22 Feb Vereinbarung zur Nutzung privater Geräte im Unternehmen

Bring Your Own Device (BYOD) gehört in vielen Unternehmen zum gelebten Alltag. Was purer Horror für die IT-Abteilung zu sein scheint, ist eigentlich eine Herausforderung an die erforderlichen Regelungen zwischen dem Unternehmen und den Besitzern der Geräte.

Beim Einsatz von BYOD in Unternehmen sollten klare Vereinbarungen getroffen werden zwischen den Besitzern der mobilen Geräte und dem Unternehmen. BYOD bedeutet in der Praxis meist eine Vermischung von privaten und betrieblichen Daten und hat Auswirkungen auf Sicherheit, Datenschutz, Haftungsfragen und vieles Andere mehr.

Seamless Separation

Während viele Smartphone-Hersteller darauf setzen, private und betriebliche Daten durch Container strikt voneinander zu trennen, verfolgt Apple das Konzept der Seamless Separation – mit Managed accounts, Managed open-in, Managed apps, books, domains, Managed document providers etc. Dieses Konzept der „verwalteten Koexistenz“ verzichtet auf Container und frustrierende doppelte Arbeitsräume.

Eine Auseinandersetzung mit den Möglichkeiten des Mobile Device Managements und den Erfordernissen des betrieblichen Datenschutzes muss bei BYOD jedoch sein und sollte eine Acceptable Use Policy zur Nutzung privater Geräte in Unternehmen zum Ziel haben. Diese allgemeine Vorlage beleuchtet die wesentlichen Aspekte der Nutzung von privaten Geräten in Unternehmen. Sie erhebt keinen Anspruch auf Vollständigkeit und ist nicht juristisch geprüft. Sie ist kein Ersatz für eine individuelle Rechtsberatung und stellt auch selbst keine Rechtsberatungsleistung dar.

1 – Vereinbarung zur Trennung privater und geschäftlicher Daten

a) Private und geschäftliche Daten sollen möglichst klar voneinander getrennt werden.
b) Über die Mailkonten des Unternehmens dürfen keine persönlichen Nachrichten verschickt werden.
c) Rein privat genutzte Apps auf den Smartphones sollten keinen Zugriff auf geschäftliche Informationen erhalten.

Anmerkung: Werden private Mails über ein Mailkonto des Unternehmens weitergeleitet, geraten sie in das Kontrollsystem des Unternehmens (z.B. Speicherung auf den Firmen-Servern, gesetzliche Mail-Archivierung) und unterliegen anderen Datenschutzbestimmungen. Um dies zu vermeiden, sollte vereinbart werden, dass über die Mailkonten des Unternehmens keine persönlichen Nachrichten verschickt werden. Merke: falls private Mails im Mailkonto des Unternehmens vorhanden sind, gilt beim Zugriff auf das Mailkonto grundsätzlich die Vier-Augen-Regel: dem IT-Supporter muss ein Angestellten-Vertreter (Betriebsrat o.Ä.) zur Seite gestellt werden.

2 – Vereinbarung zum Einsatz von Monitoring-Tools

Empfehlenswerte Vereinbarungen könnten sein:

Der Zugang zur Infrastruktur des Unternehmens wird verbunden mit der Installation von Verwaltungs-Profilen. Mit diesen Verwaltungs-Profilen erhält der Mitarbeiter Zugang zu:

a) WLAN-Accesspoints im Unternehmen
b) Mail- Kalendern und Adressbuch-Accounts
c) Datenbanken, Bildern und anderen Ressourcen
d) Server und weitere Infrastruktur

Im Gegenzug akzeptiert der Mitarbeiter durch die Verwaltungsprofile Geräte- und Sicherheitseinstellungen, die vom Unternehmen festgelegt werden wie z.B.:

I) Akzeptanz einer vom Unternehmen festgelegten Kennwort-Richtlinie
II) Geräteeinschränkungen
III) Inventarisierung und Management des privaten Gerätes
IV) Möglichkeit zum Fernlöschen des privaten Geräts

Die Verwaltungs-Profile können vom Benutzer gelöscht werden, dadurch geht jedoch der Zugang zur Unternehmens-Infrastruktur verloren.

3 – Regelung zum Fernzugriff auf Daten

Das Unternehmen sollte mit den Beschäftigten vorab vereinbaren, wer wie wann und in welcher Form seitens des Unternehmens (Fern-)Zugriff auf die Daten des Smartphones nehmen kann. Der rechtliche Hintergrund ist: Jede verdeckte Datenverarbeitungsmaßnahme wiegt rechtlich schwerer als eine offene/transparente Datenverarbeitungsmaßnahme und ist daher datenschutzrechtlich schwerer zu rechtfertigen.

Denkt man bei der technischen Implementierung dabei zunächst an Daten, die unmittelbar auch das Persönlichkeitsrecht betreffen wie die Fernerhebung von Gesprächs- und Ortungsdaten, so lassen sich bei modernen Smartphones eine Fülle weiterer privater Daten auslesen, die im Kontext von IT-Richtlinien relevant sind. Dazu gehört die zentrale Inventarisierung privat installierter Apps, wie auch Informationen über private Mail-, WiFi- und VPN-Konfigurationen, sowie der Roaming-Status zur Erkennung von Auslandsaufenthalten. Selbst die Version des eingesetzten Smartphone-Betriebssystems kann aufgrund von spezifischer Sicherheitsrisiken zum Ausschluss von der Unternehmensanbindung herangezogen werden und sollte in der Vereinbarung über erhobene Daten nicht fehlen.

iPhone und Android-basierte Geräte erlauben die Installation von Apps grundsätzlich nur durch Aufforderung des Nutzers. Eine vollständige Fernsteuerung der beiden Mobilplattformen zu Support-Zwecken wird von MDM-Lösungen derzeit nicht unterstützt und wäre auch nur durch explizite Bewilligung des Nutzers im Einzelfall zulässig.

Die Information der Nutzer über vorzunehmende Einstellungen oder Verstöße gegen Vorgaben fällt meist zu kompliziert und unverständlich aus. In der Praxis sollte eine individuell auf die Firmensituation abgestimmte Dokumentation, einführendes Training der Beschäftigten an ihren privaten Geräten und geschultes Support-Personal eingeplant werden. Da sich die Gewährleistung von Datenschutz und -sicherheit in einem dynamischen Kontext bewegt, gilt es nicht nur eine statische Startsituation zu schaffen, sondern vielmehr einen Prozess zu etablieren, der die jeweils aktuelle Situation effizient zu dokumentieren hilft und diese Informationen auch leicht konsumierbar den Beschäftigten bereitstellt.

4 – Art der vom Management erreichbaren Daten und Datenschutz

Die Management-Funktionen in Apples iOS für iPad und iPhone trennen klar die Hardware-Verwaltung von den privaten Daten der Benutzer. Die Erreichbarkeit von Telefon-, SMS-, Mail-, Kalender, Kontaktdaten und privaten Notizen oder die Geräteortung ist in Apples MDM-Framework nicht vorgesehen.
Durch das Gerätemanagement mit Apples MDM-Framework können folgende Daten erhoben, gespeichert und verarbeitet werden: Gerätename, Telefonnummer, Seriennummer, Modellname und Modellnummer, Speicherplatz und verfügbare Kapazität, iOS Versionsnummer, installierte Programme.
Durch das Gerätemanagement werden keine privaten Daten erhoben. Zu den privaten Daten gehören: Persönliche Mails, Kontakte und Kalender, SMS und iMessages, Safari Browserverlauf, FaceTime und Telefon-Verlauf, Persönliche Erinnerungen und Notizen, Dauer der Gerätenutzung, Aufenthaltsort des Geräts.

5 – Regelung zur Manipulation der Gerätefirmware

Die Veränderung der Firmware der überwachten BYOD-Geräte („Jailbreak“ bzw. „Routing“) ist nicht erlaubt. Bei Feststellung von Veränderungen an der Firmware der überwachten Geräte werden die Verwaltungs-Profile automatisch gelöscht, wodurch der Zugang zur Unternehmens-Infrastruktur verloren geht.
Anmerkung: Die Veränderung der Firmware der Geräte ist bei allen Geräten ein sicherheitskritischer Eingriff, vor dem das betriebsinterne Netz unbedingt geschützt werden muss. 

6 – Regelung zur Frage „Wann darf das Unternehmen Daten löschen?“

Insbesondere im Verlustfall des Smartphones (u.U. auch bei streitigem Ausscheiden des Beschäftigten) kann es wünschenswert sein, die auf dem Smartphone gespeicherten Daten per Fernbefehl löschen zu lassen. Von diesem Löschbefehl wären dann – je nach Betriebssystem und eingesetzter MDM-Lösung – auch private Daten des Beschäftigten betroffen. Daher empfiehlt sich eine Regelung im Vorfeld.

7 – Recht des Arbeitgebers, mit Privatgerät in gleicher Weise wie mit Unternehmensgerät zu verfahren

Aus Sicht des Unternehmens empfiehlt sich eine klarstellende Regelung, dass der Arbeitgeber mit dem privaten Smartphone des Beschäftigten grundsätzlich in gleicher Weise verfahren darf wie mit betrieblicher Hardware.
Dies betrifft bei der Umsetzung insbesondere auch die Reglementierung bzw. Deaktivierung spezifischer Gerätefunktionen. Das mögliche Spektrum reicht dabei von Deaktivierung von Internet-basierter Spracherkennung über Apples „Siri“, dem Unterdrücken der automatischen Datensicherung über Cloud-Dienste bis hin eine App-Installation nur aus einem unternehmensinternen Katalog und nicht den öffentlichen App Stores von Apple und Google zuzulassen. Wie wirksam solche Regelungen auch technisch umgesetzt werden können, hängen von Smartphone-Betriebssystem und darauf aufsetzender MDM-Lösung ab.

8 – Vorgaben zur festen Einstellung von Systemparametern

Es empfehlen sich schriftlich festgehaltene Vorgaben, dass der Beschäftigte bei seinem Smartphone bestimmte Sicherheitseinstellungen vorzunehmen hat bzw. diese (einmal eingestellt) nicht mehr verändern darf (wie z.B. Regelungen zur Passwortvergabe, automatisches Ausschalten des Smartphones, Zulässigkeit der Ortung im Verlustfall etc.).

9 – Regelung zur Haftungsverteilung

Zur Vermeidung späterer Rechtsstreitigkeiten ist grundsätzlich zu empfehlen, bereits zu Beginn eine Regelung zur Haftungsverteilung zwischen Arbeitnehmer und Arbeitgeber zu treffen.

10 – Mitteilungspflicht bei Verlust

Von besonderer Wichtigkeit (insbesondere im Hinblick auf Informationspflichten des Unternehmens im Datenverlustfall nach § 42a BDSG) ist die Pflicht des Arbeitnehmers, im Verlustfall des Smartphones unverzüglich den Arbeitgeber zu informieren. Diese organisatorische Maßnahme wird von verschiedenen  MDM-Lösungen durch Self-Service-Portale unterstützt. Hierüber kann der Beschäftigte von einem beliebigen PC mit Internet-Anschluss sowohl Kontakt mit dem Helpdesk aufnehmen, um auf formalisierten Weg seine Meldung abzusetzen, als auch gleich selbst zur Tat schreiten, indem er versucht sein Gerät zu orten oder fernzulöschen.

11 – Nutzung des privaten Smartphones durch Dritte

Für den Arbeitgeber empfehlenswert wäre zudem eine Regelung, die Nutzung des privaten Smartphones durch sonstige Dritte (Freunde, Familie des Beschäftigten) zu untersagen um sicherzustellen, dass wirklich nur der Berechtigte selbst Zugriff auf Unternehmensdaten nehmen kann.
Der Schutz von Unternehmensdaten bei der bewussten Weitergabe des Privatgeräts an Dritte kann technisch nur unterstützt werden, indem der Zugriff auf Geschäftsdaten unabhängig vom sonstigen Gerät mit einem eigenen Kennwort geschützt wird.

12 – Durchführung von Reparatur und Wartungsarbeiten

Arbeitgeber und Arbeitnehmer sollten Regelungen hinsichtlich der regelmäßigen Durchführung von Reparatur und Wartungsarbeiten (Einspielen von Updates durch die IT-Abteilung, keine Weitergabe des Smartphones an Reparaturwerkstätten etc.) treffen.
Muss ein Gerät z.B. im Reparaturfall für längere Zeit an Dritte übergeben werden, empfiehlt sich grundsätzlich die Daten darauf zu sichern und sensible Daten zu löschen. Erlaubt die im Einsatz befindliche MDM-Lösung die Firmenkonfiguration auf Knopfdruck gezielt zu löschen (Standardmöglichkeit bei Apples MDM-Framewotk) und das Gerät auch ohne Helpdesk-Unterstützung prinzipiell wieder in die Unternehmens-IT einzubinden, lässt sich diese Vorgehensweise auch in der Mitarbeitervereinbarung festhalten. 

13 – Datensicherung

Empfehlenswerte Vereinbarungen könnten sein:
Für die Sicherung von Daten, die dem Unternehmen zuzuordnen sind, müssen die zur Verfügung stehenden Datensicherungslösungen eingesetzt werden. Grundsätzlich hat die Ablage von Daten des Unternehmens auf Servern und Dateiablagen des Unternehmens zu erfolgen. Für die Sicherung ihrer privaten Daten ist eigenverantwortlich Sorge zu tragen. Kommt es zum Verlust privater Daten steht dem Mitarbeiter gegenüber dem Unternehmen kein Ersatzanspruch zu.

14 – Sichere Verwahrung

Empfehlenswerte Vereinbarungen könnten sein:
Jedes Gerät ist durch Passwort zu schützen, Daten sind zu verschlüsseln. Der Mitarbeiter ist zu verpflichten, dass Gerät sicher zu verwahren, also z.B. nicht sichtbar im Auto liegen zu lassen.

Beratung zu BYOD und MDM

Wenn Sie mehr wissen möchten zu Apples MDM Framework oder praktische Hilfe bei der Planung oder Umsetzung ihrer BYOD-Richtlinie Hilfe benötigen, sind wir gerne für Sie da. Wir unterstützen Sie gerne dabei, Ihr Gerätemanagement so einfach wie möglich zu machen und dennoch das volle Potential auszuschöpfen. Bitte nehmen Sie Kontakt mit uns auf.