MDM Essen­ti­als — Bring Your Own Device (BYOD) und Mobi­le Device Manage­ment schafft recht­li­che Pro­ble­me und kei­ne Lösungen

Nach mei­nem Arti­kel BYOD Bring Your Own Device – Eine der dümms­ten Ideen aller Zei­ten von Gart­ner, For­res­ter und Vor­stän­den auf der Grund­la­ge von Scot A. Tur­bans Arti­kel haben mich vie­le Anfra­gen zu den recht­li­chen und tech­ni­schen Pro­ble­men von BYOD-Stra­te­gien erreicht. Inso­fern erläu­te­re ich die aus mei­ner Sicht der­zeit rele­van­tes­ten Pro­ble­me hier noch ein­mal — gera­de auch vor dem Hin­ter­grund mei­ner letz­ten USA-Rei­se, wo ich diver­se Gesprä­che zum The­ma führ­te und fest­stell­te, dass dort nach dem ers­ten Hype schon bei man­chen die ers­te Ernüch­te­rungs­pha­se ein­ge­tre­ten ist. Gut bringt dies die fol­gen­de Aus­sa­ge eines Ver­ant­wort­li­chen zum Ausdruck:

Klaus, I could­n’t ima­gi­ne last year that our reps own over 50 dif­fe­rent models and — being honest — some I’ve never heard and seen befo­re. Actual­ly 7 don’t work with our cur­rent MDM solu­ti­on — it’s a nightmare.

Um Miss­ver­ständ­nis­se zu ver­mei­den: Die­se Aus­sa­gen reprä­sen­tie­ren aktu­ell noch nicht die Mehr­heit. Aber es sind längst nicht mehr nur Ein­zel­fäl­le. Seit März beob­ach­te ich ein Anschwel­len kri­ti­scher Aus­ein­an­der­set­zun­gen mit BYOD-The­men in ame­ri­ka­ni­schen Blogs — What’s the big deal with BYOD? im Blog von Wid­pa­ckets ist ein gutes Bei­spiel für die dif­fe­ren­ziert kri­ti­sche Aus­ein­an­der­set­zung, die gera­de beginnt.

Recht­li­che Aspekte

Zu die­sem The­ma gibt es mitt­ler­wei­le vie­le inter­es­san­te Bei­trä­ge im Netz — unab­hän­gig von ech­ter Rechts­be­ra­tung, die selbst­ver­ständ­lich auch wir nicht lie­fern dür­fen. Aber auch ohne ein Jurist zu sein, sind die viel­fäl­ti­gen Pro­ble­me evi­dent und kön­nen rasch unüber­schau­bar wer­den, je län­ger man sich mit der The­ma­tik beschäf­tigt. Ohne einen Anspruch auf Voll­stän­dig­keit füh­re ich an die­ser Stel­le ein­mal die­je­ni­gen an, die ich für ganz beson­ders gra­vie­rend halte.

Ver­hal­tens­pro­ble­me
  • Bei jedem BYOD-Kon­zept ist der Eigen­tü­mer des mobi­len Gerä­tes der Mit­ar­bei­ter, der fak­tisch mit sei­nem Gerät tun und las­sen kann, was ihm beliebt. Natür­lich kann man ver­trag­lich alles Denk­ba­re mit dem Mit­ar­bei­ter ver­ein­ba­ren — bis hin zur völ­li­gen Unter­ord­nung des Gerä­tes unter das Wei­sungs­recht des Arbeit­ge­bers. Ein sol­ches Sze­na­rio führt dann aller­dings dazu, dass der Arbeit­ge­ber dem Mit­ar­bei­ter eine sub­stan­ti­el­le Nut­zungs­ent­schä­di­gung schul­det, was sehr schnell schon ein­mal die ver­meint­li­chen Kos­ten­vor­tei­le aufhebt.
  • Ein BYOD-Sze­na­rio führt sehr schnell zu Situa­tio­nen, die man — selbst bei sehr gründ­li­cher Vor­be­rei­tung — gar nicht bedacht hat bzw. beden­ken konn­te. Mir wur­den gera­de in den letz­ten Tagen diver­se Bei­spie­le geschil­dert, die ich so nicht für mög­lich hielt:
  • Wie geht man damit um, wenn der (Ehe)-Partner das Gerät ein­fach vertauscht?
  • Wie geht man damit um, wenn das Gerät viel­leicht sogar noch dem (Ehe)-Partner gehört und die­ses ver­schwie­gen wurde?
  • Wie geht man damit um, wenn Kin­der und Freun­de das Gerät benut­zen (dür­fen)?
  • Wie geht man damit um, wenn der Mit­ar­bei­ter, Bekann­te oder Ver­wand­te das Gerät hacken /​jail­b­rea­ken /​roo­ten?
  • Wie geht man damit um, wenn der Mit­ar­bei­ter oder ande­re für ihn /​ohne sein Wis­sen Mal­wa­re oder frag­wür­di­ge Soft­ware wie z.B. Face­Niff auf sei­nem Gerät installiert?
  • Wie geht man damit um, dass das Jail­b­rea­ken von Gerä­ten in den USA und den meis­ten ande­ren Län­dern legal ist — mit­hin das Unter­bin­den von Jail­b­reaks aus Sicht des Besit­zers eine mas­si­ve Nut­zungs­ein­schrän­kung bedeu­tet /​ver­ur­sacht? (und dies fak­tisch auch ist)
  • Wie geht man damit um, dass der Mit­ar­bei­ter trotz BYOD-Abspra­che kein Gerät mit­bringt, z.B. weil er behaup­tet, es sich nicht leis­ten zu können?
  • Wie geht man damit um, wenn der Mit­ar­bei­ter eine(n) neue(n) Partner(in) hat, die Smart­pho­nes ablehnt und meint es rei­chen auch ein­fa­che Prepaid-Handys?
  • Wie geht man damit um, wenn der Mit­ar­bei­ter sich wei­gert einen Daten­ta­rif für sei­nen Mobil­funk­ver­trag abzu­schlie­ßen /​fort­zu­füh­ren?
  • Wie geht man damit um, wenn der Mit­ar­bei­ter sich wei­gert, das Gerät im Aus­land mit sei­ner SIM-Kar­te zu nut­zen oder für Roa­ming natio­nal (das gibt es z.B. in den USA) zu nutzen?
  • Wie geht man damit um, wenn der Mit­ar­bei­ter sich wei­gert, im Aus­land oder beim Roa­ming eine Mobil­funk­kar­te des Unter­neh­mens zu nut­zen, weil er dann für Freun­de und Bekann­te nicht mehr erreich­bar ist?
  • Wie geht man mit den Aspek­ten des Social Net­wor­king um?

Hier gibt es alle denk­ba­ren Sze­na­ri­en auf bei­den Sei­ten — sowohl Mit­ar­bei­ter als auch Unter­neh­men kön­nen Ihren jewei­li­gen Stand­punkt zwi­schen den Polen Ableh­nung und Zustim­mung frei ver­or­ten. Durch die Pri­vat­heit des Gerä­tes bedür­fen nun­mehr aber die­se Stand­punk­te eines Abgleichs bzw. einer Rege­lung, da der Mit­ar­bei­ter frei ist, auf sei­nem eige­nen Gerät Social Net­wor­king zu betrei­ben, was zu schwie­ri­gen Inter­es­sen­kol­li­sio­nen füh­ren kann. Man stel­le sich ein­mal einen Bank­an­ge­stell­ten vor, der auf Face­book zum Schot­tern der Bahn­glei­se beim Cas­tor-Trans­port wäh­rend der Dienst­zeit auf­ruft. Neben Image­pro­ble­men kön­nen hier sehr schnell auch unüber­sicht­li­che Haf­tungs­sze­na­ri­en entstehen.

Berühr­tes Recht
  • BYOD-Kon­zep­te berüh­ren diver­se Fra­gen des Urhe­ber­rech­tes in unter­schied­lichs­ten Aus­prä­gun­gen, wozu Juris­ten im Netz teil­wei­se sehr kon­tro­vers Stel­lung nehmen.
  • BYOD-Kon­zep­te berüh­ren immer auch die Fra­gen des Rech­te­er­werbs an Soft­ware. Wem gehört was und wer darf was nut­zen lau­tet die Fra­ge bei kom­mer­zi­el­ler Soft­ware, bei Open Source ist die Aus­prä­gung des Copy­left-Effek­tes zu berücksichtigen.
  • BYOD-Kon­zep­te wer­fen kom­pli­zier­te Fra­ge­stel­lun­gen und Sze­na­ri­en des Daten­schut­zes auf, wobei die­se Fra­gen viel­schich­ti­ger sind, als bei den klas­si­schen Gerä­te­stra­te­gien. Bei BYOD ergibt sich ein eige­ner Schutz­an­spruch für die pri­va­ten Daten des Mit­ar­bei­ters, der durch­aus in einem Wider­spruch zu den Sicher­heits­in­ter­es­sen des Unter­neh­mens ste­hen kann. Con­tai­ne­riz­a­ti­on (Kap­se­lung der betrieb­li­chen Daten) löst die­ses Pro­blem nicht, denn aus Sicher­heits­grün­den muss das Unter­neh­men durch­aus ein Inter­es­se dar­an haben, ein BYOD-Gerät ganz­heit­lich zu mana­gen, was dann aber wie­der bedeu­tet, dass das Unter­neh­men Zugriff auf pri­va­te Daten des Mit­ar­bei­ters erhal­ten kann.
  • Daten­schutz­fra­gen wer­den auch in allen ande­ren Berei­chen des Bun­des­da­ten­schutz­ge­set­zes tan­giert. Hier stel­len sich wei­te­re Fragen:
  • Die Aus­ge­stal­tung der Daten­über­mitt­lung in Nicht-EU-Staa­ten (§ 4b und c BDSG) wirft sehr schnell Haf­tungs­fra­gen auf.
  • Die Aus­ge­stal­tung des Daten­ge­heim­nis­ses (§ 5 BDSG) ist deut­lich kom­ple­xer als in her­kömm­li­chen Szenarien.
  • Die Maß­nah­men zur Daten­si­cher­heit und deren Aus­ge­stal­tung im Ein­zel­fall (§ 9 BDSG) ist deut­lich kom­pli­zier­ter und in man­chen Sze­na­ri­en nicht zwei­fels­frei lösbar.
  • Sofern Aspek­te der Auf­trags­da­ten­ver­ar­bei­tung (§ 11 BDSG) berührt sind, ist die Aus­ge­stal­tung des Sze­na­ri­os oft hoch­kom­plex und teil­wei­se unmöglich.
  • Gene­rell gilt nach mei­nem Ver­ständ­nis, dass das der­zei­ti­ge BDSG einer BYOD-Stra­te­gie in sei­ner jet­zi­gen Form teil­wei­se unüber­wind­li­che Hin­der­nis­se in den Weg legt. Aber dies gilt nicht nur in Euro­pa und Deutsch­land. Auch in den USA machen diver­se Stan­dards die Anwen­dung von BYOD teil­wei­se unmög­lich, Bei­spie­le hier­für sind HIPAA im Gesund­heits­we­sen und PCI in der Kreditwirtschaft.
  • BYOD berührt neben dem Daten­schutz noch vie­le wei­te­re Rechts­ge­bie­te und bedarf daher einer hoch kom­ple­xen recht­li­chen Aus­ge­stal­tung. Neben dem Arbeits­recht sind das Han­dels­recht, Steu­er­recht, Orga­ni­sa­ti­ons­recht, Gesell­schafts­recht und Bank­auf­sichts­recht fast immer betrof­fen, je nach Indus­trie kön­nen wei­te­re Geset­ze rele­vant sein — vom Medi­zin­pro­duk­te­ge­setz bis zum Sozi­al­ge­setz­buch reicht hier die sehr unüber­sicht­li­che Spanne.

Ich habe bis­her noch kei­nen Juris­ten getrof­fen, der mir sag­te, dass er die­ses sehr unüber­sicht­li­che Feld ver­bind­lich und belast­bar regeln kann. Ich ken­ne der­zeit auch kein Rah­men­werk, wel­ches halb­wegs brauch­bar eine belast­ba­re Vor­la­ge für das The­ma BYOD bie­tet. Das The­ma ist zum einen zu jung, um schon ers­te belast­ba­re Rege­lun­gen erfah­ren zu haben, zum ande­ren aber auch deut­lich zu kom­plex, um mit einem Rah­men im Sin­ne eines Mus­ter­ver­trags­wer­kes gere­gelt wer­den zu können.

Wenn man vor die­sem Hin­ter­grund auch noch berück­sich­tigt, dass der Abschluss einer Geheim­hal­tungs­ver­ein­ba­rung mit Mit­ar­bei­tern nicht erzwun­gen wer­den kann (Aus­nah­me: Ver­pflich­tung nach § 5 BDSG), sieht man sehr rasch, auf welch dün­nem Eis man sich bei der Aus­ein­an­der­set­zung mit BYOD-Stra­te­gien befindet.

Ant­wor­ten auf all die­se Fra­gen unter­schei­den sich teil­wei­se auch dadurch, ob der Mit­ar­bei­ter ein Recht auf BYOD haben oder der Pflicht zum BYOD unter­wor­fen wer­den soll, was zu unter­schied­li­chen Kon­struk­ten in der Aus­ge­stal­tung des Sze­na­ri­os führt. Vor die­sem Hin­ter­grund soll­te die Dis­kus­si­on sehr schnell in Rich­tung Choo­se Your own Device (CYOD) geführt wer­den, denn die­ses Kon­zept schafft die Ver­söh­nung von Mit­ar­bei­ter- und Unter­neh­mens­in­ter­es­sen in vie­len Fäl­len. Bei CYOD kann der Mit­ar­bei­ter aus einer (attrak­ti­ven) Aus­wahl mobi­ler End­ge­rä­te, die das Unter­neh­men vor­gibt, sei­nen per­sön­li­chen Favo­ri­ten wäh­len. Natür­lich kann hier nicht jeder Exot ange­bo­ten wer­den. Aber wenn das Unter­neh­men bei­spiels­wei­se 7 aktu­el­le Smart­pho­nes und 3 aktu­el­le Tablets zur Aus­wahl stellt, dürf­te fast jeder ein ihm /​ihr geneh­mes Gerät fin­den — gege­be­nen­falls kann man sogar die Mit­ar­bei­ter noch über den Gerä­te­pool abstim­men las­sen. CYOD ist eine zeit­ge­mä­ße Form der Par­ti­zi­pa­ti­on, die vie­le Unter­neh­men schon bie­ten, ohne am Ende völ­lig zu ver­ges­sen, wor­um es geht: Aus Unter­neh­mens­sicht um ein Arbeitsmittel!

