Nach mei­nem Arti­kel BYOD Bring Your Own Device – Eine der dümms­ten Ideen aller Zei­ten von Gart­ner, For­res­ter und Vor­stän­den auf der Grund­lage von Scot A. Tur­bans Arti­kel haben mich viele Anfra­gen zu den recht­li­chen und tech­ni­schen Pro­ble­men von BYOD-​Strategien erreicht. Inso­fern erläu­tere ich die aus mei­ner Sicht der­zeit rele­van­tes­ten Pro­bleme hier noch ein­mal – gerade auch vor dem Hin­ter­grund mei­ner letz­ten USA-​Reise, wo ich diverse Gesprä­che zum Thema führte und fest­stellte, dass dort nach dem ers­ten Hype schon bei man­chen die erste Ernüch­te­rungs­phase ein­ge­tre­ten ist. Gut bringt dies die fol­gende Aus­sage eines Ver­ant­wort­li­chen zum Ausdruck:

Klaus, I couldn’t ima­gine last year that our reps own over 50 dif­fe­rent models and – being honest – some I’ve never heard and seen before. Actually 7 don’t work with our cur­rent MDM solu­tion – it’s a nightmare.

Um Miss­ver­ständ­nisse zu ver­mei­den: Diese Aus­sa­gen reprä­sen­tie­ren aktu­ell noch nicht die Mehr­heit. Aber es sind längst nicht mehr nur Ein­zel­fälle. Seit März beob­achte ich ein Anschwel­len kri­ti­scher Aus­ein­an­der­set­zun­gen mit BYOD-​Themen in ame­ri­ka­ni­schen Blogs – What’s the big deal with BYOD? im Blog von Wid­pa­ckets ist ein gutes Bei­spiel für die dif­fe­ren­ziert kri­ti­sche Aus­ein­an­der­set­zung, die gerade beginnt.

Recht­li­che Aspekte

Zu die­sem Thema gibt es mitt­ler­weile viele inter­es­sante Bei­träge im Netz – unab­hän­gig von ech­ter Rechts­be­ra­tung, die selbst­ver­ständ­lich auch wir nicht lie­fern dür­fen. Aber auch ohne ein Jurist zu sein, sind die viel­fäl­ti­gen Pro­bleme evi­dent und kön­nen rasch unüber­schau­bar wer­den, je län­ger man sich mit der The­ma­tik beschäf­tigt. Ohne einen Anspruch auf Voll­stän­dig­keit führe ich an die­ser Stelle ein­mal die­je­ni­gen an, die ich für ganz beson­ders gra­vie­rend halte.

Ver­hal­tens­pro­bleme

• Bei jedem BYOD-​Konzept ist der Eigen­tü­mer des mobi­len Gerä­tes der Mit­ar­bei­ter, der fak­tisch mit sei­nem Gerät tun und las­sen kann, was ihm beliebt. Natür­lich kann man ver­trag­lich alles Denk­bare mit dem Mit­ar­bei­ter ver­ein­ba­ren – bis hin zur völ­li­gen Unter­ord­nung des Gerä­tes unter das Wei­sungs­recht des Arbeit­ge­bers. Ein sol­ches Sze­na­rio führt dann aller­dings dazu, dass der Arbeit­ge­ber dem Mit­ar­bei­ter eine sub­stan­ti­elle Nut­zungs­ent­schä­di­gung schul­det, was sehr schnell schon ein­mal die ver­meint­li­chen Kos­ten­vor­teile aufhebt.
• Ein BYOD-​Szenario führt sehr schnell zu Situa­tio­nen, die man – selbst bei sehr gründ­li­cher Vor­be­rei­tung – gar nicht bedacht hat bzw. beden­ken konnte. Mir wur­den gerade in den letz­ten Tagen diverse Bei­spiele geschil­dert, die ich so nicht für mög­lich hielt:

• Wie geht man damit um, wenn der (Ehe)-Partner das Gerät ein­fach vertauscht?
• Wie geht man damit um, wenn das Gerät viel­leicht sogar noch dem (Ehe)-Partner gehört und die­ses ver­schwie­gen wurde?
• Wie geht man damit um, wenn Kin­der und Freunde das Gerät benut­zen (dürfen)?
• Wie geht man damit um, wenn der Mit­ar­bei­ter, Bekannte oder Ver­wandte das Gerät hacken /​jail­brea­ken /​roo­ten?
• Wie geht man damit um, wenn der Mit­ar­bei­ter oder andere für ihn /​ohne sein Wis­sen Mal­ware oder frag­wür­dige Soft­ware wie z.B. Face­Niff auf sei­nem Gerät installiert?
• Wie geht man damit um, dass das Jail­brea­ken von Gerä­ten in den USA und den meis­ten ande­ren Län­dern legal ist – mit­hin das Unter­bin­den von Jail­breaks aus Sicht des Besit­zers eine mas­sive Nut­zungs­ein­schrän­kung bedeu­tet /​ver­ur­sacht? (und dies fak­tisch auch ist)
• Wie geht man damit um, dass der Mit­ar­bei­ter trotz BYOD-​Absprache kein Gerät mit­bringt, z.B. weil er behaup­tet, es sich nicht leis­ten zu können?
• Wie geht man damit um, wenn der Mit­ar­bei­ter eine(n) neue(n) Partner(in) hat, die Smart­pho­nes ablehnt und meint es rei­chen auch ein­fa­che Prepaid-​Handys?
• Wie geht man damit um, wenn der Mit­ar­bei­ter sich wei­gert einen Daten­ta­rif für sei­nen Mobil­funk­ver­trag abzu­schlie­ßen /​fort­zu­füh­ren?
• Wie geht man damit um, wenn der Mit­ar­bei­ter sich wei­gert, das Gerät im Aus­land mit sei­ner SIM-​Karte zu nut­zen oder für Roa­ming natio­nal (das gibt es z.B. in den USA) zu nutzen?
• Wie geht man damit um, wenn der Mit­ar­bei­ter sich wei­gert, im Aus­land oder beim Roa­ming eine Mobil­funk­karte des Unter­neh­mens zu nut­zen, weil er dann für Freunde und Bekannte nicht mehr erreich­bar ist?
• Wie geht man mit den Aspek­ten des Social Net­wor­king um?

Hier gibt es alle denk­ba­ren Sze­na­rien auf bei­den Sei­ten – sowohl Mit­ar­bei­ter als auch Unter­neh­men kön­nen Ihren jewei­li­gen Stand­punkt zwi­schen den Polen Ableh­nung und Zustim­mung frei ver­or­ten. Durch die Pri­vat­heit des Gerä­tes bedür­fen nun­mehr aber diese Stand­punkte eines Abgleichs bzw. einer Rege­lung, da der Mit­ar­bei­ter frei ist, auf sei­nem eige­nen Gerät Social Net­wor­king zu betrei­ben, was zu schwie­ri­gen Inter­es­sen­kol­li­sio­nen füh­ren kann. Man stelle sich ein­mal einen Bank­an­ge­stell­ten vor, der auf Face­book zum Schot­tern der Bahn­gleise beim Castor-​Transport wäh­rend der Dienst­zeit auf­ruft. Neben Image­pro­ble­men kön­nen hier sehr schnell auch unüber­sicht­li­che Haf­tungs­sze­na­rien entstehen.

Berühr­tes Recht

• BYOD-​Konzepte berüh­ren diverse Fra­gen des Urhe­ber­rech­tes in unter­schied­lichs­ten Aus­prä­gun­gen, wozu Juris­ten im Netz teil­weise sehr kon­tro­vers Stel­lung nehmen.
• BYOD-​Konzepte berüh­ren immer auch die Fra­gen des Rech­te­er­werbs an Soft­ware. Wem gehört was und wer darf was nut­zen lau­tet die Frage bei kom­mer­zi­el­ler Soft­ware, bei Open Source ist die Aus­prä­gung des Copyleft-​Effektes zu berücksichtigen.
• BYOD-​Konzepte wer­fen kom­pli­zierte Fra­ge­stel­lun­gen und Sze­na­rien des Daten­schut­zes auf, wobei diese Fra­gen viel­schich­ti­ger sind, als bei den klas­si­schen Gerä­testra­te­gien. Bei BYOD ergibt sich ein eige­ner Schutz­an­spruch für die pri­va­ten Daten des Mit­ar­bei­ters, der durch­aus in einem Wider­spruch zu den Sicher­heits­in­ter­es­sen des Unter­neh­mens ste­hen kann. Con­tai­ne­riza­tion (Kap­se­lung der betrieb­li­chen Daten) löst die­ses Pro­blem nicht, denn aus Sicher­heits­grün­den muss das Unter­neh­men durch­aus ein Inter­esse daran haben, ein BYOD-​Gerät ganz­heit­lich zu mana­gen, was dann aber wie­der bedeu­tet, dass das Unter­neh­men Zugriff auf pri­vate Daten des Mit­ar­bei­ters erhal­ten kann.
• Daten­schutz­fra­gen wer­den auch in allen ande­ren Berei­chen des Bun­des­da­ten­schutz­ge­set­zes tan­giert. Hier stel­len sich wei­tere Fragen:

• Die Aus­ge­stal­tung der Daten­über­mitt­lung in Nicht-​EU-​Staaten (§ 4b und c BDSG) wirft sehr schnell Haf­tungs­fra­gen auf.
• Die Aus­ge­stal­tung des Daten­ge­heim­nis­ses (§ 5 BDSG) ist deut­lich kom­ple­xer als in her­kömm­li­chen Szenarien.
• Die Maß­nah­men zur Daten­si­cher­heit und deren Aus­ge­stal­tung im Ein­zel­fall (§ 9 BDSG) ist deut­lich kom­pli­zier­ter und in man­chen Sze­na­rien nicht zwei­fels­frei lösbar.
• Sofern Aspekte der Auf­trags­da­ten­ver­ar­bei­tung (§ 11 BDSG) berührt sind, ist die Aus­ge­stal­tung des Sze­na­rios oft hoch­kom­plex und teil­weise unmöglich.
• Gene­rell gilt nach mei­nem Ver­ständ­nis, dass das der­zei­tige BDSG einer BYOD-​Strategie in sei­ner jet­zi­gen Form teil­weise unüber­wind­li­che Hin­der­nisse in den Weg legt. Aber dies gilt nicht nur in Europa und Deutsch­land. Auch in den USA machen diverse Stan­dards die Anwen­dung von BYOD teil­weise unmög­lich, Bei­spiele hier­für sind HIPAA im Gesund­heits­we­sen und PCI in der Kreditwirtschaft.
• BYOD berührt neben dem Daten­schutz noch viele wei­tere Rechts­ge­biete und bedarf daher einer hoch kom­ple­xen recht­li­chen Aus­ge­stal­tung. Neben dem Arbeits­recht sind das Han­dels­recht, Steu­er­recht, Orga­ni­sa­ti­ons­recht, Gesell­schafts­recht und Bank­auf­sichts­recht fast immer betrof­fen, je nach Indus­trie kön­nen wei­tere Gesetze rele­vant sein – vom Medi­zin­pro­duk­te­ge­setz bis zum Sozi­al­ge­setz­buch reicht hier die sehr unüber­sicht­li­che Spanne.

Ich habe bis­her noch kei­nen Juris­ten getrof­fen, der mir sagte, dass er die­ses sehr unüber­sicht­li­che Feld ver­bind­lich und belast­bar regeln kann. Ich kenne der­zeit auch kein Rah­men­werk, wel­ches halb­wegs brauch­bar eine belast­bare Vor­lage für das Thema BYOD bie­tet. Das Thema ist zum einen zu jung, um schon erste belast­bare Rege­lun­gen erfah­ren zu haben, zum ande­ren aber auch deut­lich zu kom­plex, um mit einem Rah­men im Sinne eines Mus­ter­ver­trags­wer­kes gere­gelt wer­den zu können.

Wenn man vor die­sem Hin­ter­grund auch noch berück­sich­tigt, dass der Abschluss einer Geheim­hal­tungs­ver­ein­ba­rung mit Mit­ar­bei­tern nicht erzwun­gen wer­den kann (Aus­nahme: Ver­pflich­tung nach § 5 BDSG), sieht man sehr rasch, auf welch dün­nem Eis man sich bei der Aus­ein­an­der­set­zung mit BYOD-​Strategien befindet.

Ant­wor­ten auf all diese Fra­gen unter­schei­den sich teil­weise auch dadurch, ob der Mit­ar­bei­ter ein Recht auf BYOD haben oder der Pflicht zum BYOD unter­wor­fen wer­den soll, was zu unter­schied­li­chen Kon­struk­ten in der Aus­ge­stal­tung des Sze­na­rios führt. Vor die­sem Hin­ter­grund sollte die Dis­kus­sion sehr schnell in Rich­tung Choose Your own Device (CYOD) geführt wer­den, denn die­ses Kon­zept schafft die Ver­söh­nung von Mit­ar­bei­ter– und Unter­neh­mens­in­ter­es­sen in vie­len Fäl­len. Bei CYOD kann der Mit­ar­bei­ter aus einer (attrak­ti­ven) Aus­wahl mobi­ler End­ge­räte, die das Unter­neh­men vor­gibt, sei­nen per­sön­li­chen Favo­ri­ten wäh­len. Natür­lich kann hier nicht jeder Exot ange­bo­ten wer­den. Aber wenn das Unter­neh­men bei­spiels­weise 7 aktu­elle Smart­pho­nes und 3 aktu­elle Tablets zur Aus­wahl stellt, dürfte fast jeder ein ihm /​ihr geneh­mes Gerät fin­den – gege­be­nen­falls kann man sogar die Mit­ar­bei­ter noch über den Gerä­te­pool abstim­men las­sen. CYOD ist eine zeit­ge­mäße Form der Par­ti­zi­pa­tion, die viele Unter­neh­men schon bie­ten, ohne am Ende völ­lig zu ver­ges­sen, worum es geht: Aus Unter­neh­mens­sicht um ein Arbeitsmittel!

Doch die recht­li­chen Pro­bleme sind nur eine Seite der Pro­bleme, die gegen BYOD spre­chen. Die viel grö­ßere und gra­vie­ren­dere Pro­ble­ma­tik erwächst aus den tech­ni­schen Pro­ble­men. Dazu dann mehr im nächs­ten MDM Essentials.

Andere inter­es­sante Beiträge: