Während die Corona-Pandemie nach einer kurzen Sommerflaute nochmals richtig Fahrt aufnimmt, wird ein Konzept immer wichtiger – das Bring your own Device Konzept. Kein Wunder, dass die Bundesregierung die Pflicht für Arbeitgeber, seinen Mitarbeitern Homeoffice anzubieten, für sinnvoll erachtet hat. Doch dabei standen viele Unternehmen vor großen Herausforderungen. Neben Lieferengpässen in nahezu allen Elektronik-Sparten, sodass es kaum möglich war, einen Arbeitsplatz im heimischen Büro auszustatten, standen die Unternehmen vor großen organisatorischen, wie auch sicherheitsrelevanten Herausforderungen. Die Geräte der Arbeitnehmer verwenden, um mobil von überall aus zu arbeiten, war hierbei die Lösung vieler Unternehmen. BYOD – Bring your own Device – zu Deutsch etwa: bringe dein eigenes Gerät, nennt sich dieses Konzept. Dieses Konzept soll in dieser Arbeit vorgestellt werden, die Herausforderungen herausgearbeitet und diskutiert werden, sowie die Vor- und Nachteile von Stakeholdern gegenübergestellt werden. BYOD ist nicht erst seit der Corona-Pandemie bekannt. Eine Statistik des EHI Retail Institute ergab bereits 2015, dass 26% der Unternehmen ihren Arbeitnehmern BYOD anbieten.
Inhalt
Geschlechtsneutrale Schreibweise
Abbildungsverzeichnis
Abkürzungsverzeichnis
1. Einleitung
2. Theoretische Grundlagen
2.1 Bring your own Device - Begriff und Gründe
2.2 Geschichte
2.3 Herausforderungen
3. Lösungsansätze
3.1 BYOD Richtlinie
3.2 Mobile Device Management
4. Vor und Nachteile
4.1 Vorteile
4.2 Nachteile
5. Fazit und Ausblick
Literaturverzeichnis
Geschlechtsneutrale Schreibweise
Im Rahmen dieser Arbeit wird soweit wie möglich dem Gendergedanken Rechnung getragen, indem versucht wird, eine entsprechende Bezeichnung für beiderlei Geschlecht zu finden. Jedoch wird bei jenen Fällen, wo dies nicht gelang, zugunsten einer besseren Lesbarkeit auf das generische Maskulinum zurückgegriffen.
Personenbezogene Ausdrücke, wie “Schüler” oder “Lehrer”, werden im Text - gemäß den Grundregeln der deutschen Sprache - in ihrer allgemeinen Bedeutung angewendet. Sie beziehen sich gleichermaßen auf Frauen und Männer, solange nicht explizit eine geschlechtsspezifische Unterscheidung vorgenommen wird.
