Über den Umgang mit Privatgeräten im Beruf

Die globale Umfrage «Dispelling Six Myths of Consumerization of IT» von Avanade wurde von Wakefield Research, einem unabhängigen Analystenhaus, im Oktober und November 2011 mit 605 Unternehmens- und IT-Verantwortlichen durchgeführt. 88 Prozent der Befragten gaben an, dass ihre Mitarbeitenden persönliche Smartphones oder Tablets für berufliche Zwecke nutzen würden. Unter den Schweizer Studienteilnehmern bejahten dies sogar 100 Prozent.

Bei den Schweizer Befragten werden Apple-Laptops mit 46 Prozent sowie Windows-Tablets mit 36 Prozent häufiger benützt als in anderen Ländern.

Andererseits: Während 58 Prozent der US-amerikanischen Befragten angaben, dass sie bereits Customer Relationship Management (CRM)-Anwendungen auf ihren persönlichen Geräten nutzen würden, sind es bei den Schweizer Interviewten lediglich 18 Prozent. Verwendet werden die persönlichen Geräte in der Schweiz vor allem zum Lesen und Schreiben von E-Mails (91 Prozent).

Die Consumerization-Studie zeigt, dass mindestens jedes zweite Schweizer Unternehmen den Trend zur Rekrutierung von jungen Bewerbern nutzt.

Die Studie «Dispelling Six Myths of Consumerization of IT» wollte folgende Mythen widerlegen:

› Mythos 1: Unternehmen sträuben sich gegen Arbeit mit Privatgeräten: 65 Prozent der Befragten erklärten, dass das Thema Priorität hat, in Deutschland sind es sogar 80 Prozent. 60 Prozent der betreffenden Unternehmen passen ihre IT-Infrastruktur an.

› Mythos 2: Unternehmen verfügen nicht über die notwendigen Ressourcen. 91 Prozent der Business-Manager gaben an, Personal und Ressourcen seien vorhanden. Unter den IT-Entscheidern sind es 75 Prozent. Alle Befragten finden, dass die Integration mitgebrachter Endgeräte nicht besonders schwierig sei und dass auch die nötigen Finanzen zur Verfügung stünden.

› Mythos 3: Unternehmen fördern Consumerisation, um für Nachwuchskräfte attraktiv zu sein. Nur jeder fünfte Befragte bestätigte das. Andererseits behaupten 32 Prozent der Befragten, das Unternehmen passe die Rekrutierungsstrategie dem Trend an.

› Mythos 4: Wer eigene Endgeräte mitbringt, will bloss Mails checken und treibt sich bei Facebook rum. Das kann früher so gewesen sein. Die E-Mail-Nutzung liegt mit 85 Prozent noch deutlich auf Platz eins. Aber inzwischen rufen 45 Prozent der Befragten Anwendungen für das Customer Relationship Management (CRM) auf, 44 Prozent nutzen Tools zur Zeit- und Aufwandsmessung, 38 Prozent ERP-Lösungen (Enterprise Resource Planning) und 46 Prozent arbeiten mit sozialen Netzwerken.

› Mythos 5: Bei der Arbeit werden hauptsächlich Apple-Geräte benützt. Dieser Mythos trifft nicht zu. Am meisten wird das Android-Smartphone benutzt (35 Prozent). Es folgen das Blackberry-Smartphone (32 Prozent) und der Apple-Laptop (26 Prozent).

› Mythos 6: Sicherheitstechnisch sind Endverbrauchergeräte fit für den Unternehmens­einsatz. Das stimmt leider nicht. 55 Prozent der Studienteilnehmer berichten von mindestens einem sicherheitsrelevanten Vorfall. Folgerichtig betrachten 66 Prozent der Befragten die Sicherheit als grösstes Risiko bei der Nutzung privater Geräte. 37 Prozent sorgen sich zusätzlich um das Management der Daten.

An der Universität Bern wird die Arbeit mit Privatgeräten schon seit Jahren praktiziert. Schon 2005 gab es eine «Richtlinie zur Anbindung von privaten oder selbst administrierten IT-Geräten an das allgemeine universitäre Netzwerk». Ein VPN-Zugang ermöglicht den Zugriff von überall. Der offene, unverschlüsselte Zugang ist nur in ein Quarantänen-Netzwerk möglich.

Laut den Informatikdiensten der Universität gibt es unter anderem folgende Probleme, die ebenso in anderen Unternehmen entstehen können:

› Die Daten verlassen den universitären (oder unternehmerischen) Einflussbereich bei Verwendung von Cloud-Services. Sie können bei Geräteverlust verloren gehen. Die Lösung ist, eine private universitäre Cloud zur Verfügung zu stellen.

› Malware und Viren breiten sich aus und gefährden den ordentlichen Betrieb: Die Lösung ist entsprechende Schulung des Personals, Richtlinien, neue Zonenkonzepte für Netzwerke

› Verlust der zentralen Kontrolle der IT: Strikte Vorgabe von Gerätetypen und Apps ist kaum zu praktizieren, hingegen ist auch dafür ein Zonenkonzept und ein authentifizierter kontrollierter Zugang zum betrieblichen Netzwerk notwendig.

› Auch bei der Schweizer Post wird der Einsatz der Virtualisierungstechnologie in den Rechenzentren konsequent gefördert, wie es im Geschäftsbericht 2010 heisst. Mit der Gestaltung von neuen Services wie BYOD, «Telearbeitsplatz Virtuell» und dem neuen segmentierten Angebot (Arbeitsplatz Post) sollen die IT-Leistungen bedarfsgerecht erweitert werden.

Als Argumente für die Arbeit mit Privatgeräten werden folgende Vorteile genannt. Die Mitarbeitenden kennen die Gerätefunktionen bereits und müssen diese nicht erst noch erlernen. Die Mitarbeitenden würden bei Problemen mit ihren Geräten eher ihren Dienstleister anfragen als die IT-Abteilung der Firma, was Kosten spart. Das ist allerdings fraglich, wenn man bei vielen Dienstleistern in eine Telefonschlaufe gerät. Die Angestellten können überall arbeiten, was das Arbeitsleben flexibler macht. Das ist aber auch mit Firmengeräten möglich.

Allerdings überwiegen die Gegenargumente. Der amerikanische Computerspezialist Scot A. Turban nannte BYOD eine der dümmsten Ideen aller Zeiten. Die Grenze zwischen Berufs- und Privatleben löst sich noch mehr auf, als es ohnehin schon der Fall ist. Die Unternehmen können kaum mehr kontrollieren, was auf den Privatgeräten läuft und wer den Inhalt zu Gesicht bekommt.

Zusätzlich entstehen folgende technischen Probleme:

› Die Programme des Unternehmens laufen häufig auf den Privatgeräten erheblich langsamer und komplizierter ab.

› Man benötigt eine Arbeitsebene zwischen privater und betrieblicher Software, eine sogenannte Middleware.

› Geschäftliche und private Daten könnten vermischt werden.

Die Rechtslage ist unklar, denn natürlich gibt es im Arbeitsrecht keine Regelungen solcher Probleme und bei Bundesgerichtsurteilen kommen die Ausdrücke BYOD oder Consumerization noch gar nicht vor.

Demzufolge ist es notwendig, dass eine Firma für Arbeit mit Privatgeräten ein Konzept entwickelt, das Risiken vollständig und detailliert erfasst. Es ist Sache der Geschäftsleitung, dafür zu sorgen, dass die Sicherheitsvorkehrungen konsequent umgesetzt werden. Dazu ist zu bemerken, dass damit ein hoher organisatorischer und finanzieller Aufwand verbunden sein kann. Den Spareffekt von Arbeit mit Privatgeräten darf man ja nicht zu hoch einschätzen. Im Gegenteil, die Risiken können hohe Kosten verursachen.

Hinzu kommt, dass der Schutz der privaten Daten der Mitarbeitenden im Widerspruch zu den Sicherheitsinteressen des Unternehmens stehen kann. Die sogenannte Containeriza­tion (Kapselung der betrieblichen Daten) löst dieses Problem nicht.

Aus Sicherheitsgründen müsste das Unternehmen ein BYOD-Gerät ganzheitlich managen, was dann aber wieder bedeutet, dass den Vorgesetzten zumindest theoretisch Zugriff auf private Daten der Mitarbeitenden möglich ist. Letzteres ist aber nicht erlaubt gemäss Leitfaden über die Internet- und E-Mail-Überwachung am Arbeitsplatz des eidgenössischen Datenschutzbeauftragten.

Fachleute empfehlen, dass der Arbeitgeber dafür sorgt, dass die geschäftlichen Daten in abgeschlossenen und verschlüsselten Bereichen der Privatgeräte gesichert werden. Das ist dann allerdings wieder sehr schwer zu kontrollieren. Eine andere Möglichkeit ist, den Nutzern von Privatgeräten den Zugriff auf die Unternehmenscloud zu gewähren und zwar so, dass man in der Cloud arbeiten, aber die Inhalte nicht auf das Privatgerät herunterladen kann.

Dazu ist bei der Arbeit mit Privatgeräten darauf zu achten, dass die Regeln des Datenschutzes gegenüber den Kunden und anderen Bezugspersonen gewährleistet werden. Die Privatgeräte dürfen nicht in falsche Hände geraten oder verloren gehen.

Wichtig: Betriebsgeheimnisse und sensible Daten gehören nicht in eine Cloud und schon gar nicht auf ein Privatgerät.

Angestellte haben eine Treuepflicht, die natürlich auch für Arbeit mit eigenen Geräten gilt (OR Art. 327a). Sie haben die berechtigten Interessen des Arbeitgebers in guten Treuen zu wahren. Angestellte dürfen geheim zu haltende Tatsachen wie Fabrikations- und Geschäftsgeheimnisse, von denen man bei der Arbeit Kenntnis erlangt, während des Arbeitsverhältnisses nicht verwerten oder anderen mitteilen. Auch nach dessen Beendigung besteht die Verpflichtung zur Verschwiegenheit, soweit es zur Wahrung der berechtigten Interessen des Arbeitgebers erforderlich ist.

Nach OR Art. 321e sind Angestellte für den Schaden verantwortlich, den sie dem Arbeitgeber absichtlich oder fahrlässig zufügen. Wie weit die Haftung geht, ist auch von der Situation abhängig und von den Fähigkeiten der Mitarbeitenden.

Fazit: Auch für Angestellte kann die Arbeit mit Privatgeräten problematisch werden, wenn sie mit den Firmendaten nicht ausreichend sorgfältig umgehen.

Im Betriebsreglement und/oder im Arbeitsvertrag sind folgende Punkte zu regeln:

› Rechte und Eigentum an Software: Es muss klar sein, wer welche Programme auf welche Art benutzen darf und wem sie gehören.

› Gemäss dem eidgenössischen Datenschutzbeauftragen kann der Arbeitgeber, die geschäftlichen E-Mails vollständig protokollieren und inhaltlich sichern. Hingegen darf er keinesfalls auf private E-Mails zugreifen.