ByoD - Private Hardware in der Firma nutzen

ByoD ist das Akronym für eine typisch amerikanische Formulierung, die die Dinge auf den Punkt bringt: Bring your own Device oder ByoC (Bring your own Computer) bezeichnet den Trend, dass immer mehr Mitarbeiter ihre private Hardware auch geschäftlich nutzen. Das fängt beim PC zu Hause an, der per VPN auch geschäftlich genutzt wird, und geht mit dem Notebook, Smartphone und Tablet-PC weiter. Längst sind beispielsweise nicht nur die offiziellen BlackBerrys der Führungsmannschaft in der Lage, E-Mails überall verfügbar zu machen. Selbst Consumer-Smartphones verfügen über einen E-Mail-Client.

40 Prozent Kosten sparen

Was früher ein Horrorszenario für jede IT-Abteilung war, gilt es nun unter Kontrolle zu bekommen. Das ByoPC-Modell bietet nämlich deutliche Vorteile, die die Nachteile aufwiegen können: Laut Gartner können Firmen bis zu 40 Prozent der Anschaffungs- und Unterhaltskosten sparen, die sie beispielsweise für den Notebook-Kauf aufwenden müssten. Ein gewollter Nebeneffekt dabei: Die Mitarbeiter sind stets erreichbar.

Daher denken immer mehr Unternehmen über neue Modelle für den kostengünstigen Einkauf von IT nach und starten Pilotprogramme, wie etwa Procter & Gamble. Teilweise finanzieren Firmen wie Citrix, EMC und Kraft Foods bereits die Anschaffung privater Geräte mit Zuschüssen in der Größenordnung von bis zu 1500 Euro für das IT-Equipment, das dann auch in der Firma verwendet werden darf (und soll). Diese Art der IT-Beschaffung kann erheblich zur Zufriedenheit der Nutzer beitragen und auch Kosten senken

Bring your own PC
Firmen und Angestellte können vom Einsatz privater iPads & Co. im Büro profitieren. Lesen Sie hier, was zu beachten ist.

IT-Security:
Welche Sicherheits-Parameter gelten für die privaten Geräte? Welche Art der Verschlüsselung wird eingesetzt?

Lizenzen und Software:
Zentrale Softwarebeschaffung oder Eigenbezug der Software durch den Mitarbeiter, eventuell über Home Use-Programme (wie beispielsweise Microsoft Home Use Program)?

Den Business Case für BYoPC richtig rechnen:
Wie hoch sind die Zusatzkosten für die Virtualisierung und den Ausbau der Server? Was kostet BYoPC insgesamt (Total Cost of Ownership)?

Prüfung und Update der IT-Richtlinien:
Pflichtbestandteile der neuen UOD-Richtlinie sind Verantwortlichkeiten, Regelungen zu Wartung, Ersatz und Leihgeräte und Bestimmungen zum finanziellen "Zuschuss" (bei Ausscheiden des Mitarbeiters rückzahlbares Darlehen oder "verlorener Zuschuss", jährliche Beteiligung des Arbeitgebers).

Datenschutzrecht:
Einsicht, Nutzungs- und Zugriffsrechte des Arbeitgebers auf die privaten Geräte explizit regeln, die Grenzen des Beschäftigtendatenschutzes einhalten!

Steuerrecht:
Anschaffung des PC als Werbungskosten oder Anrechnung des geldwerten Vorteils bei Überlassung von Firmen-Software zu privater Nutzung?

Sicherheitskonzept an ByoD-Modell anpassen

Selbstverständlich müssen beim "ByoD-Modell" die sich aufdrängenden Fragen der IT-Sicherheit beantwortet werden. Hier können im Sinne der notwendigen IT-Security Desktop-Virtualisierung und Terminal-Lösungen den Spagat zwischen privater und dienstlicher Nutzung erleichtern. Wichtige Unternehmensdaten und sensible personenbezogene Daten müssen natürlich auch auf den privaten PCs verschlüsselt werden. Eine bestimmte Mindestausstattung der privaten Geräte ist daher ebenso ein Muss wie der Einsatz standardisierter Software.

