Foto: Fotolia/vege
Ohne eine tragfähige ByoD-Strategie wird künftig wohl kein Unternehmen mehr auskommen. In dem Maße, wie private Endgeräte für dienstliche Zwecke genutzt werden, muss sich der Arbeitgeber Gedanken machen, wie er die daraus erwachsenden Risiken in den Griff bekommt. Die Herausforderung besteht darin, die Strategie so zu formulieren, dass die Sicherheitsanforderungen des Betriebs mit den Produktivitätsvorteilen für die Mitarbeiter in Einklang sind.
Wenn das Unternehmen eine Device Policy einführen möchte
Eine Device Policy ist das geeignete Werkzeug, um die Nutzung privater Devices für ein Unternehmen festzulegen. Zugleich bildet sie die Grundlage, auf der sich die Nutzung - anhand der gesetzlichen Vorgaben - verbindlich regeln lässt.
Deshalb sollte eine Device Policy in jedem Fall Folgendes enthalten:
-
Zugriffsregelungen für berechtigte Nutzer und deren Devices,
-
Angaben zur IT-Sicherheit und zum Umgang mit Unternehmensdaten sowie
-
Anweisungen zum Verschlüsselungs- und Speicherverhalten;
-
sinnvoll wären auch Hinweise zum Gebrauch von mobilen Devices auf Geschäftsreisen,
-
zur Nutzung von Software im Allgemeinen,
-
zum lizenzrechtlichen Umgang mit der Software sowie
-
zur Kostenübernahme.
Darüber hinaus empfiehlt es sich, die Policy-konforme Nutzung zu kontrollieren, also Kontrollregeln zu integrieren. Zudem sollten die Zustimmung des Mitarbeiters zum Zugriff des Unternehmens auf das private Device und Regelungen zur Herausgabe von Unternehmensdaten geklärt sein. All diese Themen müssen im Einzelfall sorgfältig identifiziert und abgearbeitet werden. Vorsicht: Die Einführung einer Device Policy im Unternehmen kann mitbestimmungspflichtig sein.
Wenn der Mitarbeiter unterwegs auf Unternehmensdaten zugreift
Unternehmensdaten enthalten oft Geschäfts- und Betriebsgeheimnisse sowie personenbezogene Daten von Mitarbeitern oder Kunden (beispielsweise Telefonnummern oder E-Mail-Adressen). Zu allem Überfluss werden sie regelmäßig mit privaten und unternehmensbezogenen Kontakten in sozialen Netzwerken vermischt. Straf- und Datenschutzrecht zwingen die Unternehmen, dies in ihren ByoD-Programmen zu berücksichtigen, die Strategie quasi vorausschauend umzusetzen.
Foto: Fotolia/Ben Chams
Was viele noch nicht wissen: Auch bei der Nutzung privater Devices sind die Arbeitgeber datenschutzrechtlich verantwortlich. Freie Mitarbeiter werden rechtlich sogar als "Auftragsdatenverarbeiter" eingestuft. Von daher sollten die Auftraggeber bei der Einführung einer ByoD-Strategie auch datenschutzrechtliche Anforderungen formulieren und kontrollierbar machen - hinsichtlich des Zugangs, Zugriffs sowie der Trennbarkeit der Daten.
Das gilt erst recht für Datengruppen wie Beschäftigten- und Gesundheitsinformationen sowie für Daten über Geschlecht, Religion oder Herkunft. Grundsätzlich ist der Zugriff privater Devices auf solche Daten zweifelhaft. Für den Schutz von Geschäfts- und Betriebsgeheimnissen kommt immer auch die strafrechtliche Komponente hinzu.
Die IT muss dafür sorgen, dass auf mobilen Geräten private und geschäftliche Daten getrennt verwaltet werden können. Sie verantwortet auch die Sicherung des Geräts vor unberechtigtem Zugriff Dritter - seien es Freunde, Kinder oder Lebenspartner. Die Unternehmen handeln richtig, wenn sie dafür zusätzliche Vereinbarungen mit den Mitarbeitern treffen. Es sollte klare Weisung für den Umgang mit personenbezogenen Daten sowie mit eigenen und fremden Geschäftsgeheimnissen geben. Mehr noch: Diese Vereinbarung muss, gemessen an den Verhältnissen im jeweiligen Unternehmen, technische, organisatorische und fachliche Einzelheiten der gesetzlichen Anforderungen umsetzen.
- 10 Tipps zur Consumerization der IT
2012 erlaubten 55 Prozent der Unternehmen in Deutschland Mitarbeitern, mit Privat-IT aufs Netzwerk zuzugreifen. Absolute Software gibt Ratschläge, wie man das stemmt.
1. Formulieren Sie eine simple und verständliche Richtlinie zur Verwendung von Privat-IT am Arbeitsplatz
2. Stellen Sie eine Liste der unterstützten Geräte bereit
3. Benennen Sie klar die Verantwortlichkeiten von Mitarbeiter und Arbeitgeber
4. Nennen Sie deutlich, welche Schritte die IT bei einem Sicherheitsvorfall unternehmen wird
5. Lassen Sie Mitarbeiter die Vereinbarung unterzeichnen
6. Sorgen Sie für Ihre Durchsetzung
7. Implementieren Sie Technologie, die die Mobilität der Consumerization unterstützt. Dazu zählen Remote-, Management- und Sicherheitsfunktionen, um Geräte online und offline verwalten zu können
8. Nutzen Sie die Daten, die Sie von den Geräten sammeln, um die Einhaltung der Unternehmensrichtlinien sicherzustellen
9. Implementieren Sie ein Verfahren, um ein Gerät bei einer Verletzung der Sicherheit oder der Unternehmensrichtlinien schnell und effektiv aus dem Netzwerk zu entfernen
10. Beobachten Sie neue technische Entwicklungen und aktualisieren Sie die Checkliste gegebenenfalls
Wenn Mitarbeiter Privatgeräte für Geschäftskommunikation nutzen
Hinsichtlich der geschäftlichen Kommunikation auf privaten Endgeräten gibt es gleich mehrere rechtliche Fettnäpfchen: straf- und datenschutzrechtliche Vorgaben, aber auch urheber-, und arbeitsrechtliche Möglichkeiten für Gesetzesverstöße. Strafrechtlich geht es um Bußgelder und Schadensersatzzahlungen, die Unternehmen und Management beim "fahrlässigen Nichterfüllen" drohen.
Auf der sicheren Seite ist, wer mit geeigneten technischen Vorkehrungen sowie Handlungsempfehlungen an die Mitarbeiter vorbeugt. Sinnvoll sind beispielsweise klare Absprachen für die Nutzung des Geräts bei Dienstreisen ins Ausland - auch um dem Zugriff ausländischer Staatsstellen vorzubeugen. Die Forderungen einzelner Länder hinsichtlich des Mitlesens von verschlüsselten E-Mails sind exemplarisch.
Wenn der Mitarbeiter einmal Unternehmensdaten verliert
Sind auf privaten Devices Unternehmensdaten gespeichert, kann der Arbeitgeber im Fall des Datenverlusts den Mitarbeiter haftbar machen - allerdings nur, wenn dieser selbst den Verlust verschuldet hat. Zugunsten des Mitarbeiters, auch des leitenden Angestellten, gilt das "Haftungsprivileg". Es greift, wenn die Nutzung des privaten Device im Interesse des Unternehmens liegt. In diesem Fall haftet der Arbeitnehmer nur für vorsätzlich beziehungsweise durch grobe oder mittlere Fahrlässigkeit verursachten Datenverlust ganz oder anteilig.
Das gilt unabhängig davon, ob der Verlust von Unternehmensdaten unmittelbar damit im Zusammenhang steht, dass das private Device für dienstliche Zwecke genutzt wurde. Das heißt, es gilt auch, wenn die Daten im Rahmen der privaten Nutzung verloren gehen. Ausgenommen davon sind nur die Vorstände und die Geschäftsführung. Sie haften für jeden vorsätzlich oder fahrlässig verursachten Datenverlust.
Wenn das Unternehmen private E-Mails einsehen möchte
Beim Zugriff auf private E-Mails greift das Fernmeldegeheimnis. Es besagt im Prinzip Folgendes: Auch wenn private E-Mails auf Unternehmens-Servern gespeichert und mit geschäftlichen E-Mails vermischt sind, kann das Unternehmen die private Kommunikation nicht einfach einsehen. Dazu muss der Mitarbeiter erst einmal zustimmen.
Private E-Mails sind für den Arbeitgeber also tabu. Als Ausweg bleibt nur eine klare Trennung von geschäftlichen und privaten Mails - unabhängig davon, wo diese gespeichert sind, also auf dem privaten Device oder auf dem Unternehmens-Server.
Wenn der Mitarbeiter das Unternehmen verlässt
Unternehmensdaten gehören dem Unternehmen. Entsprechend muss der Mitarbeiter bei Beendigung des Arbeitsverhältnisses die Daten an das Unternehmen herausgeben beziehungsweise sie auf seinem mobilen Device löschen. Der Gesetzgeber macht das zu einer arbeitsvertraglichen Pflicht. Zudem ergänzt er diese Regelung datenschutzrechtlich durch eine ausdrückliche "Löschungsverpflichtung".
- Bring your own … in Deutschland
Die IT muss den Bring-your-own-Trend schleunigste ernst nehmen. Sonst ziehen Power-User ihr Ding ohne sie durch, so eine aktuelle Forrester-Studie im Auftrag von Unisys. - Wie ist die "mobile Elite" in Deutschland strukturiert?
Ein Viertel aller deutschen "I-Worker" nutzt extensiv drei oder mehr Geräte wie Smartphones, Tablets oder PCs für den Job. - Wie nutzen die I-Worker ihre Mobile Devices?
70 Prozent der "Mobilen Elite" haben im vergangenen Jahr persönliche Geräte genutzt, um ihrer Arbeit zu erledigen. - Welchen Nutzen hat der Einsatz persönlicher Werkzeuge?
Der durchschnittlich I-Worker schätzt den Nutzen der persönlichen Werkzeuge für seine Produktivität deutlich geringer ein. - Divergierende Begründungen für "Bring your Own"
Die Anwender werfen der IT vor, ihnen nicht zur Verfügung zu stellen, was sie für ihre Arbeit brauchen. - Was wird auch ohne IT-Support genutzt?
Die IT-Unterstützung ist der "Mobilen Elite" ziemlich egal. Notfalls holt sie sich den Support woanders. - Wer nutzt was für die Kundenkommunikation?
Die I-Worker in Deutschland sind beim Einsatz von Smartphones und Social Media dem weltweiten Durchschnitt voraus. - Welche Programme/Apps werden eingesetzt?
E-Mail, Kalender und Kontakte werden bereits im Alltag eingesetzt. Spezielle Lösungen für CRM sind bislang noch die Ausnahme. - Warum sieht der IT-Bereich den Bring-your-own-Trend skeptisch?
Das Thema Sicherheit wird die IT-Abteilungen in den kommenden zwölf Monaten viel beschäftigen - mit höchstwahrscheinlich zweifelhaftem Erfolg. - Wie gut sind die unternehmensinternen Richtlinien?
Der Studie zufolge verfügen zwar die meisten Unternehmen über Sicherheits-Policies, doch fehlen oft die Tools, um diese durchzusetzen. - Wie gut es der Support für mobile Diveces in den Unternehmen?
Die Support-Qualität für unternehmensinterne mobile Devices ist im Vergleich zu 2011 gestiegen; das gilt jedoch nicht für private Endgeräte. - Wer hilft bei Problemen mit dem privaten Gerät?
Die IT geht davon aus, dass sie bei Problemen mit den mobilen Devices in jedem zweiten Fall kontaktiert wird. Die Anwender lösen ihre Probleme lieber selbst.
Wenn Kosten für Lizenzen, Support und Wartung entstehen
Wer kommt eigentlich für Softwarelizenzen, Support und Wartung auf, die im Zusammenhang mit den privaten Endgeräten entstehen? Die Antwort liegt auf der Hand: Die Kosten von Softwarelizenzen auf privaten Devices sowie die Gebühren, die für den zugehörigen Support und die Wartung anfallen, trägt der Lizenznehmer, sprich: der Vertragspartner des Anbieters.
Das kann sowohl der Arbeitgeber sein als auch der Arbeitnehmer. In den meisten Fällen ist es das Unternehmen, da die Software vom Betrieb zur Verfügung gestellt wird. Ob der Mitarbeiter für eine lizenzrechtlich erlaubte Mitnutzung privat installierter Software vom Arbeitgeber eine Kostenbeteiligung verlangen kann, müssen beide miteinander regeln. Entsprechendes gilt im Falle einer privaten Nutzung unternehmensseitig gestellter Software.
Wenn der Mitarbeiter sein Device für private Downloads nutzt
Ähnlich verhält es sich hinsichtlich privater Downloads, wenn das eigene Device betrieblich genutzt wird: Grundsätzlich ist der unmittelbare Verursacher rechtlich verantwortlich - in diesem Fall meist der Mitarbeiter. Erfolgt der Download auf das private Device über das Firmennetz, kann aber auch das Unternehmen verantwortlich sein.
In jedem Fall sollte das Unternehmen seine Mitarbeiter anweisen, die Downloads auf diesem Wege zu unterlassen. Dass die Anweisung eingehalten wird, muss es stichprobenartig kontrollieren, um das eigene Risiko einer rechtlichen Verantwortlichkeit zu verringern.
Wenn der Mitarbeiter private und Geschäftskommunikation mischt
Die Trennung zwischen privaten Daten und Unternehmensdaten ist nach Möglichkeit konsequent einzuhalten. Technische Lösungen liefern hier in erster Linie Remote-Zugriff auf das Firmennetz und lokale Festplatten oder private externe Speicherressourcen.
Eine logische Trennung muss auch dann machbar sein, wenn private und Unternehmensdaten auf einem einzigen privaten Speicher abgelegt werden. Im anderen Fall könnten unliebsame rechtliche Hindernisse auftreten. Last, but not least müssen die technischen Möglichkeiten um klare Weisungen an die Adresse der Mitarbeiter ergänzt werden. (qua)