOD im Unternehmen zu beachten sind. Genau darum geht es im Folgenden.
Mit der Einführung von BYOD in einem Unternehmen sind verschiedene Aspekte zu berücksichtigen, die man zunächst grob in rechtliche und sicherheitsrelevante Aspekte unterteilen kann. Die nachfolgenden Ausführungen geben hierfür einige Beispiele an.
Das in die Unternehmensstruktur zu integrierende Gerät befindet sich im privaten Besitz. Daraus ergeben sich Regelungen, die das Eigentumsrecht des Mitarbeiters betreffen. So darf das Unternehmen nur mit Zustimmung des Mitarbeiters auf dessen Endgerät zugreifen. Dies bedarf einer schriftlichen Vereinbarung.
Die Daten auf dem Endgerät oder Teile der Daten gehören natürlich dem Unternehmen. Dieses haftet für die Verwendung der Programme und der Firmendaten, die auf dem Endgerät verarbeitet werden. Es greifen verschiedene Bestimmungen aus den Bereichen Eigentumsrecht, Lizenzrecht, Urheberrecht sowie Datenschutzrecht. Kann man immer klar definieren, was wem gehört und wie die einzelnen Daten rechtlich nach dem Stand der Technik zu schützen sind? Wer trägt hier die Verantwortung bezüglich Haftung und Schadensersatz? Schnell gerät man in rechtliche Grauzonen, die im Fall der Fälle eine Kette von Problemen auslösen können. Manchmal tauchen dann auch zusätzlich arbeitsrechtliche Aspekte auf, die vorher durch eine entsprechende Betriebsvereinbarung im Unternehmen zu regeln wären. Versäumnisse in diesem Bereich können teuer werden und lohnen sich daher nicht.
Beteiligt sich ein Unternehmen an den Kosten für den Kauf eines geeigneten Gerätes, das ausdrücklich auch privat genutzt werden kann, sind ggf. auch steuerrechtliche Aspekte zu berücksichtigen.
Die oben nur angedeuteten rechtlichen Aspekte weisen darauf hin, dass vor der Einführung von BYOD in einem Unternehmen unter Beteiligung geeigneter Fachleute eine zentrale Richtlinie zu erstellen ist. Diese Richtlinie ist ggf. mit der Personalvertretung abzustimmen.
Weiter möchten wir erwähnen, dass die bestehende Rechtsordnung ganz allgemein bezüglich in der Wirtschaft gelebter Verhaltensweisen, die durch neue Technologien bedingt sind, oft zurücksteht. Dadurch entstehen Grauzonen, die erst im Nachhinein mittels Prozessen geklärt werden. Will ein Unternehmen sich den damit verbundenen Risiken und eventuellen Kosten aussetzen?
Weit gravierender als die oben skizzierten rechtlichen Aspekte erscheinen uns die Sicherheitsrisiken. Die folgende Aufzählung verdeutlicht die Problematik:
Auch diese Aufzählung macht deutlich, dass vor der Einführung von BYOD eine zentrale Richtlinie unter Beteiligung der IT-Verantwortlichen und der Geschäftsführung erstellt werden sollte. Erst nach einer ausführlichen Analyse der Ausgangssituation, der Risikoabschätzung, dem erforderlichen Administrationsaufwand und einer Einschätzung, ob die mit BYOD aus Sicht des Unternehmens zu erzielenden Vorteile wirklich eintreten werden, ist der Weg frei für die Einführung von BYOD.
Jeder „Hype“, der von verschiedenen Interessenten und Foren beworben wird, sollte kritisch betrachtet werden. Das Interesse und der Schutz des Unternehmens müssen im Vordergrund stehen. Diesbezüglich kann man schrittweise folgendermaßen vorgehen:
Ist es sinnvoll die IT-Abteilung mit der Verwaltung der verschiedensten Endgeräte, die am Markt erhältlich sind, zu belasten? Man sollte als Unternehmen nicht zögern, die eigenen Interessen im Auge zu behalten, anstatt vorschnell einem Hype nachzugeben. Aktuelle Trends aus dem IT-Umfeld wirken sich nicht immer günstig auf ein Unternehmen aus. Neben der Wirtschaftlichkeit ist die IT-Sicherheit ein wesentlicher Faktor für ein Unternehmen.
Unternehmerisches Handeln bewegt sich in Deutschland nicht in einem rechtsfreien Raum. Hier gilt es zu beachten, dass wesentliche Rechtsvorschriften, wie oben angedeutet, dem freien unternehmerischen Handeln Grenzen setzen. Dies betrifft besonders den Datenschutz und die sich daraus ergebende Haftungsproblematik aber auch andere Rechtsvorschriften. Viele neuen Umgangsweisen mit IT bzw. neue technische Möglichkeiten kommen aus anderen Ländern, wo ein anders Rechtssystem besteht oder ein anderes Rechtsbewusstsein vorliegt. Dies gilt es angemessen zu berücksichtigen.
Eine Betrachtung dieser Anforderungen wird in der Regel zu einem Sicherheitskonzept für BYOD führen, das schriftlich zu fixieren und im Unternehmen abzustimmen ist.
Die Umsetzung dieses Punktes erfordert naturgemäß Ressourcen, Zeit und natürlich eine Unterstützung durch die Geschäftsführung. Ein wesentlicher Bestandteil ist auch eine nachhaltige Schulung der Mitarbeiter, möglichst regelmäßig, da allzu oft bezüglich Sicherheit der Faktor Mensch das schwächste Glied darstellt.
BYOD mag sich für einige - aber sicherlich nicht für alle - Unternehmen und Unternehmensprozesse eignen. Es gilt daher, sich rational zu verhalten. Das bedeutet, im Vorwege genau zu analysieren, inwieweit eine neue Form des Arbeitens im Unternehmen eingeführt werden soll und ob dies den erwarteten Mehrwert überhaupt bringt. Technisch und organisatorisch scheint alles lösbar zu sein. So gibt es mittlerweile sogenannte „Mobile-Device-Management-Systeme“ (MDM), die der IT-Abteilung helfen, Notebooks, Smartphones und Tablets zuverlässig zu verwalten. Auch hier gilt: Vor dem Einkauf einer MDM-Lösung sollte eine ausführliche Analyse erfolgen. Dies kann idealerweise durch ein Projekt unterstützt werden, das von einem Externen geleitet wird.
Auch in unserem schnelllebigen IT-Zeitalter erspart eine gründliche Analyse im Vorwege so manches Problem und Kosten im Nachhinein.