Transparenz im Begriffsdschungel
BYOD, CYOD, COPE - was steckt dahinter?
"To BYOD oder not to BYOD" - diese Frage stellt sich für immer mehr Unternehmen. Während man die Abkürzung von "Bring Your Own Device" mittlerweile als bekannt voraussetzen darf, schwirren weitere Akronyme wie "CYOD" oder "COPE" durch die IT-Abteilungen. Was steckt hinter den verwirrend ähnlichen Begriffen? Was spricht für oder gegen die Konzepte, und welche Aspekte müssen Unternehmen besonders beachten?Am Anfang schien es eine typische Win-Win-Situation zu sein: Unternehmen sparen mit BYOD teils erhebliche Kosten für die Anschaffung von Smartphones und Tablets, Mitarbeiter nutzen nur Geräte, die sie auch wirklich wollen. Doch die Folgefragen ließen nicht lange auf sich warten: Wer richtet die Geräte ein und überwacht, was auf diesen passiert? Wer leistet Support? Was ist mit der Sicherheit, was geschieht mit gespeicherten Firmendaten, wenn ein Mitarbeiter das Unternehmen verlässt? Neben BYOD haben sich mit der Zeit weitere Ansätze und unzählige Mischformen entwickelt. Alle Spielarten erfordern vor allem eines: klare Regelungen. Im Folgenden werden die drei mittlerweile gängigen Konzepte BYOD, CYOD (Choose Your Own Device) und COPE (Corporate-Owned, Personally Enabled) am Beispiel von Smartphones und Tablet-PCs kurz vorgestellt und verglichen. BYOD Bring Your Own Device (wörtlich: "Bring dein eigenes Gerät mit") ist das mit Abstand komplexeste Konzept und - je nachdem, wie man die Definition fasst - ein mehr oder weniger praktikables und zu empfehlendes Betriebskonzept. BYOD heißt zunächst nichts anderes, als dass ein Mitarbeiter sein eigenes privates (mobiles) Gerät auch geschäftlich nutzt - in welchem Umfang auch immer, ob mit oder ohne Wissen des Arbeitgebers. Der Begriff lässt sich jedoch feiner untergliedern. Szenario 1: Der Mitarbeiter nutzt ein privates Gerät am Arbeitsplatz lediglich privat und gelegentlich zum (privaten) Telefonieren während der Arbeitszeit. Allerdings ist er damit eventuell auch außerhalb der Bürozeiten für den Arbeitgeber erreichbar. Szenario 2: Der Mitarbeiter nutzt ein privates Gerät auch geschäftlich, hat dabei Zugriff auf das Unternehmensnetzwerk und ruft E-Mails, Kalenderdaten und Kontakte ab. Den Mobilvertrag bezahlt der Arbeitnehmer selbst, eventuell erhält er vom Arbeitgeber einen finanziellen Zuschuss. Szenario 3: Der Mitarbeiter nutzt ein privates Gerät auch geschäftlich, den Mobilvertrag stellt und zahlt dabei jedoch der Arbeitgeber. Szenario 1 ist in erster Linie arbeitsrechtlich relevant und vergleichsweise leicht zu lösen: Es bedarf einer klaren, möglichst schriftlich fixierten Regelung, wie man mit Gesprächen während und außerhalb der Geschäftszeit arbeitsrechtlich umgeht. Erforderlich sind "Spielregeln" und klare Grenzen. Sonst kann es als "Bereitschaftsdienst" gesehen werden, wenn Mitarbeiter auf dem Privatgerät erreichbar sind, oder gar als "erweiterte Arbeitszeit", wenn sich Anrufe und E-Mails häufen oder der Arbeitgeber eine Reaktion erwartet. Technisch ist zu prüfen und zu regeln, ob die Geräte ein vorhandenes Firmen-WLAN nutzen und entsprechende Sicherheitsanforderungen erfüllen. In den Szenarien 2 und 3 gibt es weitreichende rechtliche Fragen bezüglich Haftung, Eigentumsverhältnissen sowie Support-Zuständigkeiten und Mobile-Device-Management (MDM). Bei Szenario 2 muss sich ein Unternehmen entscheiden, ob es die oft bereits gelebte (und meist stillschweigend geduldete) BYOD-Praxis offiziell verbietet, duldet oder aber gar explizit fördert und mit schriftlichen Mitarbeitervereinbarungen regelt (mehr dazu auf Seite 64). CYOD Bei Choose Your Own Device (wörtlich: "Wähle Dein eigenes Gerät") stellt das Unternehmen ausschließlich selbst beschaffte Geräte und Verträge zur Verfügung. Der Mitarbeiter wählt aus einem vordefinierten Spektrum an Mobilfunkgeräten, Smartphones oder Tablet-PCs das Gerät aus, das am besten zu seinen geschäftlichen Anforderungen und individuellen Vorlieben passt. Anders als bei BYOD und COPE lässt sich an dem Begriff an sich noch nicht ablesen, ob das unternehmenseigene Gerät privat genutzt werden darf. Es ist zu unterscheiden zwischen einem "strengeren" CYOD-Konzept, das