6 Rechtstipps für "Bring Your Own"

„Bring Your Own Device“ (BYOD) ist auf den ersten Blick ein überzeugendes Konzept. Alle scheinen vom flexiblen Einsatz mobiler Endgeräte der neuesten Generation zu profitieren: die Mitarbeiter, die ihre Notebooks und Tablets privat und beruflich nutzen können, und die Unternehmen, die sich als attraktive Arbeitgeber positionieren können und dabei noch Hardware-Kosten sparen. Doch die Analysten der Experton Group und die Anwaltskanzlei SKW Schwarz warnen vor zu viel Euphorie. „So verlockend die innovativen Möglichkeiten sind, so anspruchsvoll ist die technische und rechtliche Umsetzung“, teilen Experton-Analyst Wolfgang Schwab und IT-Fachanwalt Martin Schweinoch von SKW Schwarz gemeinsam mit.

Für die IT-Abteilung biete die neue Client-Vielfalt im Unternehmen die Chance, zukunftsweisend zu agieren. Zugleich bestehe das Risiko, von neuen Technologien und Betriebsformen überrollt zu werden und Sicherheitsstandards nicht mehr einhalten zu können. Die Fallstricke seien sowohl technischer als auch rechtlicher Natur, so Schwab und Schweinoch. Nur mit einem ganzheitlichen Ansatz ließen sich die unterschiedlichen Anforderungen umsetzen und Risiken für das Unternehmen und das Management vermeiden.

Schwab: "Medien-Hype ignorieren"

„Wie häufig bei neuen technologischen oder organisatorischen Themen tun die meisten Unternehmen gut daran, den Hype der Anbieter und der Medien erst einmal zu ignorieren“, so Schwab aus technologischer Warte. Möglich sei ein BYOD-Ansatz nur in großen Unternehmen, sofern mindestens 100 Arbeitsplätze oder fünf Prozent aller Arbeitsplätze eingebunden werden können. „In der Produktion ist dies meistens ausgeschlossen“, so Schwab. „Ebenso in der Entwicklung – außer ein Mitarbeiter möchte seine eigene Workstation mitbringen.“

Zu klären sei vorab, ob Voraussetzungen wie Virtualisierungs- und MDM-Lösungen sowie Help-Desk sicher betrieben werden können. Außerdem sei zu prüfen, inwieweit sich durch BYOD in den Fachabteilungen Nutzenvorteile wie Kostensenkung, Umsatzerhöhung, längere Arbeitszeiten oder höhere Arbeitseffizienz realisieren lassen. Eine weitere Voraussetzung sei, dass ein positiver Return-on-Investment (ROI) erwartet werden darf.

„Einige Unternehmen werden feststellen, dass eine betriebswirtschaftliche Betrachtung schnell zu einem Aus für ein derartiges Projekt führt“, kommentiert Schwab. Andere stellten in Teilsegmenten oder bestimmten Abteilungen positive Ergebnisse fest. „Diese sollten sich dann die Technologie genauer ansehen und insbesondere entscheiden, ob der Betrieb der Mitarbeitergeräte selbst oder durch einen Dienstleister bewerkstelligt werden soll.“

Steuerliche Folgen berücksichtigen

Bevor es mit BYOD losgehen kann, sind dann aber noch einige Vorleistungen nötig. So sind Anreize über Geld, nichtmonetäre Vorteile oder über die Wahlfreiheit bei den Geräten zu setzen. Zielgruppe, Zeitraum und die Kommunikation mit Stellen wie Management, HR-Abteilung oder Betriebsrat sind zu definieren und abzustimmen, Betrieb und Wartung zu regeln. Zu achten ist ferner darauf, dass Ersatzlösungen für beschädigte oder verlorene Geräte existieren. Der Zugriff auf Unternehmens-IT und Backend-Systeme kann über das Internet oder über einen VPN-Kanal erfolgen. Eine Anmeldung im Corporate Network sei aus Sicherheitsgründen „eher nicht tragbar“, so Experton.

Neben diesen technischen, betriebswirtschaftlichen und organisatorischen Aspekten sind bei BYOD aber auch rechtliche Fragen von entscheidender Bedeutung. Schweinoch sieht im Vergleich zum klassischen Ansatz mit vom Unternehmen bereitgestellten Geräten zwei neue Herausforderungen. „Zum einen findet auf BYOD-Geräten eine Vermischung von privater und dienstlicher Nutzung statt“, so der Anwalt von SKW Schwarz. „Zum anderen stellt die technische Architektur marktgängiger Geräte mit frei installierbaren Apps neues Risikopotenzial in verschiedenen Aspekten dar.“

Der Experte nennt sechs wichtige Themenfelder:

• Erstens rechtliche Datensicherheits-Anforderungen wie etwa die Sicherung gegen unbefugten Zugriff, Zugriffsschutz für Unternehmensdaten, Handling von Security-Updates und Schutz vor Malware.

• Zweitens weitere Datenschutz-Anforderungen wie Zugriffskontrolle, Umgang mit privaten E-Mails und Daten, Backups sowohl von Firmen- als auch von Privatdaten sowie Monitoring und Remote Wipes der Geräte.

• Drittens empfiehlt sich wegen der Mitbestimmungsregelungen die Einbindung des Betriebsrates sowie das Formulieren einer Betriebsvereinbarung für den Einsatz von privaten Geräten.

• Viertens ist auf die Lizenzierung für Unternehmenssoftware auf den BYOD-Devices ebenso zu achten wie auf die Lizenzierung von Apps für dienstliche Nutzung. Bei der Kostenregelung ist fünftens auch auf die steuerlichen Folgen für Unternehmen und Mitarbeiter ein Augenmerk zu richten. Sechstens sollten Richtlinien für BYOD-Geräte sowie private Daten und E-Mails entwickelt werden. „Diese Aspekte und ihre Lösungen stehen in Wechselbeziehungen“, so Schweinoch. „Ein Vorgehen, das rechtliche Themen nicht proaktiv einbindet, führt nicht nur zu überflüssigem Aufwand, sondern vor allem auch zu Haftungsrisiken für Unternehmen und Management.“

• Viertens ist auf die Lizenzierung für Unternehmenssoftware auf den von Mitarbeitern mitgebrachten Geräten ebenso zu achten wie auf die Lizenzierung von Apps für dienstliche Nutzung.

Richtlinien für private Daten und E-Mails sind ein Muss

• Bei der Kostenregelung ist fünftens auch auf die steuerlichen Folgen für Unternehmen und Mitarbeiter ein Augenmerk zu richten.

• Sechstens sollten Richtlinien für BYOD-Geräte sowie private Daten und E-Mails entwickelt werden.

„Diese Aspekte und ihre Lösungen stehen in Wechselbeziehungen“, so Schweinoch. „Ein Vorgehen, das rechtliche Themen nicht proaktiv einbindet, führt nicht nur zu überflüssigem Aufwand, sondern vor allem auch zu Haftungsrisiken für Unternehmen und Management.“