BYOD – Bring Your Own Disaster?

Einleitung

Mobile Geräte befähigen einige Mitarbeiter unzweifelhaft seine Zeit produktiver zu nutzen, um zum Beispiel während einer Reise zu arbeiten. Heute besitzen die meisten Menschen verschiedene mobile Geräte: Mobiltelefone, die an sich schon kleine Computer darstellen, Laptops, Netbooks und/oder Tablet-PCs, wobei die Grenzen zwischen den letzten drei nicht immer klar definiert ist. Der Einsatz der nicht dem Unternehmen gehörenden Geräte zu Firmenzwecken bieten dem Unternehmen auch Vorteile:

  • Niedrigere Kosten im Bereich der Investitionen für IT-Mittel
  • Nutzer mit ihren privaten Geräten meist sehr gut aus, da sie diese selbst eingerichtet haben
    • Geringerer Support-Bedarf
    • Geringerer Schulungs-Bedarf
      Daraus resultiert insgesamt eine höhere Produktivität für das Unternehmen.
  • Es steigert die Attraktivität eines Arbeitgebers, wenn sich Angestellte ihr Arbeitsgerät selbst aussuchen können

Die Geräte im Besitz der Mitarbeiterinnen und Mitarbeiter sind im Vergleich zu den firmeneigenen Rechnern häufig mit zusätzlicher Funktionalitäten ausgestattet, welche auf den firmeneigenen Geräten vermisst werden und die Nutzwert für den Mitarbeiter erhöht. Der Einsatz der nicht dem unternehmen gehörenden Geräte für die tägliche Arbeit im Unternehmen bietet auf den ersten Blick den Mitarbeitern wie auch dem Unternehmen nur Vorteile: die Idee des BYOD (= „bring your own device“) war geboren.

Der zweite Blick

Durch die Offenheit der Gerätewahl steigert sich automatisch die Heterogenität1) der mobilen Betriebssystemlandschaft im Unternehmen, wodurch sich der Aufwand der Administration und der Gestaltung der Sicherheitsrichtlinien drastisch erhöht, da die jeweiligen Merkmale eines Betriebssystems bzw. teilweise des jeweiligen Gerätetyps mit seiner entsprechenden Betriebssystemmodifikation (Stichwort: Android-Betriebssystem ≠ Android Betriebssystem) evaluiert und für das Sicherheitskonzept berücksichtigt werden müssen. Daneben gibt es noch diverse andere Überlegungen, welche die unzweifelhaft vorhandenen Vorteile des BYOD-Konzeptes relativieren:

  • Wie sieht es hinsichtlich der Produktivität des Mitarbeiters bei Verlust oder defekt des mobilen Gerätes aus?
    • Stellt das Unternehmen ein Ersatzgerät?
    • Schließt das Unternehmen für das Gerät der Mitarbeiterin / des Mitarbeiters einen Supportvertrag ab?
  • Benötigt das Unternehmen ggf. mehrere Remote Access Lösungen für die vielen verschiedenen Geräte?
  • Wie schütze ich mein Unternehmensnetzwerk davor, dass von den privaten Geräten keine schädliche Software ins Unternehmen transportiert wird?

Weiterhin müssen verschiedene gesetzliche Regelungen betrachtet werden, insbesondere natürlich auch die bestehenden Datenschutzgesetze,

Datenschutzrechtliche Betrachtung des BYOD

Werden Daten außerhalb der Verfügungsgewalt des Unternehmens gelagert, so dass das Unternehmen nicht mehr als „Herr der Daten“ gelten kann, müssen die Daten letztlich als an einen Dritten übermittelt gelten. D.h. hier ist eine Einverständniserklärung der jeweils Betroffenen notwendig. Unabhängig vom Verwaltungsaufwand für das unternehmen, der notwendig ist um von allen Betroffenen ein Einverständnis einzuholen: wenn ein Betroffener sein Einverständnis nicht erteilt, muss dies in den IT-Systemen vermerkt werden und technisch verhindert werden, dass mit privaten Endgeräten auf die Daten zugegriffen werden kann, wohl aber mit dienstlichen Geräten. Es muss also eine Liste geführt werden, mit denen eindeutig der Status „privat“ bzw. „dienstlich“ bestimmt werden kann und entsprechende Filterregeln in allen IT-Systemen implementiert werden. Zum heutigen Zeitpunkt ist dies so gut wie unmöglich abzubilden. Zudem ist das Unternehmen entsprechend §§17 und 18 UWG zum Schutz von Betriebs- und Geschäftsgeheimnisse verpflichtet, was ebenfalls einer direkten Weitergabe von derartigen Daten an Privatpersonen ausschließt.
Daher muss das unternehmen auch beim Einsatz privater mobiler Endgeräte der „Herr der Daten“ bleiben. Dies kann nur durch den Einsatz von Verschlüsselungssoftware erreicht werden, so dass auf den privaten mobilen Endgeräten Crypto-Container eingerichtet werden, in denen die Daten des Unternehmens gelagert werden Idealerweise hat die Mitarbeiterin/der Mitarbeiter auf den Crypto-Container nur Zugriff, wenn das mobile Endgerät mit dem Unternehmensnetzwerk verbunden ist. Bei Verlust des mobilen Endgerätes sind die dienstlichen Daten vor unbefugtem zugriff geschützt. Ist das Unternehmen gezwungen die dienstlichen Daten zu löschen, muss lediglich der Crypto-Container gelöscht werden; die privaten Daten der Mitarbeiterin/des Mitarbeiters bleiben unberührt.
Spezialgesetzliche Regelungen im Gesundheitswesen schreiben in einigen Bundesländern zudem vor, dass Daten grundsätzlich im Krankenhaus selbst verarbeitet werden müssen2)). Auch der Landesbeauftragte für Datenschutz schreibt in seinem Tätigkeitsbericht, dass aus seiner Sicht der Einsatz privater Endgeräte nur ausnahmsweise in Betracht kommt, wenn ausschließlich Daten verarbeitet bzw. genutzt werden, die datenschutzrechtlich nicht als sensiblen anzusehen sind3). In Fällen, wo nicht direkt auf dem Mobilgerät mit den Daten gearbeitet werden darf, kommen derzeit nur Terminal-Lösungen in Betracht, in denen die Verarbeitung im Krankenhaus erfolgt. Die zurzeit am häufigsten in Deutschland eingesetzte Lösung ist die von Citrix.
Bzgl. der Informationspflicht bei Datenpannen geht der Berliner Datenschutzbeauftragte davon aus, dass eine „Kenntniserlangung durch einen Dritten nicht positiv festgestellt“ werden muss4). Desgleichen geht er davon aus, dass eine „Informationspflicht auch in Betracht kommt, wenn Laptops oder andere Datenträger an Orten verlorengehen, wo sie Dritten zugänglich sind und die Daten nicht verschlüsselt sind“3. Auch aus dieser Sicht ist ein Crypto-Container das Mittel der Wahl, denn ohne Verschlüsselung muss das Unternehmen bei Verlust des (privaten) mobilen Endgerätes seinen Informationspflichten nachkommen, d.h. ggf. eine Anzeige in überregionalen Tageszeitungen veröffentlichen.

Rechtliche "Randbetrachtungen" bei BYOD

Neben dem Datenschutzrecht müssen beim Einsatz von BYOD noch diverse andere rechtliche Fragestellungen betrachtet werden, wie beispielsweise:

  • Arbeitsrecht
    • Kontrollmöglichkeit des Arbeitgebers bei privater Hardware entfällt
      („Computer-Grundrecht“, BVerfG 27.02.2008)
    • TKG/TMG: Diensteanbieter → begrenzter Zugriff auf Protokolldaten usw.
    • Kein Zugriff auf dienstl. E-Mails bei privaten Geräten
  • Urheberrecht/Lizenzrecht
    • Installation von Software des Unternehmens auf privater Hardware vs. Urheberrecht
      (Evtl. Hinwies des Herstellers „Nutzung nur auf Rechnern, die im Eigentum des Lizenznehmers stehen“?)
    • Nutzung der privat gekauften Lizenzen für dienstliche Zwecke?
    • §99 UrhG: „Ist in einem Unternehmen von einem Arbeitnehmer oder Beauftragten ein nach diesem Gesetz geschütztes Recht widerrechtlich verletzt worden, hat der Verletzte die Ansprüche aus § 97 Abs. 1 und § 98 auch gegen den Inhaber des Unternehmens“
  • Strafrecht; neben TKG, TMG und Datenschutz ist insbesondere §202 a-c StGB zu betrachten
    • §202a StGB: Ausspähen von Daten
      • Keine Straftat, wenn private Daten beim Einsatz von BYOD nicht gesondert gesichert sind
    • §202b StGB: Abfangen von Daten
      • Keine Straftat, wenn Übermittlung über Unternehmenskommunikationsnetz erfolgt
    • §202c StGB: Vorbereiten des Ausspähens und Abfangens von Daten
      • Keine Straftat, wenn der Täter nicht eine eigene oder fremde Straftat nach §202 a oder §202b StGB unterstützen will
  • Steuerrecht
    • Vergütungsanspruch des Mitarbeiters für die betriebliche Nutzung?
    • Geldwerter Vorteil
  • Haftungsrecht
    • Verlust/Beschädigung Smartphone während Arbeit
    • Datenveränderung (§303a StGB), z.B. private Daten und Virenschutz des Unternehmens
  • Vertragsrecht
    • Wer ist Vertragspartner für Wartung/Reparatur des Gerätes?
    • Wer ist verantwortlich für Updates?
  • Compliance / Unternehmenssicherheit
    • Compliance := Auftraggeber hat insbesondere sicherzustellen, dass die
      • Integrität,
      • Vertraulichkeit,
      • Verfügbarkeit und
      • Zurechenbarkeit
        von Daten des Unternehmens bei unternehmenskritischen Prozessen und Anwendungen jederzeit sichergestellt ist
    • Arbeitgeber ist bei BYOD Auftragnehmer, wenn beispielsweise private Daten im Backup mitgesichert werden
  • Geheimnisschutz
    • Schutz von Betriebs- und Geschäftsgeheimnisse (§§ 17, 18 UWG)
    • Verletzung von Privatgeheimnissen (§203 StGB)
  • Betriebliche Nutzung privater Accounts
    • Social Network – wem gehört der Account?

Software zum Mobile Device Management (MDM)

Mobile Device Management (MDM) soll die zentrale Verwaltung der in einem Unternehmen eingesetzten mobilen Endgeräte ermöglichen. Die Anforderungen an eine MDM-Lösung sind:

  • Sie ist kompatibel zu allen gängigen Mobile Plattformen und Anwendungen.
  • Sie arbeitet in allen gängigen Mobilfunknetzen.
  • Sie kann direkt „over the air“ (OTA) implementiert werden unter Auswahl bestimmter Zielgeräte
  • Hardware, Betriebssysteme, Konfiguration und Anwendungen können schnell und problemlos ausgeliefert werden.
  • Mobile Geräte können nach Bedarf von Administratoren dem MDM-System hinzugefügt oder daraus entfernt werden, d.h. der Zugriff auf das Unternehmensnetzwerk und damit die Daten des Unternehmens darüber gesteuert werden.
  • Die Integrität und Sicherheit der IT-Infrastruktur ist stets gewährleistet.
  • Security Policies werden konsequent durchgesetzt.
  • Der Anwender bekommt von der Existenz der Lösung so wenig wie möglich oder nötig mit.

Alle Anforderungen zugleich zu erfüllen schafft keine der auf dem Markt befindlichen Lösungen. Ein Unternehmen muss sich - wie bei der Anschaffung eines anderen Produktes auch – einen Kriterienkatalog erstellen, welche Anforderungen „muss“-Kriterien entsprechen, welche 2lann„-Kriterien und welche „unerwünschtes feature“_Kriterien. Zu den Anforderungen können beispielsweise gehören

  • Unterstütze (mobile) OS
    • Android
    • Blackberry
    • iOS
    • Symbian
    • Windows
  • Security-Features
    • App-Installation (White-List, Black-List, …)
    • Authentifizierung-/Authorisierungs-Management
    • Jailbreak-Erkennung, rooten, …
  • Systemintegration
    • AD/LDAP-Integration
    • App-Management

Danach müssen die eigenen Anforderungen mit den Möglichkeiten der angebotenen Produkte verglichen werden und idealerweise erfolgt dann eine Testinstallation der zwei, maximal drei besten Kandidaten. ohne Anspruch auf Vollzähligkeit hier eine Liste mit Anbietern von MDM-Software:

Fazit

BYOD kann eingesetzt werden, allerdings müssen viele Bereiche geregelt werden:

  • Wie kann zwischen geschäftlichen und privaten Daten unterschieden werden?
  • Wie sieht das Archivierungskonzept aus?
  • Wie erfolgt eine Synchronisation zwischen mobilem Endgerät und Daten im Unternehmen?
  • Wie werden Einsicht-, Nutzungs- und Zugriffsrechte des Arbeitgebers auf die privaten mobilen Endgeräte geregelt?
  • Welche Software darf auf dem mobilen Endgerät installiert werden?
  • Welche Sicherheitsrichtlinien gelten für private mobile Endgeräte?
  • Welche Sicherheitssoftware muss auf den mobilen Endgeräten installiert sein?
  • Wer trägt die Lizenzkosten?
  • Welche Art der Verschlüsselung wird eingesetzt?

All diese Fragen können wohl nur mit einer Betriebsvereinbarung geregelt werden, zudem ist der Einsatz einer Mobile-Device-Management-Lösung erforderlich. Werden die Sicherheitsrichtlinien jedoch entsprechend den Anforderungen des Arbeitgebers bzw. des Unternehmensumgesetzt, werden die Möglichkeiten des Besitzers des mobilen Endgerätes drastisch eingeschränkt:

  • er kann nicht mehr jede beliebige App installieren,
  • ein Jailbreak oder ähnliches ist ihm nicht erlaubt, damit ist der Zugriff auf verschiedene Möglichkeiten (andere Apps, erweiterte Funktionalität des mobilen Endgerätes durch Nutzung alternativer Firmware) nicht möglich.

Ob der Besitzer des Gerätes dann noch die ursprünglich mit dem Kauf erhoffte Freude am Besitz des Gerätes hat? Oder ob er und auch das Unternehmen sich dann auch die Frage stellt, wofür die Abkürzung BYOD eigentlich steht?

Literatur

  • Arning M, Moos F, Becker M. (2012) Vertragliche Absicherung von Bring Your Own Device - Was in einer Nutzungsvereinbarung zu BYOD mindestens enthalten sein sollte. CR: 592-598
  • Bierekoven C. (2012)Bring your own Device: Schutz von Betriebs- und Geschäftsgeheimnissen - Zum Spannungsverhältnis zwischen dienstlicher Nutzung privater Mobilgeräte und Absicherung sensibler Unternehmensdaten. ITRB: 106ff
  • Bundesamt für Sicherheit in der Informationstechnik (BSI). (2011) Überblickspapier Smartphones. [Online, zitiert am 2013-05-14] ], verfügbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/Ueberblickspapier_Smartphone_pdf.pdf?__blob=publicationFile
  • Bundesamt für Sicherheit in der Informationstechnik (BSI). (2013) Überblickspapier IT-Consumerisation und BYOD. [Online, zitiert am 2013-05-14] ], verfügbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/Ueberblickspapier_BYOD_pdf.pdf?__blob=publicationFile
  • Conrad I, Schneider J. (2011) Einsatz von „privater IT“ im Unternehmen - Kein privater USB-Stick, aber „Bring your own device“ (BYOD)? ZD: 153ff
  • Deiters G. (2012) Betriebsvereinbarung Kommunikation - Beschäftigteninteressen und Compliance bei privater Nutzung von Kommunikationsmitteln im Unternehmen. ZD: 109ff
  • Göpfert B, Wilke E. (2012) Nutzung privater Smartphones für dienstliche Zwecke. NZA: 765ff
  • Hemker T. (2012) „Ich brauche das!“ – Mobile Geräte im Unternehmenseinsatz - Übersicht über die Bedrohungslage und die Schutzmaßnahmen für die Verwendung geschäftlicher Daten auf (privaten) mobilen Geräten. DuD: 165-168
  • Herrnleben G. (2012) BYOD – die rechtlichen Fallstricke der Software-Lizenzierung für Unternehmen. MMR: 205ff
  • Hörl B. (2012) Bring your own Device: Nutzungsvereinbarung im Unternehmen - Mitarbeiter-PC-Programm als Steuerungsinstrument des Arbeitgebers. ITRB: 258ff
  • Koch FA. (2008) Rechtsprobleme privater Nutzung betrieblicher elektronischer Kommunikationsmittel. NZA: 911ff
  • Koch FA. (2012) Arbeitsrechtliche Auswirkungen von „Bring your own Device“ - Die dienstliche Nutzung privater Mobilgeräte und das Arbeitsrecht. ITRB: 35ff
  • Kremer S, Sander S. (2012) Bring your own Device - Zusammenfassung und Fortführung der Beiträge in ITRB 11/2011 bis ITRB 11/2012. ITRB: 275ff
  • Söbbing T, Müller NR. (2012) Bring your own Device: Haftung des Unternehmens für urheberrechtsverletzenden Inhalt - Absicherung einer urheberrechtskonformen Hard- und Softwarenutzung für Unternehmenszwecke. ITRB: 15ff
  • Söbbing T, Müller NR. (2012) Bring your own Device: Strafrechtliche Rahmenbedingungen - Vorkehrungen gegen Datenmissbrauch bei Nutzung privater Geräte im Unternehmen. ITRB: 263ff

Zurück zur Themenübersicht

1) Stand 08.06.2012 bestand das Angebot der vier Carrier Telekom, Vodafone, O2 und E-Plus aus 168 verschiedenen Endgeräten; Quelle: Düll K. (2012) Bring Your Own Device (BYOD) - Wie viele Gerätetypen kommen denn da auf mich zu? [Online, zitiert am 2013-05-13], verfügbar unter http://pretioso-blog.com/bring-your-own-device-byod-wieviele-geraetetypen-kommen-denn-da-auf-mich-zu/#.UZMnb3rwBYI
2) Z.B.: Bremen (§10 BremKHDSG), Nordrhein Westfalen (§7 GDSG NW) oder auch Saarland (§13 SKHG
3) 23. Tätigkeitsberichte des Landesbeauftragten für den Datenschutz Rheinland-Pfalz, S. 59. [Online, zitiert am 2013-05-14], verfügbar unter http://www.datenschutz.rlp.de/downloads/tb/tb23.pdf
4) Berliner Beauftragten für Datenschutz und Informationsfreiheit. (2011) FAQs zur Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten nach § 42a BDSG, S. 5,6 . [Online, zitiert am 2013-05-14], verfügbar unter http://www.datenschutz-berlin.de/attachments/809/535.4.7.pdf?1311923219

Navigation
QR-Code
QR-Code BYOD – Bring Your Own Disaster? (erstellt für aktuelle Seite)