Drei Studien, ein Problem
- Fast ein Drittel aller deutschen Unternehmen mit mehr als 1.000 Mitarbeitern hat durch BYOD bereits wichtige Daten verloren. Das besagt eine Studie, über die Heise berichtet.
- Andererseits erlaubt mit 43 % annähernd die Hälfte der IT-Unternehmen hierzulande den Mitarbeitern, eigene Geräte für die Arbeit zu nutzen, von denen wiederum nur 60 % dafür feste Regeln aufstellen – so eine andere Studie vom Branchenverband Bitkom.
- Wobei Betriebsvereinbarungen etc. oft ohnehin wenig bringen: Fast die Hälfte der Arbeitnehmer bis 32 schert sich schlichtweg nicht um Verbote und Einschränkungen und nutzt die eigenen Geräte einfach trotzdem. Das ergab eine Fortinet-Umfrage zum BYOD-Verhalten der „Generation Y“.
Kaum noch ohne BYOD
Dass BYOD für die Rechner- und Datensicherheit des Unternehmens ein Horror ist, liegt auf der Hand. Heterogene Hardware, unterschiedliche Betriebssysteme, eine völlig uneinheitliche Ausrüstung mit Firewalls, Virensoftware und Backup-Programmen, wenn überhaupt vorhanden. Dazu Nutzer, die das jeweilige Gerät als Teil ihrer persönlichen Ausrüstung begreifen, an allen möglichen Orten im Internet unterwegs sind, unkontrolliert herunterladen und installieren, mit weiß wem Kontakt haben und fleißig Wechseldatenträger nutzen …
Arbeitsrechtlich bzw. juristisch ist BYOD ebenfalls ein Alptraum. Arbeit und Privatsphäre, persönliche und Unternehmensdaten, Privatbesitz und Firmeneigentum – alles vermischt sich. Da freut sich der Anwalt, wenn es zu Konflikten kommt …
Dazu kommen die steuerlichen Unklarheiten, wenn Privat- und Firmeneigentum, berufliche und private Nutzung sich vermischen.
Trotzdem kann man BYOD oft kaum noch wirksam verbieten – s.o. Außerdem macht ein BYOD-VErbot die Suche nach jungen Talenten für den „Mangelberuf Anwendungsentwickler“ und ähnliche Jobs sehr viel schwieriger. Daneben ist BYOD der Preis (und der Köder) für die erhöhte Verfügbarkeit wichtiger Leute und spart oft Anschaffungskosten.
Schutzmaßnahmen festklopfen
Ganz wichtig: Eine verbindliche und arbeitsrechtlich wirksame Richtlinie zu BYOD etablieren.
Wichtig ist aber auch, die einschlägigen Risiken klar zu erfassen und versichert zu haben. Gerade an dieser Front ist das Unternehmen abhängig vom Verhalten Dritter und anfällig für Pleiten, Pech und Pannen.
Wenn das ganz große Datenleck oder der Komplettverlust wichtiger Firmendaten da ist, hilft Ihnen auch ein Haftungsanspruch gegen den Sündenbock nicht mehr viel. Dann retten Sie nur noch gute Nerven und eine ausreichende Deckung in Ihrer Versicherungspolice.
Punkte für eine BYOD-Richtlinie
Dennoch: Die arbeitsrechtliche Absicherung von BYOD ist absolut zentral – schon deshalb, um das Bewusstsein der Mitarbeiter zu schärfen und um Rechtsstreitigkeiten mit dem eigenen Personal von vornherein den Boden zu entziehen. Welche Punkte in Sachen BYOD im Arbeitsvertrag oder per Betriebsvereinbarung zu klären sind, haben die Rechtsanwälte Sebastian Dramburg und Matthias Sziedat in einem Gastbeitrag für Deutsche-Startups.de aufgelistet. Die von ihnen genannten Punkte kurz zusammengefasst:
- Klare Regeln dazu, wer wie viel bezahlt für Anschaffung, Zubehör und Reparaturen
- Haftung bei Softwarenutzung ohne Lizenz
- Regeln für Verlust oder Beschädigung
- Klare Abmachungen zum Umgang mit persönlichen Daten des Mitarbeiters auf dem Gerät
- Regeln für den Fall des Ausscheidens des Mitarbeiters oder bei akuten Konflikten
Fragen an Ihren Versicherer
Zusätzlich sollten Sie sich aber bei jedem dieser Punkte auch fragen: Wie steht mein Unternehmen da, wenn die Richtlinie nicht greift?
Ist das neue iPhone, das der Marketingchef auf der Messe liegen lässt, versichert? Wenn der Entwickler im Streit geht und das Unternehmen keinen Zugriff mehr auf den bislang erstellten Code auf dessen Laptop hat, wer bezahlt dann die Vertragsstrafe an den Kunden? Wie steht es, wenn der Vertriebsmitarbeiter sich einen Trojaner einfängt und die Kunden verteilt, die dann Schadensersatz fordern? Kann man für den Schaden vorsorgen, der entsteht, wenn ein Mitarbeiter die Kundendaten auf „seinem“ Laptop für ein eigenes Unternehmen nutzt?
Wie immer gilt: Das sind zum einen Themen für Ihre IT-Sicherheit. Das alles sind aber auch Versicherungsfragen. Sie sollten Sie Ihrem Versicherungsmakler oder Ihrem Versicherer stellen, bevor es passiert.
Fazit
BYOD ist ein Risiko, an dem Sie aber vermutlich kaum vorbeikommen. Um das Risiko zu begrenzen, müssen Sie es auf drei Ebenen angehen:
- auf Ebene der IT-Sicherheit: in Bezug auf die Geräte selbst,
- auf arbeitsrechtlicher Ebene: in Bezug auf Ihre Mitarbeiter
- auf Unternehmensebene: in Bezug auf Ihre betrieblichen Versicherungen
Außerdem sollten Sie mit dem Steuerberater über dieses Thema sprechen.
Links
- Rechtsanwälte Sebastian Dramburg und Matthias Sziedat: Bring your own device (BYOD) – praktisch, aber juristisch tricky – Anmerkungen eines Arbeitsrechtler und eines IT-Fachanwalts zu der BYOD-Problematik
- Bitkom-Leitfaden: Bring Your Own Device – Empfehlungen und Informationen des Branchenverbands zu verschiedenen rechtlichen Aspekten und zu möglichen Regelungsmodellen für Betriebe
- Dr. Lorenz Franck: „BYOD – Rechtliche und tatsächliche Aspekte“ (PDF) – ausführlicher Beitrag auch zu arbeits- und lizenzrechtlichen Aspekten
- Heise: „Bring Your Own Device“ zwar ratsam, oft aber noch schädlich – kurze Zusammenfassung der oben erwähnten Samsung-Studie
- t3n: „BYOD – Wie du Mitarbeiter glücklich machst und Risiken minimierst“ – Kürzerer Überblick über die BYOD-Probleme mit O-Tönen von Rechtsanwalt Thomas Schwenke
- Computerwoche: „Der Generation Y sind Security-Vorschriften zunehmend egal“ – Zusammenfassung der Fortinet-Studie