Abbildungsverzeichnis
Abbildung 1: Beispiel Lizenzrecht Adobe InDesign (vgl. Adobe 2020, 2021)
Abbildung 2: Strategien für mobile Geräte und das Ausmaß der Kontrolle durch die Organisation (Nunes et al. 2016, S. 56)
Abbildung 3: Funktionen von Mobile Device Management (ManageEngine 2021)
Abkürzungsverzeichnis
Abbildung in dieser Leseprobe nicht enthalten
1. Einleitung
Während die Corona-Pandemie nach einer kurzen Sommerflaute nochmals richtig Fahrt aufnimmt, wird ein Konzept immer wichtiger - das Bring your own Device Konzept. Kein Wunder, dass die Bundesregierung die Pflicht für Arbeitgeber, seinen Mitarbeitern Homeoffice anzubieten, für sinnvoll erachtet hat. (vgl. BMAS; Bundesregierung) Doch dabei standen viele Unternehmen vor großen Herausforderungen. Neben Lieferengpässen in nahezu allen Elektronik-Sparten, sodass es kaum möglich war einen Arbeitsplatz im heimischen Büro auszustatten, standen die Unternehmen vor großen organisatorischen, wie auch sicherheitsrelevanten Herausforderungen. Die Geräte der Arbeitnehmer verwenden, um mobil von überall aus zu arbeiten, war hierbei die Lösung vieler Unternehmen. BYOD - Bring your own Device - zu Deutsch etwa: bringe dein eigenes Gerät, nennt sich dieses Konzept. Dieses Konzept soll in dieser Arbeit vorgestellt werden, die Herausforderungen herausgearbeitet und diskutiert werden, sowie die Vor- und Nachteile von Stakeholdern gegenübergestellt werden. BYOD ist nicht erst seit der Corona-Pandemie bekannt. Eine Statistik des EHI Retail Institute ergab bereits 2015, dass 26% der Unternehmen ihren Arbeitnehmern BYOD anbieten. (Statista 2015)
2. Theoretische Grundlagen
2.1 Bring your own Device - Begriff und Gründe
Unter dem Namen Bring your own Device (BYOD) wird ein Unternehmensprogramm zum Einsatz von IT-Geräten verstanden, bei welchem Mitarbeitende Geräte im Arbeitskontext verwenden können und auf IT-Ressourcen des Unternehmens zugreifen können. Dabei ist das Gerät Eigentum des Arbeitnehmers. (vgl. Susanne Dehmel 2013, S. 5)
BYOD bedeutet übersetzt ins deutsche „bringe dein eigenes Gerät“. Mit Gerät sind dabei nicht nur statische PC-Arbeitsplätze und Laptops gemeint, sondern auch mobile Endgeräte wie Smartphones und Tablets.
Dabei kursieren vielerlei Begrifflichkeiten rund um das BYOD-Konzept, die voneinander abgegrenzt werden müssen:
- BYOC - Bring your own Computer und BYOPC - Bring your own PC sind mehr oder weniger Synonyme zu BYOD, allerdings werden die Geräteklassen dabei eingeschränkt.
Klar abzugrenzen gelten dabei folgende Konzepte:
- CYOD - Choose your own Device: Dieses Konzept erlaubt einem Arbeitnehmer, ein Endgerät aus einem vorgegebenen Rahmen, den der Arbeitgeber vorgibt, zu wählen. Dies hat für das Unternehmen einige Vorteile, welche zu einem späteren Zeitpunkt in dieser Arbeit behandelt werden.
- und UWYT - Use what you are told: In diesem Konzept nutzt der Arbeitnehmer das Endgerät, welches er vom Arbeitgeber gestellt bekommt. Es ist dabei noch strikter, als das CYOD.
