Eine große Herausforderung für Unternehmen stellt das Konzept zur Geräteverwaltung dar. Dabei stehen Fragen wie: Darf der Mitarbeiter sein eigenes mobiles Gerät im Unternehmen benutzen, um auf Ressourcen, wie E-Mail, Dokumente oder Kontakte zuzugreifen? Und ist es sinnvoll eigene mobile Geräte an die Mitarbeiter auszugeben? Was passiert beim Verlust eines Gerätes? Dieses Artikel beschäftigt sich mit den beiden Konzepten BYOD oder COPE und einigen rechtlichen Aspekten, die es zu beachten gilt.
Strategien zum Einsatz mobiler Geräte
Zwei Strategien zur Einbindung von mobilen Geräten in Unternehmen, die viel Verwendung finden, sind BYOD und COPE, die jeweils in den Unterkapiteln näher erläutert werden.
BYOD
Ein Konzept zur Einbindung mobiler Geräte in die Unternehmenswelt ist der BYOD Ansatz, welcher ermöglicht, dass Mitarbeiter ihre privaten mobilen Geräte für dienstliche Zwecke nutzen dürfen. So erhalten Mitarbeiter mehr Freiheit, aber auch gleichzeitig mehr Verantwortung bei Umgang mit geschäftlichen Informationen und Anwendungen. Auslöser für dieses Konzept war die schnelle Verbreitung von Smartphones, gepaart mit günstigen Mobilfunkverträgen und Flatrates. Doch ohne Richtlinien, an die sich die Mitarbeiter halten müssen, ist die Umsetzung schwierig. Dabei ist darauf zu achten, dass diese nicht allzu streng sind, da sonst die Nutzerfreundlichkeit eingeschränkt wird. Andererseits wird die Trennung von privaten und dienstlichen Umfeld aufgelöst, da für beides ein und dasselbe Gerät verwendet wird. Eine große Rolle spielt die Sicherheit, gerade wenn private mobile Geräte manipuliert sind, also einem Jailbreak oder Rooting unterzogen wurden. Auch die Verwendung von Apps darf nicht vernachlässigt werden, da Private und Dienstliche auf einem Gerät zum Einsatz kommen, auch während der Arbeitszeit. Der Supportaufwand und die Schulung des IT-Personals ist kosten- und zeitintensiv, da bei Problemen eines Mitarbeiters mit der Einrichtung bzw. der Verwendung die Unternehmens-IT gefragt ist. Jedoch lässt sich dies auf die eingesetzten Apps beschränken. Es ist wichtig, dass Unternehmen einen genauen Überblick über die eingesetzten privaten Geräte haben, umso bei Verlust etc. eines Gerätes aktiv handeln können. Außerdem lässt sich so analysieren, welches Gerät auf welche Ressource im Unternehmen zugreift. Die folgende Aufzählung zeigt einige Vor- und Nachteile, die sich aus BYOD ergeben:
Vorteile
- Minimierung der Kosten für die Evaluierung, Anschaffung, Verwaltung und Gewährleistungsansprüche bzw. Ersatz, da Mitarbeiter ihre eigenen Geräte benutzen und somit für diese eigenverantwortlich sind. Zudem gehen Mitarbeiter in der Regel mit privatem Eigentum schonender um, da die Anschaffungskosten von ihnen selbst getragen werden.
- Die Moral bzw. Produktivität wird gesteigert, da Mitarbeiter ihr präferiertes mobiles Gerät und ggf. Apps bei der Arbeit benutzen dürfen, welches nicht nur ein Gerät ihrer Wahl ist, sondern eines mit dem sie sich auskennen sowie identifizieren.
- Das Wissen des Mitarbeiters im Umgang mit seinem eigenen mobilen Gerät ist von Vorteil und kann den Support durch die Unternehmens-IT minimieren.
- Schnellerer technologischer Wandel, da Mitarbeiter bei entsprechenden Mobilfunkverträgen ihre mobilen Geräte jährlich wechseln dürfen.
Nachteile
- Die Geräte- und Plattformvielfalt eines BYOD-Konzepts kennt ohne entsprechende Regelung keine Grenzen, wodurch eine einheitliche Lösung zur Geräteverwaltung aller eingesetzten Plattformen und der damit verbundene Aufwand kostspielig ist. Gerade billige Geräte mit angepasster Firmware besitzen nicht alle Funktionen wie Teurere, was die Verwaltung erschwert. Zudem müssen Apps und Lösungen für mehrere Plattformen bereitstehen.
- Die Sicherheitsanforderungen an ein privates Gerät sind um einiges höher gegenüber einem Dienstlichen, da dieses nicht komplett kontrolliert wird. Eventuell ist das private Gerät mit Malware, Spyware o.ä. verseucht oder absichtlich kompromittiert. Daher sollte eine Trennung von privaten und geschäftlichen Daten immer erfolgen. Des Weiteren kann eine zu hohe Einschränkung die Mitarbeiter dazu bringen, private Geräte heimlich zu nutzen.
- Eine Einschränkung der mobilen Plattformen kann die Komplexität verringern, sich aber negativ auf die Moral der Mitarbeiter äußern, wenn das eigene Gerät nicht benutzt werden darf, dass des Kollegen hingegen schon.
COPE
Um das Sicherheitsrisiko zu minimieren und die Heterogenität etwas zu senken, ohne dabei die Moral des Mitarbeiters zu verringern, steht das Konzept COPE. Ähnlich wie bei der privaten Benutzung des Firmenwagens besteht hier die Möglichkeit, das mobile Gerät privat zu Nutzen. Die Kosten für die Anschaffung oder den Mobilfunkvertrag trägt hierbei das Unternehmen. Ist ein Gerät defekt oder geht verloren, ist auch hier das Unternehmen für die Reparatur bzw. Wiederbeschaffung verantwortlich. Zudem kann dem Mitarbeiter eine Auswahl an Smartphones angeboten werden, aus der er sein eigenes, präferiertes mobiles Gerät wählt. Mit der Freigabe, dass mobile Gerät auch privat nutzen zu dürfen, bekommt der Mitarbeiter die gleiche Autonomie, Flexibilität und Privatsphäre, wie bei seinem eigenen Gerät. Der Hauptunterschied zu BYOD ist die Haftung. Das Lizenzmanagement lässt sich klarer gestalten, da die Verwendung von Firmenkonten bei App Stores erzwungen werden kann. In diesem Zusammenhang sollte ebenfalls der Kauf von Apps geklärt werden. COPE bietet u.a. folgende Vor- und Nachteile:
Vorteile
- Die freie Geräteauswahl hebt die Moral der Mitarbeiter, da sie sich in der Regel Premium-Geräte aussuchen dürfen, die das Unternehmen finanziell trägt und so die Kosten für den Mitarbeiter entfallen. Ein privates Gerät muss daher nicht zwingend angeschafft werden.
- Steigerung der Produktivität, da die Grenzen zwischen privater und dienstlicher Nutzung schwinden und die Kommunikation häufiger aufrecht erhalten bleibt.
- Die Sicherheit steigt, da das Unternehmen den Anforderungen entsprechend die Wahl der Geräte und der Plattform vornimmt. Zudem bekommt es mehr Kontrolle über das Gerät und kann bspw. unsichere Apps vor der Installation schützen sowie die Richtlinien genauer definieren. Ebenso verringert es die Anforderungen an ein MDM-System in Bezug auf die Heterogenität der Plattformen.
Nachteile
- Mitarbeiter sind theoretisch immer erreichbar und fühlen sich ihrer Freizeit beraubt, wenn am späten Abend oder im Urlaub das mobile Gerät klingelt. Ohne entsprechende Regelungen führt das auf Dauer zu einer negativen Beeinflussung des Mitarbeiters.
- Zu hohe Einschränkungen der Nutzung des mobilen Gerätes senkt die Akzeptanz und führt ggf. dazu, dass Mitarbeiter versuchen ein eigenes mobiles Gerät zu nutzen.
- Der Gerätelebenszyklus sollte nicht zu lang sein, da sonst u.a. durch den technologischen Wandel das Interesse am mobilen Gerät verloren geht. Ferner ist der Umgang mit dienstlichen mobilen Geräten ist nicht immer so achtsam, wie mit privatem Eigentum.
Rechtliche Aspekte
Beide Konzepte zur Einbindung von mobilen Geräten in Unternehmen benötigen für eine erfolgreiche Umsetzung ein eindeutiges und verständliches Reglement. In einer schriftlichen Vereinbarung sollten dazu u.a. Fragen zum Datenschutz, Lizenzmanagement, Arbeitsrecht und der Haftung beantwortet werden. Dabei ist die größte Herausforderung ein Gleichgewicht zwischen dem Schutz der Privatsphäre des Mitarbeiters und den Interessen des Unternehmens zu finden. Durch das Reglement bekommen Mitarbeiter und Arbeitgeber einen Überblick über das, was erlaubt ist und was nicht. Dazu gehört auch die Möglichkeit des Arbeitgebers Zugriffs und Kontrollrechte auf das private mobile Gerät des Mitarbeiters zu bekommen, was ggf. eine Rechtsgrundlage bildet. Hierbei sollte genau definiert sein, ob dies regelmäßig oder nur im Verdachtsfall erfolgt und in welcher Form. Grundsätzlich steht es dem Arbeitgeber nicht zu, auf private Daten des Mitarbeiters zuzugreifen. Ein weiterer Punkt ist die Erreichbarkeit außerhalb der Arbeitszeiten. Dieser regelt, wann ein Mitarbeiter wie erreichbar sein muss und welchen Ausgleich es hierfür gibt. Des Weiteren sollte eine Vereinbarung über folgende Punkte getroffen werden:
- Berechtigter Mitarbeiterkreis und welche Geräte erlaubt sind
- Was der Mitarbeiter bei einem Geräteverlust zu tun hat
- Haftung bei Verlust des Gerätes
- Vorgaben bei der Gerätebenutzung, wie Geräteverschlüsselung oder Antivirensoftware
- Kostenaufteilung für z.B. Anschaffung, Wartung, Gewährleistung, eingesetzte Software oder Mobilfunkvertrag
- Sicherstellung der datenschutzrechtlichen Anforderungen
- Beendigung des Arbeitsverhältnisses
- Private Nutzung sowie Nutzung durch Dritte
Gerade die Haftung und Rechtslage sollte ausreichend geklärt sein, damit Mitarbeiter wissen, worauf sie sich einlassen. Dabei spielt der Schutz der personenbezogenen Daten ebenso eine wichtige Rolle. Zu beachten sind hierbei das Grundgesetz sowie das Bundesdatenschutzgesetz. Hierfür ist es ratsam, einen Datenschutzbeauftragten einzubeziehen. Zudem muss, falls vorhanden, der Betriebsrat und ggf. die Personalabteilung dem Reglement zustimmen. Das Unternehmen hat zusätzlich dafür zu sorgen, dass nur ordnungsgemäß lizenzierte Software zum Einsatz kommt. Diese kann personen- oder gerätebezogen sowie nur für den privaten bzw. dienstlichen Gebrauch vorgesehen sein. Unter Umständen können auch Erlassungs- bzw. Schadensersatzansprüche entstehen. Sollte ein Mitarbeiter das Unternehmen verlassen, muss geklärt sein, was mit den eingesetzten Lizenzen passiert.
Vergleich der Strategien
Während sich BYOD darauf konzentriert, dass Mitarbeiter eigene mobile Geräte im Unternehmen nutzen dürfen, zielt COPE darauf ab, Mitarbeitern ein frei wählbares Gerät bereitzustellen, welches zusätzlich eine private Nutzung beinhaltet. Zwei Strategien, die die Mobilität der Mitarbeiter in Unternehmen und darüber hinaus ermöglichen. Doch deren Erfolg ist abhängig von der Umsetzung. Mitarbeiter sollten befragt werden, ob sie eine BYOD-Strategie mit Unternehmensvorschriften unterstützen oder doch unternehmenseigene Geräte bevorzugen. Zudem sollte eine Analyse rechtlicher und IT-spezifischer Risiken erfolgen. Dabei spielt die Zusammenarbeit von Unternehmensführung, IT-, Datenschutz-, Personal- und Rechtsabteilung sowie ggf. dem Betriebsrat eine wichtige Rolle. Bei der Wahl einer MDM-Lösung ist die verfolgte Strategie mit entscheidend. Gerade die Trennung von privaten und geschäftlichen Inhalten oder Apps auf einem mobilen Gerät über eine Container-Lösung ist unter Sicherheitsaspekten sinnvoll. Während Startups eher von einer BYOD-Strategie profitieren, muss das bei mittelständischen und großen Unternehmen nicht immer der Fall sein. BYOD minimiert zwar die Anschaffungskosten für mobile Geräte, lässt jedoch die Kosten für die Implementierung und Verwaltung in die Höhe steigen. Eine weitere Überlegung wäre, Mitarbeiter bei einer BYOD-Strategie finanziell zu unterstützen, da die Motivation, sein eigenes Gerät bei der täglichen Arbeit zu benutzen, auch schnell wieder verloren gehen kann, wenn es z.B. um die Neuanschaffung, den Austausch oder die monatlichen Kosten geht. Auch die Work Life Balance ist nicht zu vernachlässigen. Egal ob BYOD oder COPE, die Erreichbarkeit der Mitarbeiter außerhalb der Arbeitszeiten bedarf einer Regelung. Gibt es keine Strategie oder eindeutige bzw. zu harte Regeln im Unternehmen, kann sich schnell eine „Schatten-IT“ bilden, da Mitarbeiter ihre eigenen mobilen Geräte willkürlich einsetzen. Unternehmensdaten können so unkontrolliert in die Hand Dritter gelangen bzw. Schadsoftware in das Unternehmen eingeschleust werden. COPE bietet hierbei für beide Parteien eine gute Mischung aus Sicht der Kosten, der Sicherheit und der Motivation. Mitarbeiter wählen aus verschiedenen mobilen Geräten, welches neben der dienstlichen auch eine private Nutzung vorsieht. Die Kosten hierfür übernimmt das Unternehmen, wobei die Kontrolle über das mobile Gerät im Unternehmen verbleibt. Welche Strategie letztendlich zum Einsatz kommt ist unternehmensabhängig. Liegt der Fokus eher auf Sicherheit und einer ausgedehnten Kontrollmöglichkeit, ist COPE die bessere Wahl. BYOD hingegen bietet sich an, wenn Unternehmen neuen Technologien gegenüber aufgeschlossen sind, die Produktivität im Vordergrund steht und die zu verarbeitenden Daten nicht der absoluten Verschwiegenheit unterliegen.