Leitfaden
Stand: Dezember 2012
www.baymevbm.de/mobiledevice
Mobile Device Management
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
Vorwort X
Vorwort
Mobile Device Management – rechtliche Anforderungen und betriebliche Umsetzung
Mobile-Device-Management (MDM) steht für die zentralisierte Verwaltung von Mobilge-
räten wie Smartphones oder Tabletcomputer mit Hilfe einer Software durch einen oder
mehrere Administratoren. MDM beinhaltet sowohl die Inventarisierung von Hardware
und Software in Organisationen als auch die Datenverteilung und den Schutz der Da-
ten.
Da viele mobile Endgeräte primär als Verbrauchergerät konzipiert wurden, sind ihre
Betriebssysteme nicht auf das MDM ausgerichtet und entwickelt worden. Gleichzeitig
steigt der Wunsch von Mitarbeitern, mit dem eigenen Endgerät auf Firmensoftware und
arbeitsrelevante Firmendaten zugreifen zu können. Diese Form der Datenkommunika-
tion ist unter dem Begriff "Bring Your Own Device (BYOD)" bereits allgemein bekannt
und verbreitet sich zunehmend. Für die Unternehmen und ihre Mitarbeiter ergeben sich
durch BYOD Vorteile wie flexiblere Arbeitszeiten, bessere Erreichbarkeit der Mitarbei-
ter und effizienteres Zusammenarbeiten in Teams - aber auch neue Herausforderun-
gen.
Unternehmen, die den Einsatz privater Geräte im Betrieb erlauben, benötigen Fach-
wissen über die rechtlichen Anforderungen und Richtlinien für die betriebliche Umset-
zung. Das legitime Sicherheitsbedürfnis der Unternehmen muss berücksichtigt werden,
Daten und Software auf den Geräten sind vor Verlust zu schützen. Auch das Löschen
von Daten und Software bei Ausscheiden eines Mitarbeiters ist ein wichtiges sicher-
heitsrelevantes Thema, das berücksichtigt werden muss.
Die bayerischen Metall- und Elektro-Arbeitgeber haben mit Experten diesen Praxisleit-
faden erstellt, um die Mitgliedsunternehmen bei der Nutzung von privaten mobilen Ge-
räten im Betrieb zu unterstützen und Möglichkeiten für eine Trennung zwischen priva-
ter und geschäftlicher Nutzung aufzuzeigen.
Bertram Brossardt
10.12.2012
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
Inhalt X
Inhalt
1 Einleitung .................................................................................................... 1
2 Datenschutzrechtliche Aspekte ................................................................. 3
2.1 Anwendbarkeit des Datenschutzrechts ......................................................... 3
2.2 Wer ist verantwortliche Stelle? ...................................................................... 3
2.3 Technisch-organisatorische Absicherung ...................................................... 4
2.3.1 Technisch-organisatorische Maßnahmen (§9 BDSG) ................................... 4
2.3.2 Maßnahmen zur Datensicherheit und IT-Sicherheit und deren rechtlicher
Hintergrund ................................................................................................... 4
2.4 Kontrollrechte gegenüber Mitarbeitern – Lesen von Daten auf dem privaten
Endgerät des Mitarbeiters ............................................................................. 6
2.5 Löschung von Daten auf dem privaten Endgerät des Mitarbeiters ................ 7
2.6 Ändern von Daten auf dem privaten Endgerät .............................................. 8
2.7 Auftragsdatenverarbeitung nach § 11 BDSG? .............................................. 8
2.8 Einbindung des betrieblichen Datenschutzbeauftragten ................................ 9
2.9 Prüfungsrechte der Aufsichtsbehörde? ......................................................... 9
2.10 Benachrichtigungspflichten der Mitarbeiter nach § 42a BDSG ...................... 9
2.11 Geheimnisschutz .......................................................................................... 9
2.12 BYOD – Nutzungsbedingungen .................................................................... 9
3 Arbeitsrechtliche Aspekte ........................................................................ 11
3.1 Vergütungsanspruch des Mitarbeiters für die Nutzung des privaten
Endgeräts ................................................................................................... 11
3.2 Vertragliche Vereinbarung über die Nutzung und Wartung des privaten IT-
Endgerätes ................................................................................................. 11
3.3 Vertragliche Vereinbarung über gesetzliche Aufbewahrungspflichten ......... 12
3.4 Haftung ....................................................................................................... 13
3.5 Arbeitszeit ................................................................................................... 13
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
Inhalt X
3.6 Notwendigkeit einer Betriebsvereinbarung und Einbindung des Betriebsrates
bei Kontrolle und Überwachung des Endgerätes......................................... 13
4 Lizenzrechtliche Aspekte ......................................................................... 15
5 Steuerrechtliche Aspekte ......................................................................... 16
6 IT-Sicherheit beim Einsatz von Mobile Devices ...................................... 17
6.1 Ausgangssituation ....................................................................................... 17
6.2 Definition von mobilen Devices ................................................................... 17
6.3 Herstellerseitige Sicherheitsfunktionen ....................................................... 18
6.4 Weiterführende Maßnahmen mittels MDM-Systemen ................................. 19
6.5 Problemstellen und Einschränkungen ......................................................... 24
6.6 Zusammenfassung zum technologischen Umfeld ....................................... 25
7 Best Practices für ein Mobile Device Management ................................ 26
8 Fazit zur Nutzung privater IT für dienstliche Zwecke ............................ 30
9 Partner-Portraits ....................................................................................... 31
9.1 bayme vbm ................................................................................................. 31
9.2 SKW Schwarz Rechtsanwälte ..................................................................... 31
9.3 Protea Networks GmbH .............................................................................. 31
Die Autoren ................................................................................................................. 33
Ansprechpartner / Impressum ..................................................................................... 34
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
Einleitung 1
1 Einleitung
Mobile Endgeräte als Megatrend
Alle Marktstudien sind sich in einem Punkt einig: Die Verwendung von mobilen Gerä-
ten, also Smartphones, Tablet-PCs, Laptops, iPads und ähnliche wird in nächster Zu-
kunft zunehmen. Die Geräte werden immer handlicher und leistungsfähiger und ihr
Preis-Leistungsverhältnis wird besser: Folglich können sie nicht nur von Unternehmen
angeschafft werden, sondern sind inzwischen auch für Privatpersonen erschwinglich.
Grundsätzlich sind in diesem Kontext drei wesentliche Eckwerte zu betrachten.
Zum Ersten entwickelt sich die Verwendung von mobilen Geräten im Unternehmensall-
tag extrem stark. Die Gründe sind mannigfaltig und überzeugend: Die Verfügbarkeit
von Mitarbeitern lässt sich stark steigern, Informationen fließen blitzartig hin und her,
Ideen können schneller und direkter verwirklicht werden, der Austausch von Marktpart-
nern wird wesentlich erleichtert, die allgemeine Wettbewerbsfähigkeit des Unterneh-
mens nimmt zu. Schließlich ist der Umgang mit der Technologie, wie sich bereits im
Alltag und im allgemeinen Markterfolg sowie der Marktakzeptanz der Geräte zeigt,
leicht, unkompliziert und für alle sehr attraktiv. Daraus folgt, kaum jemand kann sich
diesem allgemeinen Trend verschließen.
Zum Zweiten wollen viele Arbeitnehmer ihre privaten Mobilgeräte auch für dienstliche
Zwecke einsetzen und mit ihnen Unternehmensdaten verarbeiten. „Bring Your Own
Device“ (abgekürzt BYOD) ist ein Schlagwort der Stunde. Denn aus der geschilderten
Situation erwachsen Chancen, und es liegt daher nahe, die individuellen Wünsche von
Mitarbeitern hinsichtlich der Geräteausstattung und Gerätenutzung sozusagen ins Un-
ternehmen einzubringen. Betrachtet man die Problemfelder, die sich aus der BYOD-
Thematik ergeben aus rechtlicher und technologischer Sicht, so ist auch die Ge-
samtthematik „mobile Geräte im Unternehmen“ weitgehend abgedeckt. Daher reflek-
tiert dieser Leitfaden überwiegend das BYOD-Thema und hebt von Fall zu Fall auf wei-
tere wichtige Felder des Mobile Device Management (abgekürzt MDM) ab.
Drittens ist ein weiterer Trend zu würdigen: Dies ist die Überlegung, dass Unternehmen
Geräte ausgeben und sie den Mitarbeitern zur dienstlichen wie zur privaten Nutzung
zur Verfügung stellen. Zu dieser Thematik erstellen bayme vbm einen eigenen Leitfa-
den, der ab Januar 2013 die relevanten Hintergründe darstellt und Handlungsempfeh-
lungen gibt.
Für den Arbeitgeber bringt eine (Mit-)Nutzung privater Hardware auf den ersten Blick
einige Vorteile mit sich: Neben der Einsparung von Beschaffungskosten für die Hard-
ware führt der Einsatz privater mobiler Endgeräte insbesondere auch zu einer höheren
Produktivität der Arbeitnehmer.
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
Einleitung 2
Die Nutzung privater mobiler Endgeräte durch Mitarbeiter zu Unternehmenszwecken
birgt jedoch für beide Parteien auch zahlreiche, auf den ersten Blick teilweise gar nicht
ersichtliche Risiken. Dies betrifft sowohl die technisch zu treffenden Maßnahmen zur
IT-Sicherheit beim Einsatz privater Endgeräte, als auch die Klärung der auftretenden
Rechtsfragen und der damit verbundenen Rechtsrisiken. In einer Lösung mittels eines
Mobile Device Managements muss diesen Aspekten Rechnung getragen werden.
Der vorliegende Leitfaden gibt einen Überblick über die praxisrelevanten Probleme, die
sich im Zusammenhang mit einem Bring Your Own Device Management ergeben. Da-
bei reicht die Vielfalt der rechtlichen Fragestellungen vom Datenschutzrecht (2), über
das Arbeitsrecht (3) bis hin zum Lizenz- und Steuerrecht (4 und 5). Da ein Bring Your
Own Device Management auch zahlreiche Maßnahmen zur IT-Sicherheit erfordert,
werden im Leitfaden auch Hinweise zur technischen Umsetzung bzw. zu den techni-
schen Möglichkeiten gegeben (6). Der Leitfaden schließt mit Best Practice-
Empfehlungen für ein rechtskonformes Mobile Device Management (7) und einem
Fazit (8).
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
Datenschutzrechtliche Aspekte 3
2 Datenschutzrechtliche Aspekte
Rechtliche Prämissen für den Einsatz mobiler Geräte
2.1 Anwendbarkeit des Datenschutzrechts
Nach § 1 Abs. 2 Nr. 3 BDSG ist das Bundesdatenschutzgesetz nicht anwendbar, wenn
die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten ausschließ-
lich für persönliche oder familiäre Tätigkeiten erfolgt. Wenn Mitarbeiter ihr privates
Endgerät zu dienstlichen Zwecken einsetzen, erfolgt aber die Erhebung, Verarbeitung
und Nutzung der Daten gerade nicht ausschließlich für persönliche oder familiäre Tä-
tigkeiten. Die Anwendbarkeit des Datenschutzrechts ist daher gegeben.
2.2 Wer ist verantwortliche Stelle?
Weiterhin stellt sich die Frage, wer jeweils die verantwortliche Stelle und somit Adres-
sat der Datenschutzvorschriften ist. Das Unternehmen ist sicher verantwortliche Stelle
im Sinne von § 3 Abs. 7 BDSG. Wie aber ist der Mitarbeiter datenschutzrechtlich ein-
zuordnen? So könnte eine Anwendung des BDSG ausscheiden, wenn der Mitarbeiter
keine nicht-öffentliche Stelle im Sinne von § 1 Abs. 2 Nr. 3 BDSG wäre. Nach § 2 Abs.
4 BDSG können aber nicht-öffentliche Stellen auch natürliche Personen sein. Die Da-
tenverarbeitung durch den Mitarbeiter erfolgt auch nicht ausschließlich für persönliche
oder familiäre Tätigkeiten, sondern gerade „beruflich“ für den Arbeitgeber, so dass eine
Anwendbarkeit des BDSG auch nicht daran scheitert. Aufgrund der eingangs beschrie-
benen Funktionalitäten moderner mobiler Endgeräte dürfte auch der Begriff der Daten-
verarbeitungsanlagen im Sinne von § 1 Abs. 2 Nr. 3 in Verbindung mit § 3 Abs. 2
BDSG erfüllt sein. Damit ist das BDSG grundsätzlich auf den hier beschriebenen Fall
anwendbar.
Damit bleibt aber die entscheidende Frage zu klären, ob es sich bei dem einzelnen
Mitarbeiter (ebenfalls) um eine verantwortliche Stelle handelt, mit der Konsequenz,
dass es für die Übertragung der Daten auf das Endgerät des Mitarbeiters einer
Rechtsgrundlage bedarf, sofern dieser Vorgang nicht als Auftragsdatenverarbeitung zu
qualifizieren ist. Verantwortliche Stelle im Sinne von § 3 Abs. 7 BDSG ist jedoch die
juristische Einheit (juristische Person, die Gesellschaft oder eine andere Personenver-
einigung), nicht dagegen die einzelne Abteilung oder unselbstständige Zweigstelle ei-
nes Unternehmens. Daraus lässt sich ableiten, dass damit auch die kleinste Einheit
einer Zweigstelle eines Unternehmens – eben der Mitarbeiter – keine (eigene) verant-
wortliche Stelle sein kann. Dies gilt insbesondere dann, wenn der Mitarbeiter zwar auf
eigenen Endgeräten, aber für den Arbeitgeber tätig ist. Dementsprechend handelt es
sich bei der Übertragung von Daten auf das Endgerät des Mitarbeiters um einen reinen
„Binnenvorgang“, der keiner eigenen Rechtsgrundlage bedarf und keine Auftragsda-
tenverarbeitung darstellt. Dessen ungeachtet besteht aber gleichwohl das Bedürfnis,
wenn nicht sogar die Verpflichtung durch entsprechende (arbeitsvertragliche) Neben-
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
Datenschutzrechtliche Aspekte 4
abreden die auf den Geräten des Mitarbeiters erfolgende Datenverarbeitung gesondert
abzusichern (siehe hierzu Ziffer 3).
2.3 Technisch-organisatorische Absicherung
2.3.1 Technisch-organisatorische Maßnahmen (§9 BDSG)
Das BDSG verpflichtet in § 9 Stellen, die selbst oder im Auftrag personenbezogene
Daten erheben, verarbeiten oder nutzen, die erforderlichen technische und organisato-
rischen Maßnahmen zu treffen, damit die Einhaltung des BDSG durch die jeweilige
Stelle sichergestellt ist. Dazu gehören auch Vorgaben, die das Gesetz in der Anlage zu
§ 9 BDSG macht. Folgende Maßnahmen werden dort angesprochen.
Technisch-organisatorische Maßnahmen
1. Zutrittskontrolle
2. Zugangskontrolle
3. Zugriffskontrolle
4. Weitergabekontrolle
5. Eingabekontrolle
6. Auftragskontrolle
7. Verfügbarkeitskontrolle
8. Getrennte Verarbeitung von Daten nach Erhebungszwecken
Zu weiteren Einzelheiten zu den technisch-organisatorischen Maßnahmen siehe Leit-
faden IT-Compliance und Security für die Praxis (Stand: März 2010).
2.3.2 Maßnahmen zur Datensicherheit und IT-Sicherheit und deren rechtlicher
Hintergrund
Handelt es sich bei der Datenverarbeitung und Nutzung auf vom Mitarbeiter gestellten
Mobilfunkendgeräten um einen reinen „Binnenvorgang“ (siehe oben), darf dieser nicht
dazu führen, dass das Datensicherheitsniveau des Arbeitgebers absinkt. Die für das
Unternehmen geltenden technischen-organisatorischen Maßnahmen bzw. das sich
selbst gegebenenfalls gegebene IT-Sicherheitskonzept sind durch den Mitarbeiter un-
abhängig davon anzuwenden, ob der Mitarbeiter auf vom Arbeitgeber gestellten End-
geräten arbeitet oder seine eigene Hardware dafür nutzt. Die sogenannten acht Gebo-
te der Anlage zu § 9 BDSG bleiben auch beim BYOD uneingeschränkt anwendbar.
Mehr noch: Gerade das BYOD muss im Lichte der für das Unternehmen geltenden
technisch-organisatorischen Maßnahmen besonders abgesichert werden. Das gilt
schon deshalb, da mobile Endgeräte generell noch nicht ausreichend gegen Angriffe
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
Datenschutzrechtliche Aspekte 5
von außen geschützt sind und der Mitarbeiter das private mobile Endgerät permanent
bei sich trägt. Deren Einsatