Bring Your Own Device (BYOD) – Digital-Trend mit Tücken

In der heutigen digitalisierten Welt vermischen sich Berufliches und Privates zunehmend miteinander. Das zeigt sich auch in einem Trend, der seit Jahren immer mehr aus den USA nach Deutschland herüberschwappt: BYOD – Bring Your Own Device. Viele Arbeitnehmer nutzen bereits ihre eigenen Laptops, Tablets und Smartphones für ihre berufliche Tätigkeit. Das ist komfortabler und kann die Produktivität fördern. Zugleich ist BYOD aber auch ein wahrer Alptraum für Datenschützer und Juristen, weshalb sich das Prinzip hierzulande noch nicht flächendeckend durchgesetzt hat.

„Bring Your Own Device“ heißt übersetzt so viel wie „Bring dein eigenes Gerät mit“. Das bedeutet im Klartext: Anstatt an einem firmeneigenen Rechner im Büro zu arbeiten, nutzt man seine privaten Mobilgeräte (z. B. Laptop, Tablet oder Smartphone). Dies ist aber in jedem Fall freiwillig, denn ein Firmenchef kann seine Angestellten im Rahmen seines Direktionsrechts nicht dazu zwingen, mit privater Hardware zu arbeiten. Stattdessen ist er grundsätzlich dazu verpflichtet, alle für die Arbeitstätigkeit nötigen Betriebsmittel bereitzustellen.

Der BYOD-Begriff findet aber nicht nur im beruflichen Kontext, sondern auch in Bezug auf Universitäten, Bibliotheken, Schulen und andere (Bildungs-)Institutionen Anwendung. Auch hier geht es darum, sich mit selbst mitgebrachten mobilen Endgeräten im internen Netzwerk der jeweiligen Einrichtung zu bewegen, anstatt das vorhandene Hardware-Angebot zu nutzen. Zur Umsetzung eines solchen BYOD-Prinzips braucht es eine eindeutige Leitlinie (im Englischen: BYOD policy). Diese legt fest, wie die Nutzer ihre eigenen elektronischen Geräte im Netzwerk verwenden dürfen, welche sicherheitstechnischen Vorgaben es gibt und welche Verhaltensregeln zu beachten sind.

In einem Unternehmen wird solch eine Leitlinie zumeist in Kooperation mit dem Arbeitnehmer bzw. dem Betriebsrat erstellt und in einer Zusatzvereinbarung im Arbeitsvertrag festgeschrieben. Dies ist auch notwendig, denn mit BYOD sind zahlreiche komplexe Fragestellungen verbunden, die einer genauen Klärung bedürfen, etwa zu Kontroll- und Zugriffsrechten, zur Privatsphäre der Mitarbeiter und zum Datenschutz im Unternehmen. Da „Bring Your Own Device“ in Deutschland immer noch juristisches Neuland darstellt, schafft der Arbeitgeber somit die erforderliche Rechtsgrundlage, an der sich alle Beteiligten orientieren können.

Eine „Bring Your Own Device“-Politik ergibt überall dort Sinn, wo elektronische Arbeitsplätze zur Verfügung stehen, deren Funktionsumfang auch von privaten Geräten abgedeckt werden kann. Bislang findet BYOD vor allem im Bildungssektor sowie innerhalb von Unternehmen Anwendung.

BYOD im Bildungssektor

Dass Studenten ihre Laptops auf den Campus mitbringen, um in den Freistunden zwischen den Vorlesungen Präsentationen und Hausarbeiten vorzubereiten, ist an den meisten Universitäten längst selbstverständlich. Aber auch an immer mehr Schulen werden eigene oder mitgebrachte Computer sowie Smartphones als Hilfsmittel ins Curriculum eingebunden. Bei der Frage nach dem tatsächlichen Bildungsnutzen solcher BYOD-Systeme halten sich Pro- und Contra-Positionen jedoch die Waage.

Gemäß einer Forsa-Studie von 2014 beispielsweise unterstützen 43 Prozent der Lehrer an deutschen Schulen die Verwendung elektronischer Geräte und digitaler Medien im Unterricht, während 48 Prozent diese für überflüssig halten. Ein Argument gegen BYOD an Schulen liefert etwa die OECD-Studie „Students, Computers and Learning: Making the Connection“: Diese ergab, dass diejenigen Schüler die besten Prüfungsergebnisse erzielen, die nur selten mithilfe digitaler Medien lernen.

Das oft genannte Gegenargument zu dieser Ansicht lautet, dass elektronische Geräte im Unterricht nicht vorrangig der Verbesserung von Prüfungsleistungen, sondern in erster Linie der Vermittlung von IT-Kompetenzen für den digitalisierten Alltag und die moderne Arbeitswelt dienen sollen. Sinnvoll eingesetzt, passen laut den BYOD-Unterstützern somit auch private Smartphones in den zeitgemäßen Bildungsauftrag der Bundesrepublik.

Aus diesem Grund wird das Projekt weiterhin vorangetrieben, wenn auch mit bisher mäßigem Erfolg. Nach dem Willen der Kultusministerkonferenz sollten Schüler bereits ab Sommer 2018 regelmäßig und systematisch mithilfe elektronischer Geräte auf digitalen Schulplattformen lernen. Erste Pilotprojekte in den Bundesländern sind aber bislang an Mängeln bei der technischen Umsetzung und beim Datenschutz gescheitert. Zudem konnten viele Probleme noch nicht zufriedenstellend gelöst werden, etwa die Vereinbarkeit des BYOD-Prinzips mit den geltenden Prüfungsrichtlinien – zu groß sei die Verlockung, über das Smartphone im Internet nach den korrekten Prüfungsantworten zu suchen, wenn der Lehrer gerade nicht hinsieht.

BYOD im Unternehmen

Für Angestellte bedeutet die Einführung eines BYOD-Prinzips vor allem eines: höherer Komfort im Arbeitsalltag. Anstatt mit teilweise langsamer, da selten aktualisierter Firmen-Hardware zu arbeiten, können sie auf ihre eigenen Geräte zurückgreifen, die oft auf dem neuesten Stand der Technik sind. Auf Geschäftsreisen ist es zudem eine Erleichterung, neben dem privaten Laptop nicht auch noch ein zweites Gerät mitnehmen zu müssen. Die Initiative für eine BYOD-Politik im Unternehmen kommt daher zumeist von den Angestellten, insbesondere von den jüngeren, die mit mobilen Endgeräten aufgewachsen sind.

Aus diesem Grund haben Arbeitgeber, die sich offen gegenüber „Bring Your Own Device“ zeigen, ein wertvolles Incentive an der Hand, das bei der Bewerbersuche helfen kann – schließlich demonstriert das Unternehmen damit, dass ihm die Mitarbeiterzufriedenheit am Herzen liegt. Bei BYOD-Vorreitern wie IBM erhofft man sich gleichzeitig eine höhere Produktivität, wenn die Angestellten mit den Geräten arbeiten, mit denen sie sich am besten auskennen. Zudem bietet die Integration privater Endgeräte in den Arbeitsalltag eine ideale Voraussetzung für Homeoffice und flexibles Arbeiten. Ebenfalls zu nennen sind die ökonomischen und ökologischen Vorteile: Arbeitgeber sparen Kosten für die Beschaffung neuer Bürogeräte und verringern somit auch ihren negativen Einfluss auf die Umwelt.

Auf der anderen Seite stehen der hohe Implementierungs- und Wartungsaufwand sowie die damit verbundenen Kosten. BYOD kann zu mehr Komplexität im Betriebsablauf führen und steht damit der weit verbreiteten Strategie zur Vereinheitlichung der IT-Infrastruktur in Organisationen entgegen. Eine Umsetzbarkeit ist also von der intensiven Kooperation der Angestellten abhängig. Nur so können die verschiedensten technischen sowie organisatorischen Herausforderungen gemeistert werden, die damit einhergehen.

Und auch für die Arbeitnehmer kann BYOD einige Schattenseiten haben: Nach der aufwendigen Einrichtung sämtlicher notwendiger Dienste auf dem Heim-PC müssen sie sich mitunter damit abfinden, dass die Firma eine gewisse Kontrolle über das Gerät ausübt, um die Sicherheit geschäftlicher Daten und des hauseigenen Netzwerks zu gewährleisten. Außerdem muss sich der Nutzer mitunter an den anfallenden Kosten beteiligen. Ein weiteres Problem ist die potenzielle Beeinträchtigung der Work-Life-Balance: Hat man auf Büro-Anwendungen wie etwa das E-Mail-Postfach auch von zuhause aus fortwährend Zugriff, sieht man sich eher gezwungen, ständig erreichbar zu sein – Berufliches und Privates vermischen sich so immer mehr. Umgekehrt ist die Frage, ob man sich bei der Arbeit am privaten Laptop leichter ablenken lässt als am Firmen-Computer.

Obgleich BYOD offenkundige Vorteile für Lehrer und Schüler sowie Arbeitgeber und Angestellte hat, ist es doch mit einigen sicherheitspolitischen und rechtlichen Risiken verbunden.

BYOD und Datenschutz

Egal ob im Unternehmen oder einer anderen Art von Organisation – „Bring Your Own Device“ stellt immer ein nicht zu unterschätzendes Sicherheitsrisiko dar. Um zu verstehen, wie brisant das Thema Datenschutz in diesem Zusammenhang ist, stelle man sich folgende Szenarien vor:

• Szenario 1: Sensible Kunden-, Mitarbeiter- und Firmendaten werden auf einem nicht oder nur teilweise kontrollierbaren Fremdgerät gespeichert und verarbeitet. Da es sich hierbei um Hardware und Software handelt, die bisher vorrangig für den privaten Gebrauch eingesetzt wurde, könnte der Besitzer schwächere Sicherheitsmechanismen installiert haben, als in einer unternehmensinternen IT-Umgebung üblich wäre. Womöglich geht er aus Gewohnheit auch laxer mit Spam-Nachrichten und ominösen Links um, was das Risiko für erfolgreiches Phishing erhöht. Denkbar ist auch, dass das Gerät gestohlen wird oder verloren geht, was einer sicherheitspolitischen Katastrophe gleichkommt.
   
• Szenario 2: Andersherum stellt ein privates Endgerät auch ein Sicherheitsrisiko für das interne Firmennetzwerk dar. Wählt es sich über eine unverschlüsselte Verbindung ein oder ist bereits durch Malware kontaminiert, kann es die IT-Infrastruktur stören oder gar (unbeabsichtigt) geheime Datenbanken ausspionieren.

Nun muss der Datenschutz – insbesondere der von personenbezogenen Daten gemäß DSGVO – auch auf privaten Geräten gewahrt bleiben. Und das Unternehmen – nicht der Arbeitnehmer – hat dafür die volle Verantwortung. Das stellt die Führungsebene wie auch die IT-Abteilung vor große legislative, technische sowie administrative Herausforderungen, vor allem, wenn eine Vielzahl verschiedener Geräte mit unterschiedlichen Betriebssystemen und Programmen im selben Netzwerk integriert werden muss.

Unter diesen Umständen ist es absolut legitim, dass sich der Chef eine gewisse Kontrollbefugnis über die Geräte herausnehmen muss. Dazu gehört, die Umsetzung der erforderlichen Datenschutzmaßnahmen zu überwachen, die strenge Trennung von geschäftlichen und privaten Daten sicherzustellen und im Zweifelsfall Daten aus der Ferne zu löschen oder wiederherzustellen. Gleichzeitig müssen diese Bemühungen mit dem Recht zur informationellen Selbstbestimmung des Nutzers gemäß DSGVO übereingebracht werden – eine komplexe und zugleich konfliktreiche Angelegenheit, bei der man jedes noch so kleine Detail bedenken muss.

Sämtliche relevanten Fragen müssen also eindeutig beantwortet sein, z. B. „Darf auch die Familie eines Arbeitnehmers das Gerät verwenden?“ und „Was passiert mit den firmeneigenen Daten, wenn der Arbeitnehmer kündigt?“. Diese anfänglichen Unklarheiten zu beheben, kann einen nicht zu unterschätzenden Mehraufwand für das Unternehmen darstellen. Die fertige BYOD policy muss dann offen und transparent gegenüber dem Mitarbeiterstab kommuniziert werden, um die Gefahr für Daten-Leaks und Verletzungen des Datenschutzrechts zu verringern. Ein gewisses Restrisiko bleibt aber immer bestehen, da der Arbeitgeber durch das Vertrauen in seine Angestellten auch einen Teil seiner Kontrolle aufgibt.

Was die technische Seite anbelangt, bedienen sich IT-Abteilungen, die mit der Umsetzung eines BYOD-Konzepts betraut wurden, verschiedener Lösungsansätze:

• Gängige Zugriffshürden: Dazu gehören u. a. verschlüsselte Verbindungen via VPNs, eingeschränkte Dienstangebote sowie die Zwei-Faktor-Authentifizierung.

• Container-Lösungen: Um die Sicherheit sensibler Daten auf privaten Endgeräten zu gewährleisten, setzen viele Unternehmen auf verschlüsselte „Container“. Dabei handelt es sich um isolierte und zugriffsbeschränkte Partitionen auf dem lokalen Festplattenspeicher, in denen Daten gespeichert und von denen aus die Verbindung zum Firmennetzwerk hergestellt wird.
   
• Mobile Device Management: MDM-Software wie AirWatch oder MobileIron dient der zentralen Integration und Administration privater Geräte im Unternehmen. Über die professionellen Benutzeroberflächen verwaltet man Daten, installiert Updates und konfiguriert Sperren für unsichere WLAN-Verbindungen und Apps unbekannter Drittanbieter. Da man als Mitarbeiter jedoch zwischen den voneinander getrennten Arbeitsplätzen für Privates und Berufliches hin- und herschalten muss, geht Mobile Device Management zulasten der Nutzerfahrung. Die stärkere Kontrolle durch den Arbeitgeber hat zudem negative Implikationen für die Privatsphäre.
   
• Sandbox-Lösungen: Eine häufig genutzte Alternative zu den genannten Lösungsansätzen sind zudem virtuelle Desktop-Infrastrukturen sowie Webanwendungen, die einen Remote-Zugriff vom Privatgerät auf den Firmenrechner erlauben und somit keine sensiblen Daten auf Fremdgeräten speichern. Dazu gehören etwa Cloud-Dienste und Online-Kollaborationsplattformen wie Microsoft Exchange.

Anhand der bildungstechnischen, unternehmerischen, sicherheitspolitischen und juristischen Gesichtspunkte in Bezug auf BYOD wird ersichtlich, dass den Vorteilen des Prinzips scheinbar ebenso viele Nachteile gegenüberstehen. Im Folgenden fassen wir die daraus abgeleiteten Pro- und Contra-Argumente von BYOD noch einmal zusammen:

Offenkundig bietet das BYOD-Prinzip viele Vorteile, und zwar sowohl für Arbeitnehmer als auch für Arbeitgeber. Dennoch hat es sich in Deutschland noch nicht umfassend durchgesetzt, was vor allem auf die strengen (datenschutz-)rechtlichen Regelungen zurückzuführen ist. Laut einer Bitkom-Umfrage von 2013 lehnen knapp die Hälfte der deutschen Unternehmen BYOD ab, mit der Begründung, dass die erwarteten Kostenersparnisse durch den Wartungs- und Sicherheitsaufwand weitestgehend kompensiert würden. Andere Studien geben sogar noch viel höhere Werte an.

In den USA, wo das Konzept ursprünglich herkommt, zeichnet sich zudem bereits eine Trendwende ab: Gemäß einer Umfrage des internationalen IT-Branchenverbands CompTIA sei die Anwendung von BYOD-Systemen in den letzten Jahren wieder deutlich zurückgegangen. Die Ära der Privatgeräte am Arbeitsplatz sei vorbei, stattdessen hätten sich vor allem zwei Gegenkonzepte etabliert, die dem Arbeitgeber wieder mehr Kontrolle über ihren Daten sichern:

• Choose Your Own Device (CYOD): Mitarbeiter können aus einer breiten Palette an Geräten wählen, die von der Firma finanziert werden und sich deshalb de facto in ihrem Eigentum befinden. Die Nutzung für private Zwecke muss jedoch explizit in einer policy gewährt werden.
   
• Corporate Owned, Personally Enabled (COPE): Mitarbeitern ist es ausdrücklich erlaubt, ein firmeneigenes Gerät auch privat zu nutzen. Da sie dann aber für die grundsätzliche Einrichtung und den Basis-Support des Geräts verantwortlich sind, setzt dieses Prinzip eine gewisse technische Versiertheit voraus.

Ob der BYOD-Trend auch hierzulande wieder abebben wird, bevor er überhaupt richtig Fuß gefasst hat, wird sich zeigen.