Das wirtschaftlich interessante und zukunftsgerichtete Geschäftsszenario für "Bring your own PC" muss jedoch auch mit den Juristen und Steuerberatern abgeklärt werden. Denn die notwendige Trennung zwischen Firmendaten und privaten Daten ist auch bei diesem Modell eine Pflicht, die aus IT-Compliance und Datenschutz resultiert. Selbst wenn der PC dem Mitarbeiter gehört, muss der Arbeitgeber jederzeit Zugriff auf die unternehmenswichtigen Informationen haben. Hier müssen im Einklang mit dem Bundesdatenschutzgesetz (BDSG) rechtssichere Konzepte für die revisionssichere Archivierung und entsprechende Einsichtsrechte des Arbeitgebers erarbeitet werden. Das BDSG sieht hier derzeit in Paragraf 32 Grenzen vor, die nicht überschritten werden dürfen. Zudem sollenl das Datenschutzrecht vollständig überarbeitet und wohl Mitte 2011 sogar ein eigenständiges Beschäftigtendatenschutzgesetz geschaffen werden. Es liegt auf der Hand, dass alte Betriebsvereinbarungen oder IT-Richtlinien die Anschaffung privater IT-Geräte durch den Mitarbeiter nicht regeln. Auch diese Policies müssen daher überarbeitet werden.

Wer haftet bei Ausfall oder Verlust?

Dabei muss zudem verabredet werden, wer bei einem Ausfall oder Defekt der privaten Hardware haftet. Dies bedeutet, dass vor der Anschaffung privater IT genau zu regeln ist, wie die Wartung der privaten Geräte durchgeführt wird, ob und auf welchem Wege also vom Arbeitgeber Ersatz zu beschaffen ist, ob eventuell Leihgeräte für die Ausfallzeit bereitgehalten werden und wer für den Verlust eines Gerätes letztlich haftet. Denn normalerweise muss ein Betriebsmittel dem Mitarbeiter kostenfrei zur Verfügung gestellt werden, und ein Ausfall dieses Arbeitsmittels fällt in das Risiko der Firma. Hier kann ein Rundum-Sorglos-Paket eine Option sein; Hardwareanbieter offerieren bereits seit geraumer Zeit ByoD-Betreibermodelle, die auch Szenarien für den Ausfall privater Geräte beinhalten.

Der Zuschuss des Arbeitsgebers zum privaten PC muss darüber hinaus steuerlich betrachtet werden. Hier stellt sich die Frage, inwieweit der gewährte geldwerte Vorteil zu versteuern ist oder ob der Betrag, der gegebenenfalls über dem Zuschuss des Arbeitgebers liegt, sogar als Werbungskosten geltend gemacht werden kann. Zu regeln ist schließlich auch, wem die möglicherweise ebenfalls privat angeschaffte Software (etwa Apps) bei Beendigung des Arbeitsverhältnisses gehört oder ob ein Zuschuss zum Gerät nur als Darlehen gewährt wird und demgemäß in Raten zurückzuzahlen ist, sollte das Arbeitsverhältnis vorzeitig beendet werden.

Checkliste für Consumer-IT am Arbeitsplatz

• IT-Security: Welche Sicherheitsparameter gelten für die privaten Geräte? Welche Art der Verschlüsselung wird eingesetzt?

• Lizenzen und Software: Zentrale Softwarebeschaffung oder Eigenbezug der Software durch den Mitarbeiter, eventuell über Home-Use-Programme (wie beispielsweise Microsoft Home Use Program)?

• (Un-)Managed Client und die Trennung zwischen geschäftlich und privat: Wie kann zwischen geschäftlichen und privaten Daten unterschieden werden, wie passt diese Mischnutzung in das Informationsmanagement (Stichwort Archivierungskonzept) und wie erfolgt die Synchronisation? Kann eine Partitionierung bei der notwendigen Trennung helfen?

• Den Business Case für ByoD richtig rechnen: Wie hoch sind die Zusatzkosten für die Virtualisierung und den Ausbau der Server? Was kostet ByoD insgesamt (Total Cost of Ownership)?

• Prüfung und Update der IT-Richtlinien: Pflichtbestandteile der neuen UOD-Richtlinie sind Verantwortlichkeiten, Regelungen zu Wartung, Ersatz und Leihgeräte und Bestimmungen zum finanziellen "Zuschuss" (bei Ausscheiden des Mitarbeiters rückzahlbares Darlehen oder "verlorener Zuschuss", jährliche Beteiligung des Arbeitgebers).

• Datenschutzrecht: Einsicht, Nutzungs- und Zugriffsrechte des Arbeitgebers auf die privaten Geräte explizit regeln, die Grenzen des Beschäftigtendatenschutzes einhalten!

• Steuerrecht: Anschaffung des PC als Werbungskosten oder Anrechnung des geldwerten Vorteils bei Überlassung von Firmensoftware zu privater Nutzung?

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche. (mec)