Während der Laptop sich kaum von dem bekannten stationären Arbeitsplatz abweicht, sind Smartphones und Tablets für den Consumer-Markt entwickelt. Hardware und Betriebssystem sind auf private Belange der Nutzer abgestimmt. Das Bedienkonzept, sich sein Gerät nahezu nach grenzenlosen Wünschen mittels Apps zu individualisieren, führt zu neuen Nutzerverhalten. Das Smartphone und Tablet haben sich zu Allzweckwaffe gewandelt und werden als Kommunikationsmittel, vorzüglich für Social Media, Musik Abruf, Fotoapparat, uvm. genutzt. Die Nutzung von Laptops beschränkt sich dabei nur noch auf Musik, Fotos, Videos oder dem Abrufen von Internetseiten. (vgl. Walter 2014, S. 84-85) Dieser Wandel des Nutzungsverhaltens führt dazu, dass Unternehmen vermehrt BYOD anbieten, um dem immer größer werdenden Fachkräftemangel entgegen zu wirken. (vgl. CANCOM.info 2018)
2.2 Geschichte
Einige Jahre nach dem von Apple, mit ihrem ersten Smartphone, ausgelösten Boom um diese Geräte kam der Wunsch von Arbeitnehmenden auf, eigenen Geräte auch im Arbeitszusammenhang einzusetzen. Dieses etwa um 2010 stattfindende Phänomen wurde zusätzlich davon begleitet, dass privat modernere Geräte eingesetzt wurden, als im Arbeitsumfeld. (vgl. Borski 2016, S. 3) (Böhm) hingegen schreibt, das Bring your own Device aus den technikaffinen Gesellschaften im asiatisch-pazifischen Raum stammt. (vgl. Böhm 2013, S. 3)
Als ein Beispiel und vielleicht sogar als prägend für BYOD kann hierbei Barack Obamas Wahlkampagne um 2008/2009 betrachten. Hierbei arbeiteten seine Mitarbeiter während des Wahlkampfes mit den neuesten Apple Produkten. Als Obama dann mit seinem Beraterstab ins neue Haus einzog, geriet die Arbeit ins Stocken, da die Mitarbeitenden aufgrund der hohen Sicherheitsanforderungen und veralteter PCs die Arbeit schwerer fiel. (vgl. markusgross.de 2014)
In Deutschland ist im Jahre 2013 BYOD zwar angekommen, jedoch ist der Trend hierzulande nur mit gebremster Euphorie zu beobachten. Dabei spielen die strengen IT- Richtlinien und vor allem die Skepsis der IT-Verantwortlichen eine große Rolle. (vgl. Böhm 2013, S. 3)
Gedrängt von der Corona-Pandemie in welcher zum Zwecke der Minimierung des Infektionsrisikos Homeoffice-Angebote angeboten werden müssen, zeigen aktuelle Studien des Netzwerksicherheitsanbieters Fortinet deutliche Fortschritte im Hinblick auf BYOD. Von den in der Studie befragten Personen unter 30 Jahren gaben knapp drei Viertel an, dass sie aktuell private Geräte für berufliche Zwecke nutzen. (vgl. König Andrea 2020)
2.3 Herausforderungen
Mit einer Einführung von BYOD in einem Unternehmen entstehen diverse Herausforderungen. Sie sind grob in in 3 Bereiche untergliedert: dem IT- Sicherheitsaspekt, dem rechtlichen Aspekt und einem Sozialen Aspekt
2.3.1 Rechtliche Aspekte
In Deutschland ist das BYOD-Konzept vor dem Boom durch die Corona-Pandemie in den vergangenen zwei Jahren nicht flächendeckend eingesetzt worden. Das liegt nicht nur an den strengen IT-Sicherheitsrichtlinien, die Unternehmen selbst vorgeben, sondern auch an der Gesetzgebung in Deutschland und der EU. In der Welt sind Deutsche dafür bekannt, diszipliniert alle Vorschriften einzuhalten und stets gesetzeskonform zu sein. BYOD bringt Unternehmen hierbei aber in eine Zwickmühle, da hierbei immer wieder Widersprüche entstehen.
Das fängt bereits mit dem zu integrierenden Gerät an, welches in die Unternehmensinfrastruktur integriert werden soll, denn das ist im Eigentum des Mitarbeitenden. So darf das Unternehmen nur mit Zustimmung des Mitarbeitenden auf dessen Endgerät zugreifen. Dies erfordert eine schriftliche Vereinbarung. Ein Teil der Daten auf dem Endgerät gehört dem Unternehmen. Das Unternehmen haftet für die Verwendung der Programme und Firmendaten, die auf dem Gerät verarbeitet werden. Dabei greifen bereits diverse Gesetze aus den Bereichen Eigentumsrecht, Lizenzrecht, Urheberrecht und Datenschutzrecht. Schnell gerät man in rechtliche Grauzonen, wenn Ereignisse, wie Datenverlust, Kompromittierung des Geräts, oder ähnliches auftreten. (vgl. datenschutz-und-it-sicherheit.de 2021)
Aber nochmals alles auf Anfang. Das Thema BYOD birgt einige rechtliche Hürden, die zu beachten sind. Im Folgenden wird der rechtliche Aspekt nochmals in 3 Bereiche, Datenschutzanforderungen und Lizenzrechtliche Anforderungen unterteilt und genauer betrachtet. Neben diesen beiden Bereichen lassen sich noch viele weitere Bereiche finden, die an dieser Stelle nicht weiter betrachtet werden. Dabei handelt es sich um allgemeinrechtliche Dinge, aber auch um Spezialrechtliche Themen. Beispielsweise aus dem Grundgesetz (GG), dem Bürgerliches Gesetzbuch (BGB), dem Telekommunikationsgesetz (TKG), dem Telemediengesetz (TMG), dem Bundesdatenschutzgesetz (BDSG), dem Urheberrechtsgesetz (UrhG), dem Arbeitsrecht (Betriebsverfassungsgesetz, BetrVG), dem Handelsrecht (HGB und weitere), dem Steuerrecht (AO und weitere), dem Strafrecht (StGB), bestimmte EU-Richtlinien und gegebenenfalls weitere (z. B. Zugangskontrolldiensteschutz-Gesetz (ZKDSG)). (vgl. Kohne 2015, S. 26-27)
2.3.1.1 Datenschutzanforderungen
Ignorantia legis non excusat - Unwissenheit schützt vor Strafe nicht - alter römischer Rechtsgrundsatz
Die Datenschutzanforderungen stellen den vermutlich größten und wichtigsten Part des rechtlichen Aspekts dar.
„Das Unternehmen sollte jederzeit die Kontrolle über geschäftliche Daten wie E-Mails, Dokumente und Applikationen haben. Denn für dienstliche Daten, insbesondere personenbezogene Daten, trägt das Unternehmen die volle Verantwortung. Es muss die Erhebung, Verarbeitung und Nutzung vollständig kontrollieren können.“ (Susanne Dehmel 2013, S. 6). Dehmel stützt sich bei dieser Aussage auf den § 64 BDSG (bis 24.Mai 2018 noch den § 9 BDSG mit dessen Anlage) bzw. den Art. 32 DSGVO in welchen es heißt, dass die verantwortliche Stelle, also das datenverarbeitende Unternehmen, die technischen und organisatorischen Maßnahmen treffen muss. Dabei müssen private Daten unberührt bleiben. Weiter greift an dieser Stelle §88 TGK (bis 30.11.2021) bzw. § 3 TTDSG (ab 01.12.2021), wonach der Arbeitgeber auf private Daten ohne entsprechende Einwilligung des Mitarbeiters nicht oder nur eingeschränkt zugreifen darf. Der aktuell geltende § 64 BDSG schreibt daher unter anderem folgende Dinge vor: (vgl. im Folgenden § 64 BDSG)
- Zugangskontrolle: die Verwehrung des Zugangs zu Verarbeitungsanlagen.
- Datenträgerkontrolle: die Verhinderung des unbefugten Lesens, Kopierens, Verändern oder Löschen von Datenträgern.
- Zugriffskontrolle: die Gewährleistung, dass nur dort zugegriffen werden kann, wo es wirklich notwendig ist.
- Übertragungskontrolle: die Gewährleistung zur Überprüfung und Feststellung an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können
- Eingabekontrolle: Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem eingegeben oder verändert worden sind.
- Transportkontrolle: Gewährleistung, dass bei der Übermittlung
personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden
- Wiederherstellbarkeit: Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können
- Zuverlässigkeit: Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden
- Datenintegrität: Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können
- Auftragskontrolle: Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können
- Verfügbarkeitskontrolle: Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind.
- Trennbarkeit: Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können
- Verschlüsselung: Einige der oben genannten Punkte können und sollen mit dem Einsetzen von Verschlüsselungsverfahren geschützt werden.
2.3.1.2 Lizenzrechtliche Anforderungen
Nebst den Datenschutzrechtlichen Aspekten müssen auch lizenzrechtliche Aspekte erfüllt und beachtet sein. So müssen auf BYOD-Geräten Software des Unternehmens für private Zwecke und Software die privat lizenziert wurde, für die arbeitszwecke eingesetzt werden.
