Diese Frage stellen sich viele Menschen und das nicht ohne Grund. Hat man zu Hause doch meist einen Laptop, ein Tablet und ein Smartphone oder aber zwei dieser Geräte. Welches Gerät darf man mitnehmen? Wer legt dies fest? Muss ein Gerät bestimmte Voraussetzungen mit sich bringen? Dies und mehr fragt man sich und die Antworten sind gar nicht so leicht.

Alles fängt erst einmal damit an, dass der Arbeitgeber BYOD einführen muss. Dann spricht er mit seinen Mitarbeitern und wird erfragen, welche Geräte vorhanden sind. Manchmal ist nur ein Handy von Wichtigkeit, manchmal aber auch nur der Rechner. Manchmal kann man ruhig mit allen Geräten arbeiten, weil man nicht nur in der Firma arbeitet, sondern auch schon mal in Home Office oder auch zu einem Kunden muss. Und so kann man genau das Gerät mitnehmen, wo man die wichtigen Daten gespeichert hat. Gewisse Sachen kann man mit einem Laptop schneller und besser erarbeiten, manchmal ist man aber mit dem Tablet schneller oder man nutzt kurz und knapp eine App auf dem Handy. Der Chef möchte so agieren, wie es den Mitarbeitern am besten passt und so viele Möglichkeiten offen halten. Der Mitarbeiter darf aber dann nie die Geräte vergessen, die auf der Arbeit wichtig sind und nie die Geräte zu Hause oder im Unternehmen lassen, die bei einem Kundentermin gebraucht werden.
Was nun wie einsetzbar ist, hängt ganz von dem Alter des Gerätes ab. Ein Tablet kann recht viel und so alt sind alle Geräte noch nicht. Bei dem Handy sieht dies schon einmal ganz anders aus, es gibt in der Tat noch Menschen, die ein Handy besitzen, was gar keine Fotos machen kann, keine Apps zulässt oder anderes. Ein solches Handy taugt nicht für BYOD und entweder bekommt man in dem Fall ein Firmengerät oder aber man kauft sich ein neues Handy. Auch ein Laptop/Notebook kann schon so veraltet sein, dass die Firmensoftware und wichtige Daten nicht installiert und bearbeitet werden können. Auch hier muss man entweder auf BYOD verzichten, ein Firmengerät nutzen oder einen neuen Laptop kaufen. Natürlich sind nur wenige Mitarbeiter bereit, nur wegen der Firma neue Geräte auf eigene Kosten zu kaufen. Aber zum Glück haben die meisten Arbeitnehmer doch recht moderne Geräte und müssen außer für die Sicherheitsaspekte nichts mehr installieren oder aktivieren. Wer seine Privatgeräte auf der Firma nutzen kann, hat natürlich den Vorteil, sich dort schneller in Prozesse einzuarbeiten und Fälle leichter bearbeiten zu können. Man muss aber aufpassen, es gibt hier zwei typische Fallen. Die eine wäre die, dass man auch nach Feierabend oder am Wochenende noch beauftragt wird, mal eben schnell etwas zu erarbeiten: Man muss also festlegen, dass man zu seinen freien Zeiten genau das nicht tun wird. Zur Not kann man auch die Firmennummer auf dem Handy stumm schalten, um nicht doch schwach zu werden und bei seinem Chef auch deutlich machen, dass man nicht bereit ist, Überstunden zu machen, wen man sich nicht mehr in der Firma befindet. Auf der anderen Seite kann BYOD auch den Nachteil mit sich bringen, dass man selbst mal eben schnell noch etwas abarbeiten möchte, was man in der Woche oder am Tag nicht geschafft hat. So manche Leute finden den Absprung nicht und arbeiten dann immer mehr in der Freizeit und das ist so nicht gewünscht. Von daher muss man alle Punkte abwägen und sich fragen, ob BYOD wirklich in Frage kommt. Oder man sperrt zur Not alle Geräte nach Feierabend und zum Wochenende weg, wobei BYOD dann aber wieder nicht sonderlich viel Freude bereiten wird! Man muss also lernen, Freizeit und Beruf zu trennen!

Der Cyber Resilience Act (CRA) ist die EU-Regel, die aus „nice to have Security“ eine Marktzulassungsbedingung macht. Er betrifft praktisch alle Produkte mit digitalen Elementen – vom smarten Thermostat über Industriesteuerungen bis zur Desktop-App. Und er ändert, wie Sie planen, bauen, ausliefern und pflegen. Hier ist der verständliche, praxisnahe Überblick: Was verlangt der CRA? Wen trifft er? Was müssen Sie jetzt umstellen, damit Features morgen nicht zu Haftung werden?

