BYOB Perosn am Laptop

Bring Your Own Device (BYOD): Eine Gefahrenquelle?

Ein neuer alter Trend schickt sich an, sich vor allem in der Start-Up-Szene wieder durchzusetzen: BYOD. Mitarbeiter*innen ihre eigenen Geräte verwenden zu lassen, bietet viele Vorteile – aber leider noch mehr Gefahren. Über BYOD, CYOD – und BYOB.

2019-10-07

Logo

Was ist BYOD?

BYOD ist die Abkürzung für „Bring Your Own Device“ und beschreibt ein Arbeitsmodell, bei dem Mitarbeiter:innen ihre eigenen mobilen Endgeräte, wie Laptops, Tablets oder Smartphones, ins Unternehmen mitbringen und sie für die Arbeit, aber auch weiterhin privat, nutzen.

 

Diese Vorteile verspricht BYOD…

Befürworter:innen von BYOD sehen als einen der größten Vorteile diehohe Flexibilität. Arbeit von überall zu jeder Zeit. Zudem sind Mitarbeiter:innen mit ihren privaten Geräten bereits gut vertraut. Eine zeitintensive Einführung in die Basics oder die Umgewöhnung an ein neues Betriebssystem fallen somit weg und das wiederum steigert die Produktivität. Während von Unternehmen zur Verfügung gestellte Hardware oft veraltet ist, sind private Geräte darüber hinaus häufig auf dem neuesten technischen Stand und können damit unter Umständen das technische Level einer Firma heben. BYOD spricht vor allem Start-Ups und eine junge Mitarbeiter:innen-Zielgruppe an und ist in den Augen vieler ein wichtiger Faktor für ein modernes Firmenimage.

Arbeitgeber:innen sahen zudem zu Hochzeiten von BYOD 2014/15 vor allem die Möglichkeit Kosten zu sparen, da Hardware-Anschaffungskosten für Fimren natürlich wegfallen, wenn Mitarbeiter:innen ihr eigenes Gerät mitbringen. Doch gerade dieser Punkt entpuppte sich unterm Strich als massiver Trugschluss und dürfte einer der Gründe dafür sein, warum die Beliebtheit von BYOD in den letzten Jahren stark abgenommen hat.

 

…und das sind die Gefahren

Während die Anschaffungskosten für Geräte tatsächlich wegfallen, sollten sich Arbeitgeber:innen unbedingt bewusst machen, welche „versteckten“ Kosten durch BYOD entstehen:

  • Das Modell bedeutet einen immensen Verwaltungsaufwand und somit mehrere Arbeitsstunden für die IT-Abteilung oder den Systemadministrator pro mobiles Endgerät.

  • Nach Art. 24 Abs. 1 der DSGVO muss der/die Verantwortliche (also der/die Arbeitgeber:in) z.B. einen Nachweis des rechtskonformen Umgangs mit personenbezogenen Daten erbringen, was einen viel größeren Arbeitsaufwand bedeutet, wenn jede:r Mitarbeiter:in das private Gerät nutzt.

  • Die Komplexität der IT-Verwaltung steigt obendrein durch heterogene Hard- und Software stark an, da es in der Natur von BYOD liegt, dass Mitarbeiter:innen mit verschiedenen Geräten arbeiten und es somit z.B. kein einheitliches Betriebssystem gibt.

  • Weitere Kosten können durch die Notwendigkeit von Mitarbeiterschulungen entstehen, da es einiges zu beachten gibt, wenn man die Sicherheit von Unternehmensdaten gewährleisten will (dazu später mehr).

  • Außerdem sollte jede:r, der/die BYOD im Unternehmen implementieren will, in ein Mobile Device Management (MDM) investieren. MDMs dienen der zentralen Verwaltung von mobilen Geräten und dem Schutz der darauf gespeicherten Daten.
     

Auch weitere vermeintlichen Vorteile von BYOD entpuppen sich bei genauerer Betrachtung als problematisch:

  • Studien der Universität Bonn haben gezeigt, dass die Nutzung von privaten Geräten am Arbeitsplatz die Produktivität eher senkt, da die Trennung zwischen Privatem und Beruflichen verschwimmt.

  • Das Argument der höheren Mobilität beinhaltet ebenfalls ein Risiko, denn Geräte, die überall hin mitgenommen werden, sind einem deutlich höheren Diebstahl- und Verlustrisiko ausgesetzt – ein absoluter Albtraum aus Datenschutzsicht! Handeln Arbeitnehmer:innen nicht grob fahrlässig oder vorsätzlich, haften Arbeitgeber:innen für das abhanden gekommene Gerät.

  • Je nach Tätigkeit des Unternehmens finden im Bereich BYOD außerdem noch viele andere Vorschriften Anwendung, z.B. aus dem Handels-, Steuer-, Organisations-, Gesellschafts-, Urheber- oder Bankaufsichtsrecht. Diese müssen alle beachtet und umgesetzt werden.

  • Ein weiteres Problem ergibt sich im Zusammenhang mit Software-Lizenzen. Denn die Lizenzen, die vom Unternehmen erworben wurden, gelten nicht für Mitarbeiter:innen als Privatpersonen, doch bei der Arbeit im BYOD-Modell befindet sich die Software auf dem privaten Gerät der Arbeitnehmer:innen, die somit auch in ihrer Freizeit Zugriff auf die Funktionen der Software haben.