„Bei der Verwendung von Software für andere als die vertraglich vereinbarten Zwecke (zum Beispiel ausschließlich gewerbliche bzw. ausschließlich private Nutzung) kann es zu Nutzungshandlungen kommen, die urheberrechtliche Unterlassungsansprüche, sowie unter Umständen auch Schadensersatzansprüche auslösen. Diese werden in der Praxis vom Lizenzgeber als »Nachvergütungsansprüche« geltend gemacht.“ (Susanne Dehmel 2013, S. 10)
Eine Hybride Nutzung von Software lässt nicht jeder Softwarehersteller zu, sodass hier vertragliche, wie auch technische Herausforderungen für das BYOD-Modell entstehen.
BEISPIEL ADOBE INDESIGN
Die Firma Adobe bietet mit dem Produkt InDesign ein Layout- und Designtool, welches häufig für die Erstellung von Flyern, digitale Magazine, Broschüren oder sonstigen Medien verwendet wird. Adobe erlaubt es Volumenlizenzkunden die Software auf einem weiteren Gerät zu installieren und privat zu nutzen. Beschränkt wird dies nur dadurch, dass man die Software nicht gleichzeitig auf den zwei Geräten ausführen darf und die Software auf derselben Plattform betrieben wird. Mit Plattform wird das Betriebssystem gemeint, also etwa Windows, MacOS oder ähnliches. (vgl. Adobe 2020, 2021)
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 1: Beispiel Lizenzrecht Adobe InDesign (vgl. Adobe 2020, 2021)
In der Praxis finden sich dabei verschiedene Modelle wieder. So werden Lizenzen meist nach Nutzern, in welchem ein bestimmter Nutzer die Lizenz an sich gebunden hat verwendet. Hier sind Klauseln im Lizenzvertrag nicht unüblich, dass auch eine Nutzung auf mehreren Geräten erlaubt ist. Ebenso verbreitet ist die Lizenzierung nach Geräten oder einem Arbeitsplatz. In diesem Fall ist eine Nutzung auf einem anderen Gerät eher selten in einem Vertrag geregelt. In beiden Fällen ist die Installation aber nicht immer gleichbedeutend mit dem Nutzungsrahmen. Das bedeutet, dass eine Software zwar auf zwei Unternehmensgeräten installiert werden darf, nicht aber auf einem privaten Gerät, auf welchen der Nutzungszweck zu erst einmal privat ist. Gravierender sieht es aus, wenn vom Mitarbeitenden privat erworbene Software für betriebliche Zwecke genutzt werden soll. So ist eine Nutzung meist auf den privaten Rahmen beschränkt. Dabei kann sogar die Vernetzung zur Unternehmensinfrastruktur unzulässig sein. (vgl. Susanne Dehmel 2013, S. 10)
Nicht alle Hersteller sind in diesem Maße kulant und gestatten die Nutzung von der Software auch im privaten Bereich.
Für einen sicheren und rechtskonformen Betrieb von BYOD bedarf es großem juristischen Wissen in verschiedensten Bereichen. Ebenso wie die Rechtsabteilung, sollte der Betriebsrat bei einem solchen Projekt involviert sein. (vgl. Kohne 2015, S. 1415)
2.3.2 IT-Sicherheit
Mitarbeitende bringen ihr eigenes Gerät - hören IT-Systemadministratoren diesen Satz, klingeln alle Alarmglocken. IT Abteilungen versuchen eine möglichst homogene Infrastruktur zu pflegen. Das beginnt auf der Kommunikationsebene (bspw. Netzwerkswitches) und hört bei Endgeräten wie Smartphones, Laptops und PCs auf. Die Minimierung auf möglichst wenige Modelle vereinfacht die Administration der Geräte
[...]