Doch die recht­li­chen Pro­ble­me sind nur eine Sei­te der Pro­ble­me, die gegen BYOD spre­chen. Die viel grö­ße­re und gra­vie­ren­de­re Pro­ble­ma­tik erwächst aus den tech­ni­schen Pro­ble­men. Dazu dann mehr im nächs­ten MDM Essentials.


Ande­re inter­es­san­te Beiträge:
datomo MDM: Anders, mehr und bes­ser – Was spricht für eine deut­sche Lösung? Unser neu­es White­pa­per
Wir haben die aktu­el­le Dis­kus­si­on um den Data­ga­te-Skan­dal zum Anlass genom­men, unser bereits bestehen­des White­pa­per mit dem Titel: ‘datomo MDM — Anders, mehr und bes­ser – Grün­de für eine deut­sche Lösung’ zu über­ar­bei­ten. Wir freu­en uns, Ihnen die­ses nach der jüngs­ten Ver­öf­fent­li­chung des neu­en White…
datomo Mobi­le Device Manage­ment (MDM) mit Sup­port für Touch­down-Con­tai­ner — War­um?
Seit letz­tem Frei­tag als datomo Mobi­le Device Manage­ment 3.9 ver­öf­fent­licht wur­de wur­de ich mehr­fach gefragt, wie sich denn die Inte­gra­ti­on von Touch­down, einer Con­tai­ner-App für Android mit der Kri­tik an Con­tai­ner-Lösun­gen hier im Blog ver­trägt, bei­spiels­wei­se im Bei­trag MDM Essen­ti­als — Gefahr f…
Mobi­le Device Manage­ment (MDM) und siche­rer Zugriff auf Doku­men­te mit iCloud? Und was ist bei BYOD-Kon­zep­ten?
Heu­te hat­te ich eine lan­ge Dis­kus­si­on mit einem Con­sul­tant eines gro­ßen IT-Con­sul­ters. Ich glau­be, dass das Gespräch von all­ge­mei­nem Inter­es­se ist. Aus­gangs­punkt war, dass er auf­grund mei­nes Arti­kels über Online-Spei­cher-Diens­te mir erklä­ren woll­te, dass es für Fir­men wich­tig sei, App­les iCloud in d…
MDM Essen­ti­als — Was ist das bes­te Mobi­le Device Manage­ment-Kon­zept für iPad und iPhone
Wir wer­den immer wie­der gefragt, wie man iOS-Gerä­te am bes­ten in ein Mobi­le Device Manage­ment-Sys­tem ein­bin­den soll­te. Hier­zu gibt es viel Unklar­heit und feh­len­des Wis­sen und es wird von den der­zeit aus allen Ecken kom­men­den „MDM-Bera­tern” oft sehr viel Fal­sches erzählt — getrie­ben vom Wunsch, das…
IBM stellt fest: Bring Your Own Device (BYOD) spart kei­ne Kos­ten und erhöht den Auf­wand
Abseits des gan­zen Pul­ver­rau­ches der Befür­wor­ter von Bring Your Own Device-Kon­zep­ten hilft immer wie­der ein­mal ein Blick auf die Rea­li­tät. IBM hat im Jahr 2010 die Nut­zung pri­va­ter End­ge­rä­te zum Zugriff auf die Unter­neh­mens­in­fra­struk­tur frei­ge­ge­ben und hat mitt­ler­wei­le genü­gend Erfah­run­gen gesammelt…

Ein Kommentar

Schreibe einen Kommentar»
  1. […] mei­nem Arti­kel über die recht­li­chen Pro­ble­me von Bring Your Own Device-Stra­te­gien gehe ich heu­te nun auf die tech­ni­schen Pro­ble­me von BYOD ein, die nach mei­ner Über­zeu­gung viel […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

I accept that my given data and my IP address is sent to a server in the USA only for the purpose of spam prevention through the Akismet program.More information on Akismet and GDPR.

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.