Bring your own device – BYOD

Rudie---Bring-your-own-device

“Bring your own device” oder kurz BYOD geistert schon seit längerem durch Ratgeber zur Unternehmensstrategie aber auch durch die juristische Fachliteratur. Was genau ist aber damit gemeint? BYOD bezeichnet die unternehmerische Entscheidung, dass Mitarbeiter ihre private Hardware wie z.B. Handy oder Laptop auch im Job nutzen können und sollen.

„Eine Frage, ein Dutzend verschiedene Antworten.“ – Das ist nicht das Ergebnis, wie facettenreich ein Politiker auf ein und dieselbe Angelegenheit reagieren kann. Nein, es ist das Resultat einer Umfrage, mit welchem Gerät Mitarbeiter an ihrem Arbeitsplatz am liebsten arbeiten würden, hätten sie die freie Auswahl. Die einen bevorzugen den Klassiker in Form von Bildschirm, separater Tastatur und das vertraute Rattern eines Rechners. Andere würden lieber mit einem wohl designten Notebook arbeiten, wieder andere sind der Meinung, dass ein Tablet-PC oder gar ein Smartphone im Arbeitsalltag völlig ausreichen würde.

Die unterschiedlichen Ansichten spiegeln fast durchwegs die Produkte wieder, die die befragten Mitarbeiter für den privaten Gebrauch verwenden und daher Zuhause haben. Das private Umfeld ist heutzutage in technischer Hinsicht oftmals besser ausgestattet als der berufliche Arbeitsplatz.

Diese Tatsache blieb auch den Arbeitgebern nicht lange verborgen. So lag die Überlegung seitens der Unternehmen nicht fern, ob man diesen technischen Vorteil seiner Mitarbeiter nicht nutzen könne. „Bring your own device“ ist das Motto der Firmen, die gestern noch an der optimalen Cloud-Lösung für ihr Unternehmen gearbeitet haben und sich schon heute mit dem nächsten Top-Thema der IT-Rechtspraxis befassen.

Zentrales Element eines BYOD-Programmes ist es, dass Mitarbeiter ihre privaten Endgeräte auch im Job nutzen können. Die Idee klingt attraktiv – sowohl auf Arbeitgeber- als auch auf Arbeitnehmerseite. Letztere können mit ihrem Lieblingsgerät arbeiten und auf Seiten der Firma können Kosten gespart werden. Doch wo sich Vorteile auftun, liegen die Nachteile oftmals nicht fern. Die nachfolgende Gegenüberstellung der Vor- und Nachteile soll Ihnen einen ersten Überblick über diese interessante IT-Thematik geben und für die rechtlichen Probleme sensibilisieren.

PRO BYOD

Ein klarer Vorteil des BYOD-Konzepts soll darin liegen, dass die Arbeit mit dem eigenen Gerät die Produktivität und die Zufriedenheit der Mitarbeiter erhöhen soll, da das private Endgerät regelmäßig den jeweiligen Vorlieben und individuellen Ansprüche der Arbeitnehmer entspricht. Gleichzeitig entfallen für das Unternehmen damit die Anschaffungskosten für entsprechende Hardware – bereits vorhandene Ressourcen können kostensenkend genutzt werden. BYOD ermöglicht es den Mitarbeitern schnell und sicher auf Unternehmensanwendungen zu zugreifen, unabhängig von deren aktuellem Standort.

Firmen, die das  Konzept schon für sich entdeckt haben, erklären, dass Mitarbeiter, die mit ihren eigenen Geräten arbeiten, viel behutsamer und verantwortungsbewusster damit umgehen, was schlussendlich dazu führt, dass weniger Geräte wegen Defekten ausfallen oder gar verloren gehen. Dies kommt auch den IT-Abteilungen zugute. Weniger Beschwerden wegen veralteter Hardware und abnehmende Fehlermeldungen lassen auch hier Aufwand einsparen. Denn der Eigentümer kennt sein Gerät eben doch am besten.

Contra BYOD

Bei den zahlenreichen Vorzügen, die das BYOD-Verfahren mit sich bringen kann, sollten aber die Nachteile, insbesondere die Gefahren und Risiken dieses Konzepts nicht unter den Teppich gekehrt werden. Hier geht es vor allem um rechtliche Aspekte, die ein Unternehmen dazu bringen könnten, das BYOD-Konzept doch nicht umzusetzen.

Datenschutz

Ein großes Gefahrenpotenzial tut sich beispielsweise im Bereich der Datensicherheit auf. Denn wem gehören die Daten, die auf dem privaten Gerät, aber beruflich bearbeitet werden? Was passiert mit den Daten, wenn ein Mitarbeiter aus dem Unternehmen ausscheidet oder wie ist mit einem Zugriff Dritter auf die vertraulichen Daten umzugehen?

welche arbeitsrechtlichen Konsequenzen ergeben sich, wenn der Mitarbeiter sein privates Gerät nicht ausreichend sichert oder gegen sicherheitsrechtliche Sorgfaltspflcihten verstößt?

Allein schon diese  Konstellationen zeigen, dass durch die private und zugleich berufliche Nutzung eines Endgeräts ein Kontrollverlust über die Daten, über die eigentlich nur das Unternehmen verfügen darf, kein abwegiges Szenario darstellen kann.

 Ablenkungspotential

Kann die Nutzung des privaten Geräts nicht auch kontraproduktiv sein? Denn nicht selten befinden sich auf dem eigenen Laptop unterhaltsame Spiele, Apps, Musik oder sonstige Anwendungen, die die Mitarbeiter vielmehr von der Arbeit ablenken können, anstatt die Produktivität zu steigern.

 Softwareinkompatibilitäten

Die Vielfalt der mitgebrachten Hardware inklusive deren Software kann einer IT-Abteilung gleichsam vor einen größeren Arbeitsaufwand stellen – ein Wildwuchs der IT-Systeme droht: Eine Fehlermeldung bei Windows kann nur selten auf dem gleichen Weg behoben werden wie ein Problem im Mac-Betriebssystem OSX. Und wie ist zu verfahren, wenn das Privatgerät doch einmal kaputt oder verloren geht? Was ist dann zum einen mit den darauf gespeicherten Daten und zum anderen, wer soll die Reparatur- oder Ersatzkosten tragen?Der „bunte Strauß“ an Endgeräten mit seinen jeweils unterschiedlichen Softwareprogrammen ist eines der am häufigsten auftretenden Probleme, das von Unternehmen genannt wird, die mit dem neuartigen Mobile Device Management verfahren. Insbesondere das Open Source Betriebssystem Android von Google stellt für viele Unternehmen eine große Herausforderung dar. Darüber hinaus kommt es auch regelmäßig bei der Synchronisierung von E-Mails zu Schwierigkeiten, deren Fehlerbehebung viel Zeit in Anspruch nimmt.

Letztendlich muss jedes Unternehmen selbst entscheiden, welchen Risiken oder Vorteilen es die größere Bedeutung beimisst.

Wenn Sie sich aber für die Einführung von BYOD in Ihrem Unternehmen entscheiden, sollten Sie einige Grundsätze beachten:

BYOD – Was Sie beachten sollten

Konnten Sie bei der Lektüre der Litanei an Für und Wider des BYOD-Konzepts mehr Vorzüge als Nachteile für sich erkennen, sollten Sie vor der Umsetzung dieses Systems auf die wichtigsten Punkte schon im Vorfeld eine Antwort parat haben. Denn einigen Gefahren und Risiken kann man mit einer sorgfältigen Voraus-Planung begegnen.

Aller erster Punkt auf Ihrer Check-Liste sollte die Frage sein, ob diese Konzept für Ihr eigenes Unternehmen denn sinnvoll erscheint. Hier sollte bei den in Frage kommenden Mitarbeitergruppen im Vorhinein angefragt werden, ob und wie viele von ihnen überhaupt ihre privaten Geräte mitbringen möchten, um damit zu arbeiten. Denn grundsätzlich sind die Mitarbeiter nicht verpflichtet eigene Geräte zu erwerben und diese in den Betrieb mitzubringen. Es ist die Pflicht des Arbeitgebers betriebliche Ressourcen bereitzustellen. Bevor es also in die BYOD-Detail-Planung geht, suchen Sie zunächst den Dialog mit Ihren Mitarbeitern.

In einem nächsten Schritt sollte analysiert werden, welches Kostenmodell sich hierfür am besten eignet. Die Anschaffung privater Endgeräte kann beispielsweise mit einem einmaligen Zuschuss oder in Form eines Darlehens finanziert werden. Dieser Zuschuss muss jedoch auch steuerrechtlich berücksichtigt werden. Zu klären ist hier, inwieweit der Betrag als geldwerter Vorteil zu versteueren ist und/oder ob er als Werbungskosten gegenüber dem Finanzamt geltend gemacht werden kann. Mit Blick in die Zukunft sollte auch gleich  bedacht werden, wie eine Bezuschussung etwa bei vorzeitiger Beendigung des Arbeitsverhältnisses „abzurechnen“ ist. Auch sollten Regelungen zur Kostentragung und Ersatzbeschaffung bei Ausfall oder Defekt schon im Vorfeld festgelegt werden.

Im weiteren Fortgang sollten alle datensicherheitsrelevanten Aspekte erarbeitet werden. Wichtige Unternehmensdaten und sensible personenbezogene Daten, die über die privaten Geräte verarbeitet werden, sollten bereits im Unternehmen verschlüsselt, vor fremden Zugriffen geschützt und anschließend zentral gespeichert werden. Denn selbst, wenn das Gerät dem Mitarbeiter wirtschaftlich gehört, muss die IT-Abteilung jederzeit Zugriff auf die unternehmenswichtigen Daten haben. In diesem Zusammenhang bietet es sich an, auch gleichzeitig eine entsprechende Vereinbarung auszuarbeiten, in der die zwingend erforderliche Trennung von privaten und Firmendaten geregelt wird. An dieser Stelle könnte zugleich überlegt werden, inwieweit IT-Betriebsvereinbarung sowie IT-Sicherheitsvereinbarungen an die neue Situation anzupassen sind. Etwa sollte genau geregelt werden, wie und unter welchen Umständen die Mitarbeiter die IT-Infrastrukturen des Unternehmens mit den privaten Devices und Apps verbinden dürfen und welches Mindestmaß an Sicherheit erfüllt sein muss (Anti-Viren-Programme, etc.).

Zusammen mit dem jeweiligen Datenschutzbeauftragten ist ein Konzept auszuarbeiten, dass die Datensicherheit und die Übereinstimmung der Übertragung der jeweiligen Daten mit den von den Kunden gegebenen Einwilligungen sicherstellt. Gegebenenfalls müssen hier Änderungen an der Datenschutzerklärung erfolgen.

Die Anzahl der Unternehmen, die sich für das BYOD-Konzept entscheiden, wird immer größer. In den USA ist inzwischen allgemein verbreitet, das eigene Gerät zum Arbeiten zu verwenden. Auch Indien, China und Brasilien sind Vorreiter in der dieser Entwicklung. Doch auch hinzulande wird in immer mehr Betrieben mit den eigenen, vertrauten Geräten gearbeitet. In nahezu allen Führungsebenen, die inzwischen auf einige Erfahrungen in Sachen BYOD zurückblicken können, kristallisiert sich in einem wesentlichen Punkt weitestgehende Übereinstimmung heraus: Das Risiko um die Datensicherheit sollte einer der Aspekte sein, denen am meisten Aufmerksamkeit zu kommen sollte. Denn die Gefahr eines Datenlecks lässt sich nie ganz ausschließen. Daher ist es besonders wichtig entsprechende Vorkehrungen zu treffen. Diese Vorkehrungen sollten im Idealfall so früh wie möglich stattfinden. Etwa schon dann, wenn sich beispielsweise ein Mitarbeiter dazu entscheidet, ein neues Gerät anzuschaffen mit dem er auch im Betrieb arbeiten möchte. An dieser Stelle empfiehlt es sich, dem Mitarbeiter etwa Hilfestellung bei der Auswahl des Geräts anzubieten. Natürlich sollten sodann auch vor dem unmittelbaren Einsatz selbst nochmals alle erforderlichen Vereinbarungen und Sicherheitsvorkehrung durchgesprochen werden.

Darüber hinaus sollte im Vorfeld geklärt werden, inwieweit zusätzliche Vergütungsforderungen von Softwarelizenzgebern anfallen können. Nicht selten verlangen Softwareanbieter auch für eine indirekte Nutzung der Software, etwa über ein „externes“ Privatgerät, ein Entgelt. Entsprechender Klärungsbedarf besteht auf Seiten der vom Mitarbeiter mitgebrachten Software. Es sollte überprüft werden, ob die „privaten“ Lizenzen auf den Endgeräten überhaupt eine kommerzielle Nutzung erlauben oder vielleicht nur für den privaten Zweck bestimmt sind.

Aus rechtlicher Sicht sollten im Vorfeld einer BYOD-Einführung vor allem die einschlägigen Normen des Telekommunikationsgesetzes (TKG), des Bundesdatenschutzgesetzes (BDSG), des Handelgesetzbuchs (HGB), des Bürgerlichen Gesetzbuches (BGB), des Strafgesetzbuchs StGB, des Telemediengesetzes (TMG), des Arbeitszeitgesetzes (ArbZG), des Betriebsverfassungsgesetzes (BetrVG) und des Urhebergesetzes (UrhG) besprochen werden. Darüber hinaus sollte neben den deutschen Gesetzen auch der Patriot Act der USA berücksichtigt werden, der es den Bundesbehörden der USA erlaubt, Kommunikationen mitzuhören, zu speichern und zu verwenden. Dieser ist deshalb zu bedenken, da der Großteil der Mobile Device Management-Systeme aus den USA oder Asien stammen und damit nicht zwangsläufig auch den deutschen Regelungen entsprechen.

Fazit:

Das BYOD-Konzept kann einem Unternehmen wertvolle Vorteile bringen, dem jedoch ein nicht zu vernachlässigender organisatorischer Aufwand – sowohl für die Zeit vor, während und nach des BYOD-Prozesses – gegenübersteht. Damit Vorzüge geerntet werden können, bedarf es einer umfassenden und detaillierten Aufstellung, wie diese  IT-Idee verwirklicht werden soll. Jeder einzelne Schritt, von der Anschaffung über Haftungsvorkehrungen bis hin zur zentralen Datenspeicherung, muss geregelt sein, wobei die Datensicherheit stets oberste Priorität haben muss. Die Entscheidung für das BYOD-Projekt darf also den damit einhergehenden – hier nur grob skizzierten – Aufwand nicht scheuen. Scheut man ihn doch, so könnte eine Alternative darin gesehen werden, die eigenen Mitarbeiter vor den nächsten Hard- und Software-Anschaffungen mit einzubeziehen und ihre Wünsche versuchen zu berücksichtigen – choose your working device als motivationssteigernde Kompromisslösung.

Bild: © Rudie – Fotolia.de

 

RAin Michaela Berger

Über RAin Michaela Berger

Rechtsanwältin und Fachanwältin für IT-Recht Michaela Berger hat ihren anwaltlichen Tätigkeitsschwerpunkt im IT-Recht und im Datenschutzrecht. Als Marketingchefin bei RDP ist sie auch für dieses Blog verantwortlich und bloggt über die rechtlichen Aspekte von Themen wie SEO, Online-Marketing oder social networks.