Bevor Sie sich mit konkreten MDM-Lösungen oder Gerätekonfigurationen beschäftigen, steht eine strategische Grundsatzentscheidung an: Wem gehören die Mobilgeräte in Ihrem Unternehmen – und wer darf sie wofür nutzen? Diese Frage klingt banal, hat aber massive Auswirkungen auf Ihre IT-Kosten, den Datenschutz und die Zufriedenheit Ihrer Mitarbeiter.
Viele KMU in Südbaden stolpern in eine Gerätestrategie hinein, statt sie bewusst zu wählen. Der Chef kauft ein paar Samsung-Handys, ein Mitarbeiter besteht auf seinem privaten iPhone, und plötzlich hat man einen unkontrollierten Mix aus privaten und firmeneigenen Geräten – ohne klare Regeln, ohne Datentrennung, ohne DSGVO-Konzept. Dieser Artikel hilft Ihnen, die richtige Entscheidung vor der Technik-Auswahl zu treffen.
Die drei Modelle im Überblick: BYOD, COPE und COBO
In der Praxis haben sich drei Bereitstellungsmodelle für mobile Endgeräte etabliert. Jedes Modell definiert, wer das Gerät besitzt, wer es verwaltet und wie weit die private Nutzung erlaubt ist.
BYOD – Bring Your Own Device
Beim BYOD-Modell nutzen Mitarbeiter ihre privaten Smartphones und Tablets auch für geschäftliche Zwecke. Das Gerät gehört dem Mitarbeiter, das Unternehmen erhält lediglich eingeschränkten Zugriff auf einen geschäftlichen Bereich – typischerweise über eine Container-App oder ein Arbeitsprofil. In Deutschland ist BYOD wegen der strengen DSGVO-Anforderungen deutlich komplexer als in den USA, wird aber gerade bei kleinen Betrieben mit unter 20 Mitarbeitern häufig praktiziert – oft allerdings ohne formale Regelung.
COPE – Corporate Owned, Personally Enabled
Bei COPE kauft das Unternehmen die Geräte, erlaubt den Mitarbeitern aber die private Mitnutzung. Das Unternehmen behält die volle Kontrolle über Hardware und Sicherheitseinstellungen, während der Mitarbeiter das Gerät auch privat verwenden darf – mit klarer Datentrennung. COPE gilt als der Goldstandard für den Mittelstand, weil es Kontrolle und Akzeptanz optimal verbindet. Dieses Modell wird oft in Kombination mit einem COPE-MDM-System wie Microsoft Intune oder VMware Workspace ONE umgesetzt.
COBO – Corporate Owned, Business Only
COBO ist das restriktivste Modell: Das Unternehmen stellt Geräte bereit, die ausschließlich geschäftlich genutzt werden dürfen. Private Apps, Accounts und Nutzung sind untersagt. Dieses Modell findet man vor allem in regulierten Branchen wie dem Gesundheitswesen, bei Finanzdienstleistern oder in der öffentlichen Verwaltung. Der Nachteil: Mitarbeiter tragen zwei Geräte mit sich, was die Akzeptanz senkt.
| Kriterium | BYOD | COPE | COBO |
|---|---|---|---|
| Geräteeigentümer | Mitarbeiter | Unternehmen | Unternehmen |
| Private Nutzung | Ja (ist das eigene Gerät) | Ja, mit Trennung | Nein |
| Kontrolle durch IT | Gering (nur Container) | Hoch (volles Gerät) | Maximal |
| Anschaffungskosten | Keine | Mittel (300–800 € pro Gerät) | Mittel (300–600 € pro Gerät) |
| DSGVO-Komplexität | Sehr hoch | Mittel | Gering |
| Mitarbeiterakzeptanz | Hoch (eigenes Gerät) | Hoch (privat nutzbar) | Niedrig (zweites Gerät nötig) |
| Support-Aufwand | Hoch (Gerätevielfalt) | Mittel (standardisiert) | Niedrig (einheitlich) |
| Geeignet für | Kleine Teams, Startups | Mittelstand, Außendienst | Regulierte Branchen, Produktion |
Kostenvergleich: Was kosten die Modelle wirklich?
Die reinen Anschaffungskosten erzählen nur die halbe Geschichte. Entscheidend sind die Total Cost of Ownership (TCO) über einen typischen Gerätezyklus von 3 Jahren. Hier eine realistische Kalkulation für ein KMU mit 25 Mitarbeitern, die mobile Geräte benötigen.
| Kostenposition | BYOD | COPE | COBO |
|---|---|---|---|
| Geräteanschaffung (25 Stk.) | 0 € | 15.000 € (à 600 €) | 10.000 € (à 400 €, nur Business-Geräte) |
| MDM-Lizenzen (3 Jahre) | 5.400 € (6 €/Gerät/Monat) | 5.400 € | 5.400 € |
| Zuschuss an Mitarbeiter (3 Jahre) | 9.000 € (30 €/Monat) | 0 € | 0 € |
| Einrichtung & Enrollment | 3.000 € | 2.000 € | 1.500 € |
| Support-Mehraufwand (3 Jahre) | 7.500 € (heterogene Geräte) | 3.600 € | 2.400 € |
| DSGVO-Beratung & Richtlinien | 3.000 € | 1.500 € | 500 € |
| Gesamtkosten (3 Jahre) | ca. 27.900 € | ca. 27.500 € | ca. 19.800 € |
| Kosten pro Mitarbeiter/Monat | ca. 37 € | ca. 37 € | ca. 26 € |
Auf den ersten Blick spart BYOD die Anschaffungskosten. In der Praxis kommen jedoch Gerätezuschüsse, höherer Support-Aufwand durch unterschiedliche Gerätetypen und Betriebssysteme sowie erhebliche DSGVO-Beratungskosten hinzu. In vielen Fällen ist COPE am Ende sogar günstiger – bei deutlich besserer Kontrolle. Der vermeintliche Kostenvorteil von BYOD löst sich bei genauer Betrachtung oft in Luft auf.
DSGVO und Datentrennung: Rechtliche Anforderungen je Modell
Die Wahl des Bereitstellungsmodells hat direkte Auswirkungen auf Ihre DSGVO-Pflichten. Besonders bei BYOD bewegen Sie sich auf rechtlich anspruchsvollem Terrain, denn Sie verarbeiten Unternehmensdaten auf einem Gerät, das Ihnen nicht gehört – und gleichzeitig hat Ihre IT potenziell Zugriff auf private Daten des Mitarbeiters.
BYOD: Höchste DSGVO-Hürden
- Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist bei BYOD praktisch immer erforderlich
- Sie benötigen eine separate BYOD-Vereinbarung mit jedem Mitarbeiter – eine einfache Einwilligung reicht nicht
- Beim Ausscheiden eines Mitarbeiters dürfen Sie nur den geschäftlichen Container löschen, nicht das gesamte Gerät
- Der Betriebsrat hat ein Mitbestimmungsrecht bei der Einführung von BYOD-Regelungen
- Bei einem Datenschutzvorfall auf einem privaten Gerät wird die Verantwortlichkeit komplex – wer haftet?
- Private Apps wie WhatsApp greifen auf das Adressbuch zu und können geschäftliche Kontakte an Meta übertragen
Container-Lösungen: Der Schlüssel zur Datentrennung
Unabhängig vom Modell ist eine technische Datentrennung zwischen geschäftlich und privat der wichtigste Baustein für DSGVO-Compliance auf Mobilgeräten. Moderne Betriebssysteme und MDM-Lösungen bieten dafür ausgereifte Mechanismen.
Android Enterprise Work Profile
Erstellt einen separaten, verschlüsselten Arbeitsbereich auf dem Gerät. Geschäftliche Apps sind mit einem Koffersymbol gekennzeichnet. Copy-Paste und Datenaustausch zwischen privat und geschäftlich lässt sich granular steuern.
Apple User Enrollment
Speziell für BYOD auf iOS: Erstellt ein verwaltetes Apple-ID-Konto neben dem privaten. Geschäftsdaten werden in einem separaten APFS-Volume gespeichert. Der Arbeitgeber kann weder private Apps sehen noch das Gerät komplett löschen.
Samsung Knox
Erweitert Android Enterprise um zusätzliche Sicherheitsebenen. Besonders beliebt bei COPE-Deployments: Hardware-basierte Verschlüsselung, Echtzeit-Kernel-Schutz und granulare Richtlinien bis auf App-Ebene.
Microsoft Intune App Protection
Schützt geschäftliche Daten auf App-Ebene – auch ohne vollständige Geräteverwaltung. Ideal für BYOD: Outlook, Teams und OneDrive werden in einem geschützten Container betrieben, der Rest des Geräts bleibt unangetastet.
⚠️ Wichtig: Ohne technische Datentrennung ist die geschäftliche Nutzung privater Geräte aus DSGVO-Sicht nicht vertretbar. Allein die automatische Kontaktsynchronisation von WhatsApp auf einem Gerät mit geschäftlichen Kontakten kann bereits einen meldepflichtigen Datenschutzverstoß darstellen. Die Datenschutzkonferenz (DSK) hat dies in ihren Orientierungshilfen mehrfach klargestellt.
| DSGVO-Anforderung | BYOD | COPE | COBO |
|---|---|---|---|
| Datenschutz-Folgenabschätzung | Pflicht | Empfohlen | Meist nicht nötig |
| Nutzungsvereinbarung | Zwingend, individuell | Ja, standardisiert | Einfache Dienstanweisung |
| Technische Datentrennung | Pflicht (Container) | Pflicht (Container) | Nicht nötig (nur geschäftlich) |
| Recht auf Privatsphäre | Sehr hoch (privates Gerät) | Mittel (privater Bereich) | Gering (rein geschäftlich) |
| Aufwand bei Offboarding | Hoch (nur selektiver Wipe) | Mittel (selektiver oder Full Wipe) | Niedrig (Full Wipe) |
| Haftung bei Datenverlust | Komplex (geteilte Verantwortung) | Klar (Unternehmen) | Klar (Unternehmen) |
Welches Modell passt zu Ihrem Unternehmen?
Die Wahl des richtigen Modells hängt von mehreren Faktoren ab: Unternehmensgröße, Branche, Sicherheitsanforderungen und Budget. Hier eine praxisnahe Orientierung.
BYOD empfehlen wir für:
Kleine Unternehmen mit 5–15 Mitarbeitern, die überwiegend im Büro arbeiten und Mobilgeräte nur gelegentlich für E-Mail und Kalender nutzen. Typische Beispiele: kleine Agenturen, Beratungsbüros, Steuerberater mit wenigen Angestellten. Voraussetzung ist eine saubere Container-Lösung wie Intune App Protection Policies und eine wasserdichte BYOD-Vereinbarung. Ohne beides: Finger weg von BYOD.
COPE empfehlen wir für:
Mittelständische Unternehmen mit 15–250 Mitarbeitern, besonders wenn Außendienst, mobile Arbeit oder der Zugriff auf sensible Daten eine Rolle spielen. COPE ist das Modell mit der besten Balance aus Kontrolle, Kosten und Akzeptanz. Typische Beispiele: Handwerksbetriebe mit Monteuren, IT-Dienstleister, Ingenieurbüros, mittelständische Produktionsunternehmen. Mit standardisierten Geräten (z. B. einheitlich Samsung Galaxy A55 oder iPhone 15) sinkt der Support-Aufwand drastisch.
COBO empfehlen wir für:
Unternehmen in regulierten Branchen oder mit besonders hohen Sicherheitsanforderungen. Typische Beispiele: Arztpraxen und medizinische Einrichtungen (Patientendaten), Finanzberater und Versicherungsmakler (BaFin-Anforderungen), Rechtsanwaltskanzleien (Mandantengeheimnis), Produktionsbetriebe mit Spezialgeräten (Scanner, Ruggedized Devices). Auch für Shared Devices – also Geräte, die von mehreren Mitarbeitern im Schichtbetrieb genutzt werden – ist COBO die einzig sinnvolle Wahl.
Praxisbeispiel: Handwerksbetrieb in Südbaden stellt auf COPE um
Ein typisches Szenario aus unserer Beratungspraxis: Ein Elektroinstallationsbetrieb mit 35 Mitarbeitern im Raum Freiburg hatte über Jahre einen unkontrollierten Geräte-Mix aufgebaut. Einige Monteure nutzten private Smartphones mit der Firmen-E-Mail, andere hatten alte Firmenhandys ohne Verwaltung. Die Geschäftsführung wusste nicht einmal genau, auf wie vielen Geräten Firmendaten gespeichert waren.
Bestandsaufnahme
Gemeinsam identifizierten wir 42 Geräte mit Firmenzugang – 15 mehr als die Geschäftsführung vermutet hatte. Darunter 8 Geräte ausgeschiedener Mitarbeiter, die noch Zugriff auf das E-Mail-System hatten.
Strategieentscheidung
Nach Abwägung aller Faktoren fiel die Wahl auf COPE: Die Monteure wollten kein zweites Gerät tragen (COBO ausgeschlossen), aber die Firma brauchte Kontrolle über die Geräte (BYOD zu riskant).
Standardisierung
Beschaffung von 30 Samsung Galaxy A55 (ca. 350 € pro Stück) für alle Monteure und Projektleiter. Einheitliches Modell senkt Support-Aufwand und ermöglicht Ersatzgeräte auf Vorrat.
Rollout
Über Microsoft Intune (bereits in der vorhandenen M365 Business Premium Lizenz enthalten) wurden alle Geräte mit Android Enterprise Work Profile eingerichtet. Private Nutzung erlaubt, aber geschäftliche Daten strikt im Container.
Ergebnis
Nach 6 Wochen waren alle Geräte verwaltet, die 8 Altgeräte aus dem Zugriff entfernt und eine klare Nutzungsrichtlinie eingeführt. Die monatlichen Kosten: lediglich 120 € für externen Support – die MDM-Lizenz war bereits vorhanden.
In der Praxis setzen viele Unternehmen auf einen Mix aus COPE und BYOD: Mitarbeiter mit hohem Mobilbedarf (Außendienst, Projektleiter) erhalten COPE-Geräte, während Büromitarbeiter, die nur gelegentlich E-Mails am Handy lesen, ihr privates Gerät mit Intune App Protection nutzen dürfen. Dieses Hybridmodell vereint Kosteneffizienz mit Sicherheit – erfordert aber saubere Richtlinien für beide Gruppen.
Implementierung in 5 Schritten: Von der Strategie zum Rollout
Die Umstellung auf ein strukturiertes Gerätemodell muss kein Mammutprojekt sein. Mit einer klaren Vorgehensweise schaffen die meisten KMU die Implementierung in 4 bis 8 Wochen.
Ist-Analyse und Modellwahl (Woche 1)
Erfassen Sie alle Mobilgeräte mit Firmenzugang. Klären Sie: Wie viele Mitarbeiter brauchen mobile Geräte? Welche Daten werden mobil verarbeitet? Welche Branchenanforderungen gelten? Auf dieser Basis wählen Sie BYOD, COPE, COBO oder ein Hybridmodell.
Richtlinien und Vereinbarungen erstellen (Woche 2)
Erstellen Sie eine Mobile Device Policy: Nutzungsregeln, Datentrennung, Pflichten der Mitarbeiter, Verhalten bei Verlust. Bei BYOD zusätzlich: individuelle BYOD-Vereinbarung und Datenschutz-Folgenabschätzung. Den Betriebsrat frühzeitig einbeziehen.
Geräte beschaffen und MDM einrichten (Woche 3–4)
Bei COPE/COBO: Geräte bestellen und im Apple Business Manager oder Android Zero-Touch registrieren. MDM-Plattform konfigurieren: Sicherheitsrichtlinien, App-Katalog, E-Mail- und VPN-Profile, Compliance-Regeln.
Pilotphase mit Testgruppe (Woche 5–6)
Starten Sie mit 5–10 Testnutzern aus verschiedenen Abteilungen. Sammeln Sie Feedback: Funktioniert die Datentrennung? Sind alle benötigten Apps verfügbar? Gibt es Performance-Probleme? Passen Sie die Konfiguration anhand des Feedbacks an.
Rollout und Schulung (Woche 7–8)
Schrittweiser Rollout für alle Mitarbeiter. Kurze Schulung (30 Minuten reichen meist): Was ist der geschäftliche Container? Was darf ich privat? Was passiert bei Verlust? Nutzungsvereinbarung unterschreiben lassen. Alte, unverwaltete Zugriffe deaktivieren.
Checkliste: Die richtige Firmenhandy-Strategie wählen
Strategische Grundlagen
- Bestandsaufnahme aller Mobilgeräte mit Firmenzugang durchgeführt
- Anzahl der Mitarbeiter mit mobilem Bedarf ermittelt
- Art der mobil verarbeiteten Daten klassifiziert (E-Mail, CRM, Patientendaten etc.)
- Branchenspezifische Compliance-Anforderungen geprüft (BaFin, KHZG, Berufsgeheimnisse)
- Budget für Geräteanschaffung und laufende Verwaltung definiert
- Entscheidung für BYOD, COPE, COBO oder Hybridmodell getroffen und dokumentiert
Rechtliche Absicherung
- Mobile Device Policy erstellt und von der Geschäftsführung freigegeben
- Bei BYOD: individuelle Nutzungsvereinbarung je Mitarbeiter vorbereitet
- Datenschutz-Folgenabschätzung durchgeführt (bei BYOD Pflicht, bei COPE empfohlen)
- Betriebsrat informiert und Mitbestimmungsrechte gewahrt
- Aufbewahrungsfristen und Löschkonzept für mobile Daten definiert
- Notfallprozess bei Geräteverlust oder Datenschutzvorfall dokumentiert
Technische Umsetzung
- MDM-Plattform ausgewählt und Testumgebung eingerichtet
- Container-Lösung für Datentrennung konfiguriert und getestet
- Sicherheitsrichtlinien definiert (Passwort, Verschlüsselung, Updates)
- App-Katalog zusammengestellt und Verteilungsregeln festgelegt
- Pilotphase mit Testgruppe erfolgreich abgeschlossen
- Rollout-Plan mit Zeitrahmen und Zuständigkeiten erstellt
Fazit: Die Strategie kommt vor der Technik
Die Wahl zwischen BYOD, COPE und COBO ist keine technische, sondern eine strategische Unternehmensentscheidung. Sie beeinflusst Ihre IT-Kosten für die nächsten Jahre, bestimmt den DSGVO-Aufwand und wirkt sich direkt auf die Zufriedenheit Ihrer Mitarbeiter aus. Wer diese Entscheidung bewusst und informiert trifft, spart langfristig Geld und vermeidet rechtliche Risiken.
Für die meisten mittelständischen Unternehmen in Südbaden ist COPE das optimale Modell: überschaubare Kosten, volle Kontrolle, hohe Mitarbeiterakzeptanz und beherrschbarer DSGVO-Aufwand. Ergänzt um ein Hybridmodell mit Intune App Protection für Gelegenheitsnutzer, decken Sie damit alle Szenarien ab.
Wichtig ist: Treffen Sie die Strategieentscheidung, bevor Sie Geräte kaufen oder MDM-Software konfigurieren. Ein nachträglicher Wechsel von BYOD zu COPE oder umgekehrt ist aufwendig, teuer und sorgt für Unruhe im Team. Investieren Sie lieber zwei Wochen in die richtige Planung – das zahlt sich über den gesamten Gerätezyklus aus.