 

Ist BYOD mit dem Datenschutz vereinbar?

Der Dienstleister für Cloud-Sicherheit Bitglass hat 2018 eine Befragung von knapp 400 IT-Experten aus verschieden Branchen zum Thema BYOD durchgeführt:

  • 61% der Befragten sahen in Datenlecks die größte Gefahr des Arbeitsmodells und ganze

  • 53% der Expert:innen, die in Firmen arbeiten, in denen BYOD erlaubt ist, fürchten, dass es in der Vergangenheit bereits zu unbefugtem Zugriff auf Unternehmensdaten kam.

An diesen Zahlen wird bereits deutlich, dass der Datenschutz und die Datensicherheit die größten Herausforderungen bei der Umsetzung von BYOD darstellen. Darum verwundert es auch nicht, dass Bring Your Own Device in der öffentlichen Verwaltung grundsätzlich verboten ist.

Arbeitgeber:innen sind rechtlich immer für die Einhaltung von Datenschutzgesetzen verantwortlich – sogar dann, wenn Arbeitnehmer*innen ohne ausdrückliche Genehmigung private Endgeräte für geschäftliche Zwecke nutzen. Hier ist es also wichtig, klar zu kommunizieren, was erlaubt ist und was nicht.

Für die Umsetzung von BYOD ist es außerdem ratsam, eine Nutzungsvereinbarung mit den Mitarbeiter:innen zu schließen, in der z.B. geregelt wird, wann welche Daten zu löschen sind oder inwieweit der/die Arbeitgeber*in Kontrollrechte für das private Gerät der Mitarbeiter:innen hat. Ebenfalls sinnvoll ist es, sich vertraglich das Recht zu sichern, mit den unternehmensbezogenen Daten auf einem privaten Endgerät genauso verfahren zu dürfen, wie mit solchen, die auf Firmenhardware gespeichert sind; d.h. uneingeschränkter Zugriff und im Bedarfsfall (z.B. Diebstahl oder Kündigung) Löschung per Remote-Zugang.

 

Verschlüsselungen – Lösung für das BYOD-Problem?

Unerlässlich ist zudem eine ausreichende Verschlüsselung der geschäftlichen Daten. Entweder der gesamte Gerätespeicher wird verschlüsselt oder es werden verschlüsselte Bereiche, sogenannte Container, eingerichtet. Für eine solche Trennung des Speicherplatzes gibt es zahlreiche Systeme am Markt. Diese Container haben zudem einen weiteren Vorteil: Den Schutz vor Datenklau bestimmter Apps. Wenn Arbeitnehmer:innen beispielsweise das gleiche Smartphone für Berufliches und Privates nutzen, können bestimmte Apps für den geschäftlichen Container gesperrt werden. Die Mitarbeiter*innen können die betreffende App dann trotzdem nutzen, wenn sie zum privaten Container wechseln, aber die Unternehmensdaten sind vor der Sammelwut bestinmmter Apps sicher.

Anfallende Reparaturen stellen jedoch ein weiteres Datenschutzrisiko dar, das auch die beste Verschlüsselung nicht lösen kann: Geräte, auf denen sensible Daten gespeichert sind, sollten unbedingt von einer zertifizierten Werkstatt repariert werden (Arbeitgeber:innen müssen das bei Firmengeräten sogar nachweisen können). Bei BYOD besteht jedoch die Gefahr, dass Mitarbeiter:innen ihr Smartphone-Display mal eben vom technisch versierten Schwager auswechseln lassen.

 

Alternative CYOD: „Choose Your Own Device“

Unser Fazit zu BYOD fällt besonders im Hinblick auf den Datenschutz also lediglich verhalten positiv aus, doch gibt es eine sinnvollere Alternative, die trotzdem den Bedürfnissen von modernen Mitarbeiter:innen gerecht wird? Die Lösung heißt: „Choose Your Own Device“, kurz CYOD. Bei diesem Arbeitsmodell können Angestellte aus einer Auswahl an mobilen Geräten, die Arbeitgeber:innen zur Verfügung stellen, wählen. Das schafft nicht nur eine bessere Übersicht über die im Unternehmen genutzten Geräte und verringert somit den Verwaltungsaufwand, auch Sicherheitsmaßnahmen können von Anfang an über ein MDM implementiert werden, wodurch sichergestellt wird, dass es nicht zu Datenschutzverstößen und im schlimmsten Fall hohen Bußgeldern kommt.

Wer auch von dieser Lösung nicht überzeugt ist, könnte es zur Entspannung einmal mit BYOB versuchen (nicht mit dem Lied der Band „System of a Down“, denn das wirkt auf die Wenigsten entspannend, sondern mit „Bring your own Beer“) und dabei über eine alternative Lösung nachsinnen – Ihr Datenschutzexperte wird Ihnen dann sicher gerne mitteilen, ob sie danteschutzrechtlich sinnvolle Ideen hatten.

Autorinnen: Maike Weiss und Kathrin Strauß
Artikel veröffentlicht am: 07. Oktober 2019

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr