Bring Your Own Device (BYOD): Eine Gefahrenquelle?

Letztes Update:
27
.
03
.
2023
Lesezeit:
0
Min
Ein neuer alter Trend schickt sich an, sich vor allem in der Start-Up-Szene wieder durchzusetzen: BYOD. Mitarbeiter*innen ihre eigenen Geräte verwenden zu lassen, bietet viele Vorteile – aber leider noch mehr Gefahren. Über BYOD, CYOD – und BYOB.
Bring Your Own Device (BYOD): Eine Gefahrenquelle?
Die wichtigsten Erkenntnisse
  • BYOD ermöglicht Mitarbeitern die Nutzung eigener Geräte für Arbeitszwecke.
  • BYOD erhöht Flexibilität und Produktivität, birgt aber hohe Verwaltungs- und Sicherheitsrisiken.
  • Datenschutz und Datensicherheit sind größte Herausforderungen bei BYOD.
  • CYOD ist eine sicherere Alternative, bei der Mitarbeiter Unternehmensgeräte wählen.
  • Mobile Device Management (MDM) und Verschlüsselungen sind essentielle Schutzmaßnahmen.

Was ist BYOD?

BYOD ist die Abkürzung für „Bring Your Own Device“ und beschreibt ein Arbeitsmodell, bei dem Mitarbeiter:innen ihre eigenen mobilen Endgeräte, wie Laptops, Tablets oder Smartphones, ins Unternehmen mitbringen und sie für die Arbeit, aber auch weiterhin privat, nutzen.

Diese Vorteile verspricht BYOD…

Befürworter:innen von BYOD sehen als einen der größten Vorteile die hohe Flexibilität. Arbeit von überall zu jeder Zeit. Zudem sind Mitarbeiter:innen mit ihren privaten Geräten bereits gut vertraut. Eine zeitintensive Einführung in die Basics oder die Umgewöhnung an ein neues Betriebssystem fallen somit weg und das wiederum steigert die Produktivität. Während von Unternehmen zur Verfügung gestellte Hardware oft veraltet ist, sind private Geräte darüber hinaus häufig auf dem neuesten technischen Stand und können damit unter Umständen das technische Level einer Firma heben. BYOD spricht vor allem Start-Ups und eine junge Mitarbeiter:innen-Zielgruppe an und ist in den Augen vieler ein wichtiger Faktor für ein modernes Firmenimage.

Arbeitgeber:innen sahen zudem zu Hochzeiten von BYOD 2014/15 vor allem die Möglichkeit Kosten zu sparen, da Hardware-Anschaffungskosten für Fimren natürlich wegfallen, wenn Mitarbeiter:innen ihr eigenes Gerät mitbringen. Doch gerade dieser Punkt entpuppte sich unterm Strich als massiver Trugschluss und dürfte einer der Gründe dafür sein, warum die Beliebtheit von BYOD in den letzten Jahren stark abgenommen hat.

…und das sind die Gefahren

Während die Anschaffungskosten für Geräte tatsächlich wegfallen, sollten sich Arbeitgeber:innen unbedingt bewusst machen, welche „versteckten“ Kosten durch BYOD entstehen:

  • Das Modell bedeutet einen immensen Verwaltungsaufwand und somit mehrere Arbeitsstunden für die IT-Abteilung oder den Systemadministrator pro mobiles Endgerät.
  • Nach Art. 24 Abs. 1 der DSGVO muss der/die Verantwortliche (also der/die Arbeitgeber:in) z.B. einen Nachweis des rechtskonformen Umgangs mit personenbezogenen Daten erbringen, was einen viel größeren Arbeitsaufwand bedeutet, wenn jede:r Mitarbeiter:in das private Gerät nutzt.
  • Die Komplexität der IT-Verwaltung steigt obendrein durch heterogene Hard- und Software stark an, da es in der Natur von BYOD liegt, dass Mitarbeiter:innen mit verschiedenen Geräten arbeiten und es somit z.B. kein einheitliches Betriebssystem gibt.
  • Weitere Kosten können durch die Notwendigkeit von Mitarbeiterschulungen entstehen, da es einiges zu beachten gibt, wenn man die Sicherheit von Unternehmensdaten gewährleisten will (dazu später mehr).
  • Außerdem sollte jede:r, der/die BYOD im Unternehmen implementieren will, in ein Mobile Device Management (MDM) investieren. MDMs dienen der zentralen Verwaltung von mobilen Geräten und dem Schutz der darauf gespeicherten Daten.
     

Auch weitere vermeintlichen Vorteile von BYOD entpuppen sich bei genauerer Betrachtung als problematisch:

  • Studien der Universität Bonn haben gezeigt, dass die Nutzung von privaten Geräten am Arbeitsplatz die Produktivität eher senkt, da die Trennung zwischen Privatem und Beruflichen verschwimmt.
  • Das Argument der höheren Mobilität beinhaltet ebenfalls ein Risiko, denn Geräte, die überall hin mitgenommen werden, sind einem deutlich höheren Diebstahl- und Verlustrisiko ausgesetzt – ein absoluter Albtraum aus Datenschutzsicht! Handeln Arbeitnehmer:innen nicht grob fahrlässig oder vorsätzlich, haften Arbeitgeber:innen für das abhanden gekommene Gerät.
  • Je nach Tätigkeit des Unternehmens finden im Bereich BYOD außerdem noch viele andere Vorschriften Anwendung, z.B. aus dem Handels-, Steuer-, Organisations-, Gesellschafts-, Urheber- oder Bankaufsichtsrecht. Diese müssen alle beachtet und umgesetzt werden.
  • Ein weiteres Problem ergibt sich im Zusammenhang mit Software-Lizenzen. Denn die Lizenzen, die vom Unternehmen erworben wurden, gelten nicht für Mitarbeiter:innen als Privatpersonen, doch bei der Arbeit im BYOD-Modell befindet sich die Software auf dem privaten Gerät der Arbeitnehmer:innen, die somit auch in ihrer Freizeit Zugriff auf die Funktionen der Software haben.

Ist BYOD mit dem Datenschutz vereinbar?

Der Dienstleister für Cloud-Sicherheit Bitglass hat 2018 eine Befragung von knapp 400 IT-Experten aus verschieden Branchen zum Thema BYOD durchgeführt:

  • 61% der Befragten sahen in Datenlecks die größte Gefahr des Arbeitsmodells und ganze
  • 53% der Expert:innen, die in Firmen arbeiten, in denen BYOD erlaubt ist, fürchten, dass es in der Vergangenheit bereits zu unbefugtem Zugriff auf Unternehmensdaten kam.

An diesen Zahlen wird bereits deutlich, dass der Datenschutz und die Datensicherheit die größten Herausforderungen bei der Umsetzung von BYOD darstellen. Darum verwundert es auch nicht, dass Bring Your Own Device in der öffentlichen Verwaltung grundsätzlich verboten ist.

Arbeitgeber:innen sind rechtlich immer für die Einhaltung von Datenschutzgesetzen verantwortlich – sogar dann, wenn Arbeitnehmer*innen ohne ausdrückliche Genehmigung private Endgeräte für geschäftliche Zwecke nutzen. Hier ist es also wichtig, klar zu kommunizieren, was erlaubt ist und was nicht.

Für die Umsetzung von BYOD ist es außerdem ratsam, eine Nutzungsvereinbarung mit den Mitarbeiter:innen zu schließen, in der z.B. geregelt wird, wann welche Daten zu löschen sind oder inwieweit der/die Arbeitgeber*in Kontrollrechte für das private Gerät der Mitarbeiter:innen hat. Ebenfalls sinnvoll ist es, sich vertraglich das Recht zu sichern, mit den unternehmensbezogenen Daten auf einem privaten Endgerät genauso verfahren zu dürfen, wie mit solchen, die auf Firmenhardware gespeichert sind; d.h. uneingeschränkter Zugriff und im Bedarfsfall (z.B. Diebstahl oder Kündigung) Löschung per Remote-Zugang.

Verschlüsselungen – Lösung für das BYOD-Problem?

Unerlässlich ist zudem eine ausreichende Verschlüsselung der geschäftlichen Daten. Entweder der gesamte Gerätespeicher wird verschlüsselt oder es werden verschlüsselte Bereiche, sogenannte Container, eingerichtet. Für eine solche Trennung des Speicherplatzes gibt es zahlreiche Systeme am Markt. Diese Container haben zudem einen weiteren Vorteil: Den Schutz vor Datenklau bestimmter Apps. Wenn Arbeitnehmer:innen beispielsweise das gleiche Smartphone für Berufliches und Privates nutzen, können bestimmte Apps für den geschäftlichen Container gesperrt werden. Die Mitarbeiter*innen können die betreffende App dann trotzdem nutzen, wenn sie zum privaten Container wechseln, aber die Unternehmensdaten sind vor der Sammelwut bestinmmter Apps sicher.

Anfallende Reparaturen stellen jedoch ein weiteres Datenschutzrisiko dar, das auch die beste Verschlüsselung nicht lösen kann: Geräte, auf denen sensible Daten gespeichert sind, sollten unbedingt von einer zertifizierten Werkstatt repariert werden (Arbeitgeber:innen müssen das bei Firmengeräten sogar nachweisen können). Bei BYOD besteht jedoch die Gefahr, dass Mitarbeiter:innen ihr Smartphone-Display mal eben vom technisch versierten Schwager auswechseln lassen.

Alternative CYOD: „Choose Your Own Device“

Unser Fazit zu BYOD fällt besonders im Hinblick auf den Datenschutz also lediglich verhalten positiv aus, doch gibt es eine sinnvollere Alternative, die trotzdem den Bedürfnissen von modernen Mitarbeiter:innen gerecht wird? Die Lösung heißt: „Choose Your Own Device“, kurz CYOD. Bei diesem Arbeitsmodell können Angestellte aus einer Auswahl an mobilen Geräten, die Arbeitgeber:innen zur Verfügung stellen, wählen. Das schafft nicht nur eine bessere Übersicht über die im Unternehmen genutzten Geräte und verringert somit den Verwaltungsaufwand, auch Sicherheitsmaßnahmen können von Anfang an über ein MDM implementiert werden, wodurch sichergestellt wird, dass es nicht zu Datenschutzverstößen und im schlimmsten Fall hohen Bußgeldern kommt.

Wer auch von dieser Lösung nicht überzeugt ist, könnte es zur Entspannung einmal mit BYOB versuchen (nicht mit dem Lied der Band „System of a Down“, denn das wirkt auf die Wenigsten entspannend, sondern mit „Bring your own Beer“) und dabei über eine alternative Lösung nachsinnen – Ihr Datenschutzexperte wird Ihnen dann sicher gerne mitteilen, ob sie danteschutzrechtlich sinnvolle Ideen hatten.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!