Doch gilt es bei der Einführung von Bring your own Device nicht nur gesetzliche Vorschriften zu beachten, sondern auch unternehmensinterne Regelungen zu definieren.

Schon vor der Einführung sollte, sofern vorhanden, der Betriebsrat in das Bring your own Device Projekt eingebunden werden. Nach der Zustimmung von diesem gilt es eine Betriebsvereinbarung zu verabschieden. In diesem sollten Aspekte bezüglich der Trennung von unternehmensinternen und privaten Daten, den Eigentumsverhältnissen und  Richtlinien für den Verlust von Endgeräten beinhalten.

Auch aus datenschutzrechtlicher Sicht kann es zu Schwierigkeiten bei Bring your own Device kommen. Anforderungen an den Datenschutz gibt es in Bezug auf die Zugriffskontrolle auf Unternehmensdaten, sowie im Umgang mit privaten Daten.

Daher muss aus datenschutzrechtlicher Sicht bei der Verarbeitung von Daten der Nutzer erfasst werden aufgrund von Vorschriften zu technischen und organisatorischen Maßnahmen, auf der anderen Seite jedoch ist der Arbeitgeber nicht berechtigt die bei der privaten Nutzung angefallenen personenbezogenen Daten zu kontrollieren. Denn grundsätzlich setzt die Verarbeitung personenbezogener Daten die Einwilligung des Betroffenen oder eine gesetzliche Erlaubnis voraus. Beide gelten nur für das jeweilige Unternehmen

Der Trend der Consumerisation of IT, als das ubiquitäre verwenden der eigenen digitalen Geräte,  wurde erstmalig 2004 von  Rafael Ballagas in dem Konferenzpaper "BYOD: Bring Your Own Device" schriftlich erwähnt (Link). Der Wissenschaftler der RWTH Aachen untersucht in der Media Computing Group die unterschiedliche Verwendung der "physical interface for interacting with large public displays based on camera-enabled mobile phones", wobei der wirtschaftliche Fokus der heutigen Definition von BYOD nicht angedacht war.

Für die Mitarbeiter der Unternehmens-IT hat die inzwischen gängige Abkürzung BYOD auf Grund der technischen und rechtlich komplexen Lage oftmals eine ganz andere Bedeutung. "Bring your own Disaster", "Bring your own Dilemma" oder "Bring your own Diaspora" sind nur einige der Verwendeten Umschreibung die IT-Verantwortliche bei dem Akronym gerne verwenden. Auch wenn der Siegeszug solcher Initiativen ungebrochen schein, gibt es gerade in der eigenen Informationstechnologie Widerstand, da BYOD weit mehr als das Mitbringen des eigenen Handys für dienstliche Zwecke ist. Das Instrument, das höhere Mitarbeiterzufriedenheit schaffen und Geschäftsprozesse dynamischer und flexibler machen soll, ist mittlerweile selbst so unübersichtlich geworden.

Gerade im Hinblick auf die auch gesetzlich verankerte Informationssicherheit, sind Unternehmen ebenso aus wettbewerbs und wirtschaftlichen Interessen daran gehalten die Vertraulichkeit, Verfügbarkeit und Integrität Ihrer Daten jederzeit sicherzustellen. Wie bereits im Blog Eintrag „Datensicherheit und ByoD“ dargestellt ist dieses Thema im Besonderen bei aktuellen Bring your own Device initiative nur mit einigen Hürden umsetzbar. Vor den aktuellen Überwachungsskandalen PRISM (und weiterer) der NSA hat eine Google-Sprecherin gegenüber der Nachrichtenagentur Bloomberg jetzt bestätigte, dass das Unternehmen der Implementierung von umfangreichen Programmbestandteilen, die von Programmieren der NSA stammen, vorbehaltslos zugestimmt habe. Der vollständige Code für das mobile Betriebssystem und Listen von weiteren Entwicklern seien jederzeit unter source.android.com öffentlich und könnten von jedem jederzeit eingesehen werden.

Dies ist insbesondere vor der kontinuierlichen Verbreitung von Smartphones und Tablets mit dem Android Betriebssystem bedenklich (Link). Moderne Smartphones wissen somit jederzeit, wo der Besitzer sich aufhält, mit wem er sich unterhält (telefonisch, per Messenger oder E-Mail) und welche sonstigen Interessen (Internet und Apps) er hat (Link). Google hat angeblich der Eingliederung von NSA-Code in sein Open-Source Android-Projekt bereits im Jahr 2011 zugestimmt. und zugesichert den von der NSA erstellten Code auch in zukünftige Versionen des Betriebssystems zu integrieren. Nach Angaben einer NSA-Sprecherin handelt es sich bei den von Geheimdienstmitarbeitern erstellten Programmteilen jedoch lediglich um „Sicherheitsverbesserungen“ von Android. Wem diese Sicherheit letztlich nützt, den Nutzern der Smartphones oder der NSA beim Zugriff auf diese, wurde nicht gesagt.

In meinen folgenden Postings möchte ich ByoD und seinen Einfluss auf IT Sicherheit / Compliance näher beleuchten. Dazu zunächst einmal die Einwirkung von ByoD auf Datensicherheit:

In Bezug auf die rechtliche Datensicherheit ist zu bedenken, dass die Sicherung von Daten vor unbefugtem Zugriff, der Zugriffsschutz für Unternehmensdaten, das Handling von Security Updates, sowie ein Schutz gegen Malware installiert sein muss.