lediglich die geschäftliche Nutzung des Firmengeräts zulässt, und einem Konzept, das auch die private Nutzung der Geräte erlaubt. Die Nutzung sollte dabei immer der Firmenrichtlinie und einem übergeordneten MDM unterliegen. COPE Der sicher noch am wenigsten bekannte Begriff ist COPE. Das Akronym für "Corporate-Owned, Personally Enabled" (frei übersetzt: "unternehmenseigene Geräte, die der Mitarbeiter einrichtet und pflegt") meint: Ein Unternehmen stellt dem Mitarbeiter - ähnlich wie bei CYOD - ein Smartphone oder Tablet-PC zur Verfügung, meist mit der ausdrücklichen Erlaubnis, dieses auch für private Zwecke zu nutzen. Dafür ist der Mitarbeiter aber - zumindest bis zu einem gewissen Grad - für die Einrichtung und das laufende Handling selbst verantwortlich. Das COPE-Konzept kommt daher nur dort in Frage, wo auf Benutzerseite entsprechendes Know-how im Umgang mit den Geräten, Betriebssystemen und deren Service vorhanden ist. Alle drei Betriebskonzenpte haben ihre Vor- und Nachteile: Produktivität Wird Angestellten der Gebrauch privater Geräte zu geschäftlichen Zwecken erlaubt oder dürfen sie ein Firmengerät auch privat nutzen, erhöht dies laut aktuellen Umfragen die Produktivität der Angestellten. Diese können zeit- und ortsflexibel arbeiten und sind nicht mehr allein auf den PC im Büro angewiesen. Sie müssen nur ein Gerät mit nur einem Ladekabel und Zubehör wie Headset etc. mit sich tragen, sind unter einer Nummer erreichbar und nutzen das Wunschgerät. Unter den Betriebskonzepten hat hier BYOD die Nase vorn, sicher auch aufgrund des größeren Komforts, den die oft performanteren und "angesagteren" Privatgeräte bieten. Platz 2 belegt je nach Situation CYOD oder COPE: Bei CYOD hat der Mitarbeiter das Wunschgerät zur Hand, muss jedoch Einschränkungen bei der Nutzung in Kauf nehmen. Bei COPE hat er zwar meist mehr Freiheiten, das Konzept kommt jedoch lediglich für technisch versierte Mitarbeiter in Frage: Updates, neue Programme oder Apps gilt es einzurichten und zu warten. Dabei darf auch der Sicherheitsaspekt nicht zu kurz kommen, hier bestehen ebenfalls Einschränkungen. Kosten BYOD: Duldet oder erlaubt ein Unternehmen den Einsatz privater Geräte, lassen sich Anschaffungskosten signifikant senken. Zwar bezuschussen Unternehmen die privaten Geräte oft, unter dem Strich verbleiben jedoch zunächst erhebliche Einsparungen. Allerdings können sich der Management- und Support-Aufwand für die Unterstützung privater Mitarbeitergeräte und damit die Kosten schnell erheblich erhöhen - vor allem, wenn eine Vielzahl von Betriebssystemen und Gerätetypen zu unterstützen ist und eine hohe Dynamik besteht. Viele Mitarbeiter wollen stets die neuesten Geräte nutzen - und dies oft losgelöst von Subventions- oder üblichen Nutzungszeiträumen. CYOD: Hier muss der Arbeitgeber zwar die Anschaffungskosten für die Hardware tragen, kann aber den Aufwand für Einrichtung und Support durch eine begrenzte Auswahl recht gut steuern. Er sollte klare Richtlinien zu Nutzungsmöglichkeiten und Haltedauern aufstellen. Der Mitarbeiter muss den geldwerten Vorteil privater Nutzung versteuern. COPE: Die Anschaffungskosten bleiben beim Arbeitgeber, allerdings entfällt der Basis-Support für die Geräte. In der Regel übergibt er das Gerät einfach an den Mitarbeiter, dieser richtet es nach den Vorgaben der IT selbst ein oder das Gerät hat eine Grundkonfiguration, die er lediglich anpasst. Für Probleme mit der Hardware wendet sich der Mitarbeiter direkt an den Lieferanten, die laufende Wartung (Updates, Patches etc.) führt ebenfalls der Mitarbeiter durch. Er verpflichtet sich, das Gerät aktuell zu halten, und kümmert sich soweit möglich um den technischen Betrieb. Der Support des Arbeitgebers greift erst ein, wenn es Anlass gibt. Dies spart viel Zeit und damit Kosten, setzt allerdings gute Vorkenntnisse der Nutzer voraus. Rechtliche Herausforderungen Haftungsfragen, Eigentumsverhältnisse, Support-Zuständigkeiten - alle drei Konzepte halten einige juristische Fallstricke bereit. Beispielhaft seien hier einige Aspekte erwähnt: BYOD: In gewisser Hinsicht begibt man sich mit BYOD auf das wohl größte rechtliche Minenfeld. BYOD ist daher lediglich im Rahmen festgelegter IT-Richtlinien und schriftlicher Vereinbarungen praktikabel, die auch mit dem Betriebsrat abgestimmt sind. Neben technischen Herausforderungen stehen weitreichende rechtliche und konzeptionelle Fragen im Raum: Inwieweit darf eine Sicherheits-Policy den Funktionsumfang privater Geräte einschränken? Wer haftet für die privaten Daten auf einem Gerät, wenn die IT-Abteilung dieses im Diebstahlsfall löschen muss? Was passiert, wenn ein Mitarbeiter bei der privaten Nutzung durch das Überschreiten einer Volumengrenze Mehrkosten generiert? Wer prüft, ob beispielsweise private Apps oder Musik geschäftlich genutzt werden? So kann ein privat legal heruntergeladener Song, der als Klingelton eines auch geschäftlich genutzten Geräts dient, bereits ein Lizenzverstoß sein. Die rechtlichen Fragestellungen sind hier nahezu uferlos und oft sehr individuell. Daher ist es meist nicht möglich, ein solides Konzept ohne externe technische und rechtliche Beratung aufzusetzen. CYOD: Da der Arbeitgeber die Geräte selbst benschafft, vermeidet man sicher einige Fallstricke - vor allem, wenn man die Verwendung auf die rein betriebliche Nutzung beschränkt. Will man auch die private Nutzung zulassen, stellen sich die bei BYOD angesprochenen Fragen ebenso wie die steuerliche Bewertung des geldwerten Vorteils, die lizenzrechtlichen Fragstellungen zu gemischt genutzter Software und Inhalten wie Musik oder Videos. Daher bedarf es auch hier einer klaren, schriftlichen Vereinbarung zur Gerätenutzung. Zudem sollte geregelt sein, welche Geräte unterstützt werden, welche Software und Apps gestattet sind und welche Grenzen die private Nutzung hat. Hier geht es auch um Fragen der Arbeitszeit und finanzielle Risiken wie etwa Roaming-Kosten. COPE: Hier muss man sich neben den obigen Fragen auch damit auseinandersetzen, wer für (Folge-)Schäden haftet, die durch missglückte Wartungsversuche der Mitarbeiter entstehen. Da der Arbeitgeber hier eine Aufgabe an die Mitarbeiter delegiert, gelten die bekannten Haftungsregelungen - jedoch sicher mit einer Haftungserleichterung für die Mitarbeiter. Ein Haftungsrisiko der Arbeitnehmer besteht so in erster Linie für vorsätzliche sowie für grob fahrlässige Schädigungen. Daher empfiehlt sich eine klare Aufgabenverteilung nach dem Prinzip "Sicherheit zuerst": Der Arbeitnehmer sollte bei Unklarheiten stets zur Nachfrage angehalten sein, seitens des Arbeitgebers gilt es, Erreichbarkeit und feste Zuständigkeiten zu regeln. Neben der schriftlichen Vereinbarung sind Anleitungen und laufende Instruktionen (Warnungen vor unsicheren Apps, Hinweise auf empfohlene Updates etc.) ratsam. Integration, Administration und Sicherheit Bei allen drei Konzepten ist schon aus Sicherheitsgründen grundsätzlich der Einsatz einer MDM-Lösung dringend zu empfehlen (Bild 1). Eine manuelle Verwaltung ohne automatisierte technische Lösung ist ab einer gewissen Anzahl mobiler Endgeräte kaum zu leisten. Nur mithilfe einer laufenden Inventarisierung der Hard- und Software und einer 24/7-Kontrolle der Geräte in Echtzeit kann das Unternehmen sicherstellen, dass die Geräte rechtskonform und im Rahmen der Vorgaben zum Einsatz kommen. Die ungeregelte Nutzung privater Geräte kann erhebliche Sicherheitslöcher aufreißen und die Sicherheit des Unternehmensnetzwerks gefährden. So birgt sie erhebliche Haftungsrisiken. Allein der Integrationsaufwand für die Vielzahl von Systemen und Gerätetypen kann bei BYOD schnell uferlos werden - vom laufenden Support und Updates ganz zu schweigen. Hier sind COPE wie auch CYOD im Zweifel vorzuziehen, da sich von vornherein ein Wildwuchs in der Endgeräte- und Betriebssystemlandschaft ausschließen oder zumindest einschränken lässt. Setzt man dennoch auf BYOD, sollte man bei der Entwicklung einer individuellen Strategie unbedingt das BYOD-Spektrum auf die firmeneigenen Geräte abstimmen. Nur so lassen sich Reibungsverluste, Kompatibilitätsprobleme, Administrationsaufwand sowie Sicherheitsrisiken eindämmen. Zudem gilt es, Mitarbeiter ausgiebig zu informieren und auf Sicherheitsrisiken hinzuweisen. Ein Problem, das allen drei Konzepten gemein ist, ist die zunehmend verschwimmende Grenze zwischen privat und geschäftlich.
Lesen Sie mehr zum Thema