1) Der CRA in einem Satz

Der CRA verpflichtet Hersteller, Importeure und Händler, cybersichere Produkte zu entwickeln, Sicherheitsrisiken über den gesamten Lebenszyklus zu managen, Schwachstellen zügig zu beheben, Updates bereitzustellen und das alles nachweisbar zu dokumentieren – sonst drohen Bußgelder, Vertriebsstopps und Rückrufe.

Im Rahmen meiner Masterthesis setzte ich mich mit ByoD auseinander, zentrale Fragestellung war hier „Sollten mittelständische Unternehmen in Deutschland die Nutzung von privaten Endgeräten im Unternehmen verhindern, dulden oder aktiv steuern?“. Um diese Fragestellung umfassend zu bearbeiten führte ich eine Umfrage durch in Unternehmen in Deutschland, da ich nicht nur auf Sekundärquellen zurückgreifen wollte. Als zentrale Hypothesen wollte ich hier die folgenden festigen bzw. widerlegen:

"Bring your own Device" bringt mittelständischen Unternehmen in Deutschland keinen quantifizierbaren Nutzen.“ und

Ein Audit ist für viele Unternehmen wie eine Mischung aus Zahnarzttermin und Bewerbungsgespräch: Man weiß, dass es wichtig ist, man weiß, dass es nicht ausbleibt – und trotzdem sorgt der Gedanke daran bei manchen für Nervosität. Ob es sich um ein ISO-27001-Audit, eine BSI-Prüfung, eine NIS2-Überprüfung, ein Lieferantenaudit oder ein internes Review handelt: Audits sind keine reinen Kontrollübungen, sondern strukturierte Chancen, die eigene Organisation auf den Prüfstand zu stellen, Schwachstellen zu erkennen und Verbesserungen einzuleiten. Der Schlüssel zum Erfolg liegt in der Vorbereitung – und zwar nicht nur in der Dokumentenpflege, sondern vor allem in der mentalen und organisatorischen Einstellung des gesamten Teams. Wer Audits als wiederkehrenden Prozess begreift, dem gelingt etwas Entscheidendes: Prüfungen werden kalkulierbar, vorhersehbar und produktiv.

Was wird eigentlich geprüft? Auditarten, Erwartungen, Spielregeln

Bevor man in das „Wie“ der Vorbereitung einsteigt, hilft ein klarer Blick auf das „Was“. Ein Zertifizierungsaudit (z. B. ISO 27001) verifiziert, ob das Managementsystem normkonform geplant, umgesetzt, überwacht und verbessert wird. Ein Überwachungsaudit prüft in kürzerem Takt die Wirksamkeit und die Beibehaltung des Niveaus. Rezertifizierungen gehen wieder tiefer. BSI-Prüfungen oder aufsichtsrechtliche Reviews (z. B. MaRisk, MaGO, BAIT/VAIT/DORA-Bezüge) haben teilweise andere Schwerpunkte, bleiben methodisch aber ähnlich: Es wird anhand von Dokumenten, Interviews und Stichproben beurteilt, ob Prozesse wie beschrieben funktionieren und Risiken im Griff sind. Kunden- und Lieferantenaudits fokussieren zusätzlich die Vertragserfüllung, Informationssicherheit in der Lieferkette und Servicequalität.

Stell dir vor, dein Auto kennt dich besser als deine Werkstatt. Dein Staubsauger weiß, wie du wohnst. Deine Armbanduhr kennt deine Fitnesskurve, deinen Stresslevel und manchmal sogar deinen Schlafrhythmus präziser als du selbst. All diese Geräte erzeugen Daten – über dich, durch dich, mit dir. Bisher lagen diese Daten oft in den Silos der Hersteller: schwer zugänglich, teils in intransparenten Formaten, vertraglich eingeschlossen. Mit dem EU Data Act will Europa das ändern. Der Slogan klingt verheißungsvoll: „Deine Daten, deine Wahl.“ Aber was bedeutet das konkret für Verbraucherinnen und Verbraucher? Welche Vorteile verspricht das Gesetz – und wo lauern Fallstricke?

Dieser Artikel führt dich durch die Chancen und Risiken des Data Act aus Kundensicht. Ohne Juristendeutsch, aber mit Substanz. Mit vielen Beispielen aus dem Alltag – vom smarten Auto über die vernetzte Küche bis zur Cloud, die plötzlich nicht mehr festgeschraubt ist. Und mit einem Blick darauf, was du schon heute vorbereiten kannst, um die neuen Rechte wirklich zu nutzen.