Bring Your Own Device at my Company / 7 Einführung von BYOD-Modellen

Die Beratungspraxis hat gezeigt, dass es notwendig ist, BYOD-Modelle bereits im Vorfeld ihrer Einführung planerisch zu gestalten und deren Umsetzung permanent zu überwachen. Dabei ist es erforderlich, alle Beteiligte frühzeitig und ausreichend einzubeziehen. Nur so können BYOD-Modelle den Vorgaben der Grundrechte, den Anforderungen des Datenschutzes aber auch den institutionellen und strafrechtlichen Anforderungen gerecht werden.

Mit vielen Gestaltungsvorschlägen lässt sich belegen, dass BYOD-Modelle erhebliches Potential und eine Vielzahl von Chancen mit sich bringen. Dabei ist jedoch zu beachten, dass denkbare Risiken bei der Umsetzung der BYOD-Modelle und bei dem laufenden Betrieb zu vermeiden sind. Durch eine anwenderfreundliche Umsetzung der aufgezeigten Gestaltungsvorschläge ist auf jeden Fall eine verfassungsverträgliche Realisierung von BYOD-Modellen möglich.

Bei der Einführung und Umsetzung von BYOD-Modellen bietet es sich an, technische und organisatorische Ziele für alle Beteiligten verständlich abzufassen. Vor diesem Hintergrund werden nachfolgend alle wesentlichen Punkte für die erfolgreiche Umsetzung einer BYOD-Vereinbarung exemplarisch zusammengestellt.Bei der Einführung und Umsetzung von BYOD-Modellen bietet es sich an, technische und organisatorische Ziele für alle Beteiligten verständlich abzufassen. Vor diesem Hintergrund werden nachfolgend alle wesentlichen Punkte für die erfolgreiche Umsetzung einer BYOD-Vereinbarung exemplarisch zusammengestellt.

Darüber hinaus werden in einer Roadmap-BYOD alle wesentlichen Schritte bis hin zur Umsetzung eines BYOD-Modells dargestellt. Dieser Fahrplan soll allen Beteiligten helfen, eine gemeinsame BYOD-Strategie zu entwickeln. Darüber hinaus dient die Roadmap-BYOD einen ersten Projektplan zu erstellen.

Hat sich der Steuerberater zu einer Umsetzung eines BYOD-Modells entschieden, sollte eine Vereinbarung mit den Mitarbeitern mindestens folgende Punkte^[1] beachten:

1. Es sollte eine Einigung über unveränderbare Mindestsicherheitseinstellungen der Software beziehungsweise des Betriebssystems erzielt werden. Zum Beispiel könnten sich Arbeitnehmer und Steuerberater auf eine bestimmte Sicherheitssoftware, regelmäßige Updates und Ähnliches verständigen. Dazu gehören beispielsweise die regelmäßige Installation von Firmware-Updates, verbindliche Regeln zur Installation von Fremdprogrammen, Regelungen hinsichtlich Bezugsplattformen für Fremdprogramme wie zum Beispiel iTunes, Apple App Store, Google Play Store usw. Ferner sollten Zugriffseinschränkungen von Apps, wie zum Beispiel Ortungsdienste, thematisiert und verbindlich vereinbart werden.
2. Der Steuerberater sollte eine unveränderbare Grundkonfiguration der Hardware sicherstellen. Dies kann zum Beispiel durch Ausschluss von Root und Jailbreak erfolgen. Zu denken ist dabei auch an die Aktivierung oder Deaktivierung von Datenübertragungsschnittstellen; zum Beispiel WLAN oder Bluetooth. Ferner sind aber auch Regeln zur Nutzung von Cloud-Diensten vorzusehen. Zum Beispiel kann eine Synchronisation mit der Firmen-Cloud als Backup vorgesehen oder ein Ausschluss von Public-Cloud-Diensten vereinbart werden.
3. Es sollten Empfehlungen von aus Sicht des Steuerberaters geeigneter und unterstützter Hardware und Betriebssystemen gegeben werden, was zum Beispiel in Form einer Black/Whitelist erfolgen könnte.
4. Besonders wichtig sind klare Regeln zu Benutzerkontrollen und zur Identifikation der einzelnen Benutzer. Es sollte beispielsweise sichergestellt werden, dass der Zugriff auf Daten nur nach erfolgter Identifikation des Berechtigten erfolgen kann. In diesem Zusammenhang ist auch an Regeln zu Komplexitätsanforderungen der zu verwendenden Passwörter beispielsweise für die Hardware zu denken.
5. Regelungen zur personenkonkreten Festlegung der Zugriffsberechtigung sind ebenfalls wichtig und sollten schriftlich fixiert werden. Es muss für alle Beteiligten erkennbar sein, wer auf welche Daten zugreifen darf.
6. In beiderseitigem Interesse sind Regelungen zur Protokollierung von Zugriffen und Zugriffsversuchen erforderlich. Auf diese Weise lässt sich die Systemintegrität beispielsweise im Falle eines Angriffes nachvollziehen.
7. Daneben sind Regelungen zum Umfang des Zugriffs erforderlich. Scheidet beispielsweise ein Arbeitnehmer aus dem Betrieb aus, so darf dieser nicht länger auf Daten der Steuerkanzlei zugreifen können. Zudem ist stets sicherzustellen, in welchem Umfang auf Daten zugegriffen werden darf.
8. Gemeinsam mit dem Steuerberater sollten Richtlinien für die Verwendung der Hardware erarbeitet werden. Dabei sind Fragen zur Nutzung beispielsweise im Ausland oder in offenen Netzwerken und dergleichen zu klären.
9. Die Festlegung der Aufbewahrungsfristen für Eingaben sind transparent zu gestalten. Den Beteiligten muss bekannt und bewusst sein, wie lange Eingaben gespeichert werden. In diesem Zusammenhang sollte allen Beteiligten bewusst sein, dass gegebenenfalls gesetzliche Aufbewahrungsfristen zwingend einzuhalten sind.
10. Kommt es zu einem Verlust der Ha...