Vor fünf Jahren schien der Trend noch unaufhaltsam: eigene Laptops, MacBooks und Smartphones im Job einzusetzen, war das Ding. Die Zahlen für BYOD steigen weiterhin ständig – die Begeisterung hat mittlerweile aber einige Dellen bekommen. Wir fragen: Ist „Bring Your Own Device“ noch zukunftsfähig?
Mit dem Privatgerät arbeiten: „Bring Your Own Device“ ist nach wie vor beliebt
Hintergrund: BYOD und Consumerization
Eins vorweg: Ich schreibe nachfolgend von BYOD immer im Unternehmenskontext. Der gleichnamige Einsatz im Bildungswesen (also BYOD in Schulen und Universitäten) hat hierzu zwar Berührungspunkte, ist aber nicht explizit gemeint. Also zurück zu den Firmen.
Es klang alles so schön!
Das C-Level war angetan, die HR-Abteilung happy. Mitarbeiter bringen einfach ihre eigenen Endgeräte mit an den Arbeitsplatz. Wie einfach, wie genial: Mit denen kennen sie sich aus, mit denen können sie gleich produktiv sein. Und finden es auch noch cool. Mobility zum Selbermachen, gelebte Digitalisierung, Consumerization, Smart Working, Home Office, Remote und Cloud und was nicht alles in der Wortwolke „Bring Your Own Device“ noch so mitklang.
Und das Beste daran: Der Arbeitgeber spart sich noch die Kosten für die Anschaffung der mitgebrachten Geräte.
Einkauf, Finances und Geschäftsführung wittern mit BYOD kräftige Einsparungen
Was klingt wie eine reine Win-win-Situation, ist bei genauerem Hinsehen allerdings in vielen Unternehmen doch nicht ganz so vorteilhaft: So wirft die Frage nach den Kosten eigentlich nur weitere Fragen auf, denn den Einsparungen stehen hohe Aufwände in der IT gegenüber. Die ganzen mitgebrachten Geräte müssen ja sicher in die Netzwerke des Unternehmens integriert werden – da wird Mobile Security zur Sisyphos-Aufgabe und zur „Monkey Work“.
Im Akkord BYOD-Smartphones ins Netzwerk einzubinden und zu konfigurieren macht nicht jedermann Spaß
Zudem drohen rechtliche Fallstricke. Rechtsanwälte warnen im Zusammenhang von Firmenhandys und DSGVO vor Datenschutzkontrollen und Abmahnungen. Arbeitgeber und Arbeitnehmer sind gleichermaßen verunsichert: Darf ich jetzt noch WhatsApp nutzen? Oder FaceTime? Hier gibt es viele Unsicherheiten und gefährliches Halbwissen.
Ist das Konzept BYOD also noch tragfähig?
Ich meine: nein. Es gibt bessere Alternativen. Aber alles der Reihe nach.
Mehr Produktivität mit „Bring Your Own Device“ (BYOD)
Hintergrund vieler BYOD-Szenarien ist oft die Tatsache, dass Mitarbeiter privat über bessere Hardware verfügen, als das Unternehmen, in welchem sie angestellt sind. Traurig eigentlich, aber klar: Wenn ich zuhause im Besitz eines flotten MacBooks bin, habe ich keine Lust, mich im Job an irgendeine Uralt-Dual-Core-Pentium-Möhre zu setzen, die fünf Minuten braucht, um einen Browser-Tab zu öffnen.
BYOD: Nicht alle Unternehmen bieten ihren Mitarbeitern die aktuellen Flaggschiff-Modelle von Apple oder Samsung an. Gegebenenfalls nutzen Angestellte dann lieber ihre eigene Hardware
Das gleiche gilt für Smartphones und Tablets: Wenn Mitarbeiter – und zwar egal, ob aus der Generation X, der Generation Golf oder der Generation Y – als Firmenhandy ein iPhone SE angeboten bekommen, gibt es lange Gesichter anstelle erhöhter Mitarbeiterzufriedenheit.
BYOD, Employer Branding und Mitarbeitermotivation
Ein Firmenhandy-„Downgrade“ ist definitiv kein positives Nutzererlebnis. Im schlimmsten Fall schädigt es nicht nur die individuelle Mitarbeitermotivation, sondern das gesamte Arbeitgeberprofil – wenn etwa Fakten zur technischen Ausstattung in Arbeitgeber-Bewertungsportalen genüsslich und mit zynischen Bemerkungen garniert von enttäuschten Employees oder ausgeschiedenen Mitarbeitern breitgetreten werden. Dann doch lieber eine BYOD-Strategie als Teil des Employer Branding?
Millenials wollen Mobiles Arbeiten
Generationsbedingt haben sich die arbeitnehmerseitigen Ansprüche an den Arbeitsplatz verschoben. Millenials erwarten eine technische Ausstattung, mit der sie produktiv sein können; die sie nicht ausbremst. Remote-Arbeit und Arbeiten von unterwegs gehören hier selbstverständlich mit dazu. Da das Smartphone heutzutage das wichtigste privat genutzte technische Gerät ist, erweitert sich dieser Anspruch wie selbstverständlich auf die mobilen Endgeräte.
Anything, anytime, anywhere
„Always on“? Bitte nicht. Millenials wollen nicht 24 Stunden am Tag für die Arbeit erreichbar sein. Und sie haben in der Regel keine Lust, zwei Smartphones mit sich herumzutragen. Aber: Sie wollen Tasks jederzeit von jedem Ort erledigen können – „anything, anytime, anywhere“. Nun klafft zwischen diesem Anspruch und der Realität insofern eine Lücke, als die Ausstattung mit geeigneten Mobilgeräten durch die Arbeitgeber zu niedrig ist.
Zwischen beruflich genutzten und bereitgestellten Mobilgeräten gibt es laut Gartner-Studie eine klaffende Lücke
(Bild: Gartner 2017)
Resultat: Die Mitarbeiter nutzen ihre privaten Smartphones sowohl privat als auch geschäftlich („Dual Use“). Selbst wenn es keine transparente Regelung im Unternehmen gibt oder sogar, wenn diese Nutzung ausdrücklich nicht gestattet ist.
Aber weil Evernote, Slack, Dropbox, Asana, Trello, Wunderlist und wie die Produktivitäts-Apps nicht alle heißen eben so nützlich sind, werden sie halt trotzdem verwendet.
Und spätestens hier gehen echte Probleme los – das kann nämlich die IT-Sicherheit des gesamten Unternehmens bedrohen und weitreichende arbeitsrechtliche Konsequenzen haben.
Softwarelizenzen und Urheberrecht
Das erste der rechtlichen Probleme im Zusammenhang mit BYOD betrifft die Lizenzierung von Programmen, die auf dem Mobile Device installiert sind. Nicht jede privat erworbene Software ist auch für den gewerblichen/unternehmerischen Einsatz gedacht. Durch diese „erweiterte“ Nutzung verletzen Mitarbeiter unter Umständen also das Urheberrecht.
Haftung bei Beschädigung oder Verlust des Endgeräts
Was passiert, wenn der Mitarbeiter das Gerät im beruflichen Einsatz verliert, beispielsweise im Außendienst oder auf einer Messe? Oder wenn das Gerät während der Arbeit beschädigt wird oder den Geist aufgibt? Wer haftet dann?
Wer haftet, wenn ein mitgebrachtes Mobile Device beschädigt wird?
Prinzipiell gilt: Wenn die Nutzung eines Privatgeräts in Kenntnis und Interesse des Unternehmens erfolgt, ist sie betrieblich veranlasst. Das heißt, dass Beschädigung oder Verlust des Geräts während der üblichen Arbeitszeit dem Arbeitgeber zuzurechnen ist. Im Zweifel ist es natürlich schwierig nachzuweisen, dass das Gerät ausgerechnet beim Lesen einer beruflichen Mail heruntergefallen ist. Hier droht also schon Ungemach.
Mobile Security: Haftung bei einem Security Breach
Entsteht der Schaden hingegen auf Unternehmensseite durch die Verletzung von Sicherheitsvorschriften, kann auch der Arbeitnehmer haftbar gemacht werden. Es empfiehlt sich deswegen, in einer Nutzungsvereinbarung festzuhalten, inwiefern der Arbeitnehmer eine Mitwirkungspflicht bei der Mobile Security und der Sicherung der IT-Infrastruktur hat.
Dies kann zum Beispiel bedeuten, dass er regelmäßig Updates von Apps und/oder Betriebssystem durchführen muss oder dass er nicht befugt ist, sein Smartphone zu rooten/zu jailbreaken. Zudem müssen Mitarbeiter in BYOD-Szenarien für die Sicherheit von Apps sensibilisiert werden: Nicht jede App aus dem App Store oder Google Play ist harmlos. Im schlimmsten Fall werden Passwörter abgegriffen oder Malware installiert, die zu Datendiebstahl, Wirtschaftsspionage und Erpressung („Ransomware“) führen können.
Der Anteil der Mitarbeiter, die nicht genehmigte Apps installieren, liegt laut Gartner-Studie bei bis zu 32 Prozent
(Grafik: Gartner)
Geldwerte Vorteile, Zuschüsse, Steuern, Betriebsausgaben durch BYOD?
Erhält der Arbeitnehmer vom Unternehmen einen Zuschuss für den Kauf eines BYOD-Smartphones oder Tablets, ist diese Zuwendung lohnsteuer- und sozialversicherungspflichtig. Anders kann dies in einem alternativen Vergabemodell aussehen.
Wichtig ist für die steuerliche Beurteilung, in BYOD-Szenarien alle Aufwendungen zweckgebunden – also streng getrennt nach betrieblicher und privater Veranlassung – aufzuschlüsseln. Ist dies geschehen, kann der Arbeitgeber die für die betriebliche Nutzung entstandenen Kosten als Betriebsausgaben absetzen. Sprechen Sie gerne mit uns zu den Voraussetzungen für die steuerlichen Vorteile.
Datenschutz, DSGVO und Bring Your Own Device
Bring-Your-Own-Device-Szenarien setzen eine strikte Trennung von privaten und geschäftlichen Daten voraus. Ansonsten drohen Verletzungen des Persönlichkeitsrechts, zum Beispiel, wenn das Unternehmen auf dem Endgerät private Daten im Rahmen einer Fernüberwachung miteinschließt.
Hier machen sich Arbeitgeber sogar schadensersatzpflichtig, da das Recht des Arbeitnehmers auf informationelle Selbstbestimmung verletzt wird. Mehr Infos dazu sowie die BYOD-relevanten Paragraphen können Sie hier finden.
Ein weiteres Problem ist die Vorhaltung personenbezogener Daten aus dem Unternehmensbereich auf den Privatgeräten. Nutzen Mitarbeiter beispielsweise den Messenger-Dienst WhatsApp, verstoßen sie gegen die EU-DSGVO: Denn die App sendet ohne Zustimmung der Betroffenen Kontaktdaten auf Server außerhalb der Europäischen Union. Damit drohen bei einer Datenschutzkontrolle hohe Bußgelder.
Datenschutz: Lösungen für BYOD
Es gibt technische Lösungen für den datenschutzrechtlich korrekten Einsatz von BYOD.
Datenschutz mit Container-App
Eine Variante ist Mobile Application Management mithilfe einer die Installation einer sogenannten Container-App. Ein Container ist ein verschlüsselter Bereich auf dem Smartphone.
In diesem abgetrennten Bereich werden die Firmendaten und -kontakte separat gespeichert. Die IT kann durch einen Vorkonfiguration die Installation unerwünschter Anwendungen im Container („Blacklisting“) sowie das Kopieren von Datenbeständen in den privaten Bereich unterbinden. Wird das Gerät verloren, können die Unternehmensdaten aus diesem Bereich auch per Remote gelöscht („Wiping“) und das Gerät gesperrt („Locking“) werden. Nachteil: Es entstehen Kosten für die Lizenz und IT-Aufwand.
Bekannte Container-Apps sind zum Beispiel Knox von Samsung, der VMware AirWatch Container oder SecurePIM.
Datenschutz durch Mobile Device Management (MDM)
Eine weitere Möglichkeit sind Mobile-Device-Management-Softwares. Diese Programme beinhalten in der Regel auch ein Modul zur Containerisierung von Apps, bieten darüber hinaus aber auch noch weitere Funktionen.
Näheres erfahren Sie in unserem MDM-Whitepaper.
BYOD und IT-Sicherheit
BYOD wirft neben Datenschutzproblemen aber auch Sicherheitsrisiken auf. Statistiken zeigen, dass fast jedes vierte mobile Endgerät gestohlen oder verloren wird. Ein entwendetes Firmenhandy kann für einen Hacker der Schlüssel zu wertvollen Unternehmensdaten sein – und ist damit der Alptraum eines jeden IT-Verantwortlichen.
Sicherheitsrisiko „Bring Your Own Device“
Eine wesentliche Gefahrenquelle ist, wenn Unbefugte Zugriff auf das Gerät erhalten. Dieser muss nicht zwangsläufig über den Diebstahl der Hardware erfolgen. Auch Schadsoftware (Viren, Trojaner etc.) kann Einfallstore öffnen und Datenlöschung oder Datenklau zur Folge haben.
Da die mitgebrachten Geräte – je nach Größe des Unternehmens – meist auf vielen unterschiedlichen Android- und iOS-Versionen laufen, ist die sichere Einbindung der mobilen Geräte in die Netzwerkstruktur eines Unternehmens eine echte Herausforderung für die IT. Meist ist hier auch das aktive Mitwirken der Mitarbeiter gefragt, Stichwort: Sensibilisierung.
Die Apps auf Smartphones und Tablets greifen oft auf Cloud-Apps zu, wie zum Beispiel den Speicherdienst Dropbox. Ist ja auch praktisch, wenn Daten auf dem Mobilgerät, dem Arbeitslaptop und dem Desktop-PC zuhause synchronisiert werden. Allerdings können solche Dienste auch Datenlecks verursachen, wenn etwa unsichere Passwörter verwendet werden.
Ob für das Unternehmen BYOD-Geräte eher Fluch oder Segen sind, ist aus der Sicherheitsperspektive recht eindeutig zu beantworten. Im Think-Progress-Blog von Lenovo kann man deshalb auch lesen:
Die Daten eines Unternehmens sind immer nur so sicher wie das unsicherste Gerät.“
BYOD – Vorteile und Nachteile im Fazit
Fassen wir noch einmal kurz zusammen.
Bring Your Own Device – Vorteile
- Kosteneinsparung beim Unternehmen bei der Anschaffung mobiler Endgeräte
- BYOD-Geräte in der Regel leistungsstärker
- erhöht Mitarbeiterproduktivität
- steigert Mitarbeiterzufriedenheit
- erleichtert Remote Work, Home Office, Mobiles Arbeiten
BYOD – Nachteile
- hohe IT-Aufwände durch heterogenes Software- und Hardware-Line-up
- IT-Sicherheitsaspekte (Datenlecks, Schadsoftware, Security Breaches)
- Datensicherheit (Wirtschaftsspionage, Hacker, Datenverlust
- Datenschutzprobleme (DSGVO, Trennung beruflicher und privater Daten, Fernüberwachung u.v.m.)
- Rechtslage bei Nutzung unklar, wenn keine ausdrückliche Nutzungsvereinbarung existiert
- Urheberrechtsverletzungen durch fehlende Software-Lizenzen notwendig
- Usability/Akzeptanz niedrig, wenn etwa das Privatgerät dem IT-Administrator überlassen werden muss
- Gefahr von Datensilos
- im schlimmsten Fall Kontrollverlust über Client-Landschaft des Unternehmens
Eine umfassende Analyse der Risikofaktoren finden Sie übrigens in unserem Blogartikel über BYOD-Risiken.
Ist BYOD alternativlos?
Nein, ist es nicht.
Mit „Choose Your Own Device“ haben Unternehmen die Möglichkeit, Firmenhandys rechtssicher und mit wenig IT-Aufwand einzusetzen und sich trotzdem die Anschaffungskosten zu sparen. Grundlage hierfür ist ein Firmenhandy-Mietmodell. Neben den Vorteilen DSGVO-Konformität, Mobile Device Management und einem 24-Stunden-Austauschservice im Fall eines Defekts, können Unternehmen hier auch durch die Reduzierung des Anlagevermögens profitieren (Stichwort: Capex-to-Opex-Shift).
Erfahren Sie alles hierzu unter: Choose Your Own Device.
BYOD-Weblinks
- BYOD ist tot. Ein Nachruf (Everphone.de)
- Trotz hoher Risiken sicher mobil arbeiten (IT-Daily)
- Das Geschäft der Hacker boomt (n-tv)
- BYOD – Chancen und Tücken einer Mobile-Stragie (Tecchannel)
- Worauf Unternehmen bei BYOD achten sollten (IT-Service Network)
- BYOD: Datenschutz beachten (Haufe)
- BYOD: Ausgewählte rechtliche Fragestellungen (Betrieb machen)
- Diensthandys: Whatsapp ist Arbeitgebern zu heiß (FAZ)
- Best Practice: Mobilgerätesicherheit bei BYOD (Search Networking)
- BYOD aus Sicht des Fiskus (Creditreform Magazin)
- Juristische Aspekte von BYOD (IT-Administrator)
- Warum Unternehmen nicht mehr auf BYOD setzen (Cancom)
