Immer mehr Arbeitgeber erlauben es Mitarbeitern explizit, für die Arbeit private Geräte zu nutzen. Die Idee: Die Arbeitnehmer nutzen die Geräten, die sie kennen und mögen, sie können berufliche und private Aufgaben kombinieren – und der Arbeitgeber spart sich die Anschaffung von
Smartphones, Tablets oder Laptops. Laut Bitkom soll das bereits in 43 Prozent aller IT-Unternehmen möglich sein. Doch nur 60 Prozent davon haben den Umgang in eigenen Richtlinien geregelt [1]. Dabei birgt die Verquickung von privaten und beruflichen Kontakten, Unternehmensdaten und Programmen erhebliche datenschutzrechtliche Risiken in sich.

Die Mehrzahl von Smartphones, Tablets und Laptops ist heutzutage für Verbraucher ausgelegt und erfüllt damit nicht die hohen Anforderungen, die Unternehmen an ihre eigene IT stellen. Allerdings bieten diese Devices Apps für die Terminverwaltung, Zusammenarbeit oder Datenspeicherung, die auch den Arbeitsalltag einfacher und effizienter gestalten. So integrieren die Mitarbeiter diese Geräte oft auch dann, wenn Unternehmen es nicht offiziell erlauben. Eine Schatten-IT entsteht – oft ohne das Wissen der Führungskräfte und IT-Verantwortlichen.

Sobald die Mitarbeiter über ihre Devices den Kontakt zum Firmennetzwerk herstellen, droht jedoch ein unkontrollierter Abfluss von Daten. Und es können Sanktionen der Datenschutzbehörden folgen, sollten personenbezogenen Daten verloren gehen. Denn auch wenn Daten auf einem privaten Gerät liegen, bleibt das Unternehmen die so genannte „verantwortliche Stelle“ im Sinne des Bundesdatenschutzgesetzes. Klare, schriftliche Regelungen, die die Sicherheitsaspekte regeln und Rechtssicherheit schaffen, sind also jedem Unternehmen zu empfehlen.

Zunächst einmal sollte eine entsprechende unternehmensinterne Richtlinie den freiwilligen Charakter der Nutzung eigener Geräte betonen, um den Unterschied zur Nutzung von Betriebsmitteln hervorzuheben. Außerdem sollte sie ein technisches Anforderungsprofil und die rechtlichen Rahmenbedingungen definieren: So kann beispielsweise nur die Nutzung von Geräten bestimmter Hersteller oder Betriebssystemen inklusive Mindestversionsnummern (etwa nur Geräte ab Android 2.3) erlaubt sein. Darüber hinaus kann der Einsatz bestimmter Unternehmenssoftware, Antivirenprogramme und anderer sicherheitsrelevanter Software Pflicht sein. Bestimmte Apps – wie Cloud-Speichermöglichkeiten – lassen sich zumindest für den geschäftlichen Bereich untersagen. Ein Verbot von Apps für den privaten Gebrauch, Jailbreaks und Root-Modifikationen stellt zwar einen erheblichen Eingriff in die Privatsphäre des Arbeitnehmers dar. Dennoch empfiehlt dies das Bundesamt für Sicherheit in der Informationstechnik [2].

Vorsicht geboten ist auch bei Apps, deren Lizenzen die kostenfreie Nutzung auf den privaten Bereich beschränken. Mitarbeiter sollten zunächst ihr Unternehmen informieren, bevor sie solche Applikationen einsetzen. Dann kann dieses gegebenenfalls Lizenzen für den gewerblichen Bereich erwerben. Duldet der Arbeitgeber die Nutzung ohne Lizenz, kann er unter urheberrechtlichen Gesichtspunkten haften.

Das größte Problem der BYOD-Praxis ist, dass geschäftliche E-Mails, Kontakte, Kalender und Datenbanken mit persönlichen E-Mails, Apps, Urlaubsfotos und anderen Dokumenten zusammentreffen. Arbeitgeber sollten hier darauf achten, nicht in den privaten Bereich der Arbeitnehmer einzugreifen: Die Überwachung oder gar die Löschung privater Daten ist rechtlich gesehen eine Datenerhebung oder -verarbeitung, die nur nach einer schriftlichen Einwilligung des Arbeitnehmers erlaubt ist.

Geschieht dies ohne Einwilligung, so drohen zivilrechtlich die Schadensersatzpflicht oder aber die Strafbarkeit der handelnden Personen wegen Verletzung des Fernmeldegeheimnisses (§ 206 Strafgesetzbuch). Am besten ist es, private und berufliche Daten möglichst weitgehend zu trennen und entsprechende Richtlinien auf die Regelung der beruflichen Daten zu begrenzen.

Technisch lässt sich diese Trennung über Container- oder Sandbox-Programme erreichen. Dabei legt der Arbeitgeber auf dem privaten Gerät einen verschlüsselten Bereich an, den er aus der Ferne warten und mit Programmen und Daten bestücken kann. Dieser Bereich ist nur per Passwort zugänglich und nur von dort aus ist der Zugriff auf das Firmennetzwerk gestattet. Auch E-Mail-Clients, Kalender und Kontaktverwaltungen können die Mitarbeiter in einer geschützten Umgebung ausführen. Außerhalb der Container- oder Sandbox-Programme können sie das Gerät ohne Einschränkungen nutzen.

So hat die australische Regierung vor kurzem das Programm „Good for Enterprise“ zum Einsatz in Behörden freigegeben, das ehemalige Mitarbeiter des Blackberry-Herstellers RIM (jetzt BlackBerry Limited) entwickelt haben [3]. Produkte mit ähnlichem Funktionsumfang bieten auch Hersteller wie Excitor (DME Appbox) [4], McAfee (SecureContainer) [5] oder Pass (Pass Connect) [6] an.

Als Alternative zu Container- oder Sandbox-Programmen können Unternehmen ihre Firmendaten auch auf einem Firmenserver verarbeiten und speichern. Die Verbindung erfolgt über so genannte Terminal Sessions mittels VPN-Clients. Das Smartphone dient dann lediglich zum Anzeigen von Texten und Grafiken,
ähnlich einem Stream. Somit ist lediglich der Arbeitsspeicher des Geräts
betroffen.

Um die BYOD-Praxis mit Smartphones oder Tablets technisch zu ermöglichen, gibt es ganze Mobile-Device-Management-Suiten, die viele der dargestellten Funktionen mit einer Übersicht aller Geräte sowie mit Programmen für den Viren- und Malware-Schutz kombinieren. Bei einer kürzlich erschienen Überblicksstudie hat Gartner Inc. vor allem die Produkte der Hersteller AirWatch, Citrix, Fiberlink, Good Technology, SAP und MobileIron empfohlen [7]. Diese Tools richten sich in erste Linie an iOS- und Android-Nutzer.

BlackBerry bringt von Haus aus Funktionen wie „BlackBerry Balance“ mit, die private und geschäftliche Daten trennen. Dessen Betriebssystem-Version 10 führt neue Funktionen (Device Services) ein, wie die volle Geräteverschlüsselung, Sperrung von Hardware-Funktionen oder das Wechseln zwischen persönlichem und Arbeitsbereich mittels Gesten. Blackberry-Devices sind in angepasster Version daher auch für die deutsche Regierung zugelassen.

Doch auch iOS und Android bieten Funktionen, die den Einsatz privater Devices in Unternehmen erleichtern. Unter iOS 6 kann die IT-Abteilung zum Beispiel einen globalen Proxy einrichten, sodass der Internet-Verkehr über sichere Kanäle geht. Auch kann sie Sicherheitsfunktionen wie Geräteverschlüsselung oder Zugangskennworte softwareseitig erzwingen. iOS 7 hat die Möglichkeiten der Fernortung und -löschung verbessert – doch ist aus juristische Sicht Vorsicht geboten, wenn es um das Löschen von Arbeitnehmer-Daten oder Ortung geht. Android bietet in Version 4.2 eine Mehr-Benutzer-Verwaltung für Tablets. Unter Android liefern derzeit jedoch vor allem Zusatzanwendungen einen deutlichen Mehrwert – vor allem, weil sie auf vielen verschiedenen Geräten laufen. Auch Microsoft hat das Thema BYOD zuletzt verstärkt aufgegriffen: Windows 8.1, das in diesem Jahr erscheint, soll den mobilen Zugriff auf ein Firmennetzwerk erleichtern (Workplace Join), das Richtlinien-Management erweitern und eine Schnittstelle für externe Sicherheitsprogramme anbieten (Open-Mobile-Alliance-Device-Management-API). Kommende
Windows-Phone-Versionen werden derlei Entwicklungen sicherlich
integrieren.

Unternehmen sollten sich in jedem Fall einen Überblick über die derzeit
möglichen Sicherheitsvorkehrungen verschaffen. Aus rechtlicher Sicht ist
der Arbeitgeber sogar verpflichtet, personenbezogene Daten durch
technische und organisatorische Maßnahmen zu schützen, sobald er private
Geräte zulässt. Das kann zum Beispiel durch Zugangs- und
Zugriffskontrollen geschehen (§ 9 Bundesdatenschutzgesetz). Oft unberücksichtigt bleibt, dass geschäftliche Daten auf privaten Geräten auch den gesetzlichen Aufbewahrungspflichten unterliegen. Um etwa steuerlich relevante Mails und Belege gesetzeskonform aufzubewahren, müssen Mitarbeiter also ihre Daten regelmäßig mit den Unternehmens-Servern synchronisieren oder manuell sichern.

Weitere Probleme gibt es beim Verlust von Geräten: Unternehmen müssen in solchen Fällen gegebenenfalls die Aufsichtsbehörden informieren und die Daten zum Beispiel durch einen Fernzugriff löschen. BYOD-Richtlinien sollten darüber hinaus auch die Kostenverteilung, die Datenlöschung bei fehlender Erforderlichkeit oder die Herausgabe von Daten nach Beendigung des Arbeitsverhältnisses regeln. Hauptaufgabe einer BYOD-Policy muss es sein, diese Punkte vorherzusehen und klare Regeln zu bestimmen, um mögliche Probleme zu vermeiden.

Auf private Geräte muss im Büro oder auf Geschäftsreise niemand verzichten. Allerdings sollten klare Richtlinie den Rahmen für die Nutzung definieren. Ohne diese entsteht in Unternehmen früher oder später eine Schatten-IT mit erheblichen Haftungsrisiken – nicht umsonst wird BYOD häufig auch mit „Bring Your Own Desaster“ übersetzt. Mit den richtigen technischen und rechtlichen Rahmenbedingungen werden private Geräte jedoch problemlos Teil einer modernen Unternehmenskultur.