Bring Your Own Device: rechtliche Herausforderungen und Lösungen
Der „Bring Your Own Device“-Ansatz fordert Unternehmen nicht nur in technischer, sondern auch in rechtlicher Hinsicht. Mit BYOD findet zum ersten Mal eine gezielte Vermischung privater und dienstlicher Nutzung von Endgeräten statt. Um Risiken und Konfliktpotentiale möglichst gering zu halten, muss im Vorfeld zum Beispiel geklärt werden, was mit privaten Daten auf dem Device des Mitarbeiters geschieht, die innerhalb der Unternehmens-IT gesichert werden und ob ein Mitarbeiter auf Unternehmensdaten aus seinem Endgerät in private Backups einbeziehen kann beziehungsweise darf. Außerdem ist zu regeln, wie mit privaten E-Mails verfahren wird, die vom privaten Endgerät aus über Systeme des Unternehmens laufen. Die technische Architektur der Geräte, auf denen Apps frei installiert werden können, stellt ein Sicherheitsrisiko dar, das durch klare Handhabungsregeln minimiert werden sollte.
Die wichtigsten rechtlichen Aspekte von BYOD im Überblick
- Rechtliche Datensicherheits-Anforderungen
- Gesicherte Kommunikation zwischen Unternehmens-IT und BYOD-Geräten
- Sicherung gegen unbefugten Zugriff über BYOD-Gerät auf Unternehmens-IT
- Zugriffsschutz für Unternehmensdaten auf BYOD-Gerät
- Handling von Security-Updates
- Schutz gegen Malware, Viren etc.
- Datenschutz-Anforderungen
- Kontrolle des Zugriffs auf Unternehmensdaten
- Umgang mit privaten E-Mails und Daten
- Backups von Unternehmensdaten
- Backups von Privat-Daten auf BYOD-Geräten
- Monitoring und Remote Wipe des BYOD Devices
- Mitbestimmung
- Einbindung des Betriebsrats in das BYOD Projekt
- Betriebsvereinbarung für den Einsatz von BYOD
- Lizenzen für BYOD Devices
- Lizenzen für Unternehmenssoftware auf den BYOD-Geräten
- Lizenzen für die dienstliche Nutzung von Apps
- Kosten und Steuern
- Kostenverteilung zwischen Unternehmen und Mitarbeitern für Gerät, Software und Kommunikation
- Steuerliche Behandlung der Kosten bei Unternehmen und Mitarbeitern
- Unternehmens-Richtlinien
- Richtlinien für BYOD Endgeräte
- Richtlinien für private Daten und E-Mails
Diese Auflistung zeigt: Die rechtlichen Anforderungen von BYOD sind vielfältig. Es reicht bei Weitem nicht aus, unternehmensinterne Nutzungsrichtlinien auszuarbeiten und die Kostenverteilung zwischen Unternehmen und Mitarbeiter zu regeln. Darüber hinaus sind auch Erfordernisse von Datenschutz und Datensicherheit umzusetzen sowie Lizenzfragen und die steuerliche Behandlung von BYOD zu klären. Nicht zuletzt gilt es, Fragen der Mitbestimmung zu beantworten. Sind die rechtlichen Aspekte nicht im Vorfeld geordnet, führt dies zu unnötigen Haftungsrisiken für Unternehmen und Management.