BYOD rechtlich und technisch absichern
Quelle: istockphoto.com

BYOD rechtlich und technisch absichern

Von Gero Stautmeister

Firmen, die eine Bring-your-own-Device-Strategie fahren, sollten Regeln zur Verwendung der Geräte in einem Vertrag festhalten. Aber auch technische Hilfsmittel sind ratsam.

Artikel erschienen in Swiss IT Magazine 2012/07

     

Der Trend hin zu Bring your own Device (BYOD) stellt Unternehmen bezüglich Integration und Verwaltung von Smartphones und Tablets ins Firmennetzwerk vor neue Herausforderungen. Inventarisierung, Software-Verteilung und Patch Management sollen möglichst mit den identischen Mitteln, wie sie für PC-basierte Systeme zum Einsatz kommen, durchgeführt werden.
So sehen zumindest die Erwartungen der Anwender und der Geschäftsleitung im Unternehmen aus. In der Realität der IT-Abteilung ist die Verwaltung dieser Geräte aber keine leichte Aufgabe. Denn viele Geräte und deren mobile Betriebssysteme sind nur in Teilbereichen verwaltbar und auch dann oft nicht so komfortabel, wie man es von PC-basierten Systemen gewohnt ist. Abhilfe schaffen hier professionelle Mobile-Device-Management-Systeme, welche sich in die in den Unternehmen bestehenden Endpoint-Management-Systeme integrieren lassen.

Rechtliche Fragen müssen geklärt werden

Die eigentliche Verwaltung von Smartphones und Tablets ist aber nur ein Glied in der Kette der Aufgaben, welche die IT-Abteilung rund um den Einsatz privater Geräte im Unternehmensumfeld lösen muss. Denn bei Bring your own Device stellen sich auch viele organisatorische und rechtliche Fragen. Eine vollumfängliche Verwaltung der Geräte ist nur nach guter organisatorischer Vorbereitung möglich. Man stelle sich nur vor, im Mobile Device Management wird durch die IT-Abteilung versehentlich ein komplettes Löschen des Geräts ausgelöst: Alle darauf gespeicherten persönlichen Daten wie Telefonnummern, Fotos oder Nachrichten gingen verloren. Wie wäre in diesem Fall die rechtliche Situation? Hätte der Mitarbeiter einfach Pech? Oder könnte er Schadensersatz gegenüber dem Unternehmen verlangen?
Rechtlich und organisatorisch sind zwei generelle Grundüberlegungen von Bedeutung. Im ersten Fall bringt der Mitarbeiter seine eigenen Geräte in das Unternehmensnetzwerk ein und verwendet diese zu geschäftlichen Zwecken mit. Das Eigentum an den Geräten verbleibt also beim Mitarbeiter. Im zweiten Fall finanziert das Unternehmen die Anschaffung eines mobilen Geräts. Hierbei behält das Unternehmen das Eigentum am Gerät und gewährt dem Mitarbeiter ein Gebrauchsüberlassungsrecht. In beiden Fällen ist allerdings davon auszugehen, dass die Geräte sowohl für private als auch für dienstliche Zwecke genutzt werden.

Gerät gehört der Firma

Verbleibt das Eigentum des mobilen Geräts beim Unternehmen, so können technisch über das Mobile Device Management stringente Regeln durchgesetzt werden. So kann beispielsweise die Kamerafunktion blockiert oder es können Backups in die Cloud unterbunden werden. Dies natürlich nur, wenn auf dem mobilen Gerät ein Betriebssystem installiert ist, das derartige Einschränkungen auch erlaubt. Auch ein Löschen des Geräts und aller sich darauf befindlichen Daten könnte jederzeit durchgeführt werden, da sich ja nur geschäftliche Daten des Unternehmens auf dem Gerät befinden können.
In der Praxis ist eine derartig stringente Regelung aber meist nicht durchsetzbar. Zum einen werden die Mitarbeiter das mobile Gerät bei zu vielen Einschränkungen am Abend und am Wochenende einfach im Büro lassen und während diesen Zeiten ihre rein privaten Geräte nutzen. Ein solches Verhalten kann nicht im Interesse des Unternehmens sein, da die jederzeitige Erreichbarkeit untergraben wird. Zum anderen fühlen sich die Endbenutzer durch übermässige Restriktionen in ihrer Freiheit und Kreativität eingeschränkt. Gerade Unternehmen, die hochqualifizierte und kreative Mitarbeiter beschäftigen, unterliegen einem Wettbewerb um die besten Köpfe. In diesem Wettbewerb kann sich eine Einschränkung zur Benutzung der mobilen Endgeräte schnell als gravierender Nachteil für das Unternehmen erweisen.
Die Herausforderung ist es demnach, einen Mittelweg zwischen Verwaltbarkeit durch das Unternehmen und persönlicher Freiheit des Mitarbeiters zu finden. Ein ähnlicher Mittelweg muss besonders auch dann gefunden werden, wenn das betroffene Gerät im Eigentum des Mitarbeiters ist. Bring your own Device oder Buy your own Device, also die Finanzierung eines beliebigen Endgeräts für den Mitarbeiter durch das Unternehmen, erfreuen sich immer grösserer Beliebtheit. Mit den geeigneten technischen Tools kann den besten Köpfen so eine Umgebung bereitgestellt werden, in der sie sich wohl fühlen. Gerade hochqualifizierte Spezialisten bestehen oft darauf, ihre eigenen Geräte zu verwenden. Für viele potentielle Mitarbeiter ist es geradezu eine religiöse Frage, welches Betriebssystem auf dem Smartphone Verwendung finden soll. Unternehmen tun gut daran, diese Freiheit der Mitarbeiter zu dulden, ja zu unterstützen.

Nutzungsvertrag definiert Regeln

Die Definition des Mittelwegs liegt aus juristischer Sicht bei BYOD allein in den Händen des Unternehmens. In der Schweiz gibt es keine expliziten Regeln, welche die gemeinsame private und geschäftliche Nutzung eines vom Mitarbeiter selbst gekauften mobilen Geräts beschreiben. In anderen Ländern sind solche Regelungen teilweise vorhanden. Unternehmen, die Mitarbeiter in mehreren Staaten beschäftigen, müssen solche länderspezifischen Unterschiede somit zusätzlich berücksichtigen.
In der Schweiz ist es angezeigt, die Nutzung der mobilen Geräte explizit in einem Nutzungsvertrag zwischen Unternehmen und Mitarbeiter zu regeln. Bei der Formulierung des Nutzungsvertrags herrscht Privatautonomie. Man ist also hinsichtlich der darin beschriebenen Regeln und Vorschriften weitgehend frei. Dies selbstverständlich nur innerhalb der Grenzen allgemeiner Rechtsgrundsätze, wie etwa der Einhaltung gesetzlicher Vorgaben und guter Sitten.

Es empfiehlt sich, im Nutzungsvertrag besonders Klauseln zur Datensicherheit der Geräte festzuhalten. Mitarbeiter sollten sich verpflichten, keine sogenannten Jailbreaks an den auch zu geschäftlichen Zwecken verwendeten Geräten durchzuführen oder durchführen zu lassen. Die Erstellung von regelmässigen Backups der Geräte, im Idealfall verschlüsselt, ist ebenso zu regeln wie deren Verbleib beziehungsweise deren Löschung im Falle des Austritts des Mitarbeiters. Auch die Trennung von privaten und geschäftlichen Daten und Anwendungen wird im Nutzungsvertrag festgehalten. Die Geräte sind so zu gebrauchen, dass keine Daten von der einen Sphäre in die andere gelangen. Dem Unternehmen wird der Zugriff auf die privaten Daten des Nutzers verwehrt. Gleichzeitig stellt der Nutzer sicher, dass er keine geschäftlichen Daten in den privaten Bereich einbringt oder veröffentlicht. Moderne Smartphones bieten zudem eine GPS-Funktion zur genauen Standortbestimmung des Geräts. Im Nutzungsvertrag ist zu regeln, wie mit diesen Standortdaten zu verfahren ist. Die Bestimmung des Standorts des Geräts kann sehr hilfreich sein, wenn das Gerät verloren gegangen ist. Keinesfalls darf diese Funktion aber zur geografischen Überwachung des Mitarbeiters genutzt werden. Der Nutzungsvertrag regelt abschliessend, in welchen Fällen das Unternehmen und dessen dazu berechtigte Mitarbeiter auf diese sensiblen Daten zugreifen dürfen.
Auch ein Haftungsausschluss für die versehentliche Löschung privater Daten durch die IT-Abteilung sollte im Nutzungsvertrag festgehalten werden. So kann zumindest die Haftung des Unternehmens begrenzt oder gar ausgeschlossen werden, sollten private Daten des Nutzers im Rahmen der geschäftlich notwendigen Verwaltung des mobilen Geräts durch die IT-Abteilung gelöscht werden.
Besteht kein solcher Nutzungsvertrag, kommen bei einem Schaden die allgemeinen rechtlichen Grundsätze des Haftpflichtrechts zur Anwendung. Das bedeutet, dass neben dem Schaden insbesondere auch Widerrechtlichkeit, Verschulden und Kausalität von demjenigen nachzuweisen sind, der den Schaden angeblich erlitten hat. Sollte nicht gerade grobe Fahrlässigkeit oder Absicht beweisbar sein, ist es äusserst schwierig, den Verursacher des Schadens, egal ob Unternehmen oder Mitarbeiter, für solche Schäden und deren Folgen zu belangen.

Technische Hilfsmittel als Ergänzung

Obgleich der Nutzungsvertrag die Verwendung der mobilen Geräte und die Rechte und Pflichten von Unternehmen und Mitarbeitern regelt, sind alleine mit dem Recht nicht alle Probleme zu lösen. Gerade im Bereich der Trennung von persönlichen und geschäftlichen Daten kann der Nutzungsvertrag nur sensibilisieren. Ein wirksamer Schutz muss hier technisch bereitgestellt werden. Mit Hilfe sogenannter Mobile-Information-and-Application-Management-Lösungen werden technische Schranken auf den mobilen Geräten erstellt. Dies geht weit über die Fähigkeiten eines Mobile Device Management hinaus. Mobile Device Management beschäftigt sich lediglich mit der Inventarisierung und Verwaltung der Geräte. Mobile Information and Application Management demgegenüber kümmert sich um die Verwaltung der Anwendungen und der Daten auf diesen Geräten.
Die Inhalte der mobilen Geräte werden dabei in Containern zusammengefasst. Im Mobile Information and Application Management kann festgelegt werden, welche dieser Container in welche Richtung für welche Art von Daten durchlässig sein sollen. Beispielsweise kann so verhindert werden, dass Daten aus der geschäftlichen CRM-Anwendung mittels Copy & Paste-Funktion in die privat genutzte Social-Networking-Anwendung übertragen werden. So lässt sich auch regeln, welche Inhalte von der IT-Abteilung verwaltet werden. Da diese im eigenen Container liegen, kann von der IT-Abteilung jederzeit ein Update auf eine neue Version durchgeführt werden, ohne dass dies Einfluss auf die Anwendungen und Daten in den privaten Containern hätte. Auch das gezielte Löschen der Geschäftsdaten, ohne negative Einflüsse auf die privaten Daten, ist möglich. Im Falle des Ausscheidens des Mitarbeiters kann die IT-Abteilung somit auf Knopfdruck alle Geschäftsdaten von den Mobilgeräten des austretenden Mitarbeiters löschen. Zudem können die Geschäftsdaten mit einer Art Selbstzerstörungsmechanismus versehen werden. Geht das Gerät länger als eine vordefinierte Zeit vom Netz, werden die Geschäftsdaten gelöscht.

Verantwortungsvolle Mitarbeiter

Die ersten Schritte in Richtung vollumfänglicher Verwaltung und Schutz von mobilen Geräten und deren Daten sind gemacht. Moderne Technologien unterstützen bereits heute die IT-Abteilung wirksam in deren Bemühungen, den scheinbaren Widerspruch zwischen privater Nutzung der Geräte durch die Mitarbeiter auf der einen und Verwaltbarkeit und Datensicherheit der Unternehmensdaten auf der anderen Seite aufzulösen. In Zukunft werden Mobile-Device-Management- und Mobile-Information-and-Application-Management-Lösungen zudem mit weiteren Technologien wie Verschlüsselung und Cloud-Sicherheit zu einer Einheit verschmelzen. Dann wird es möglich sein, mittels Geräte-Management Informationen proaktiv, automatisch und umfassend zu schützen. Bis dies allerdings soweit ist, bleibt ein sorgsamer Umgang mit den Daten durch den bewusst und verantwortungsvoll agierenden Mitarbeiter der beste Schutz vor Datenverlust.



Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Welche Farbe hatte Rotkäppchens Kappe?
GOLD SPONSOREN
SPONSOREN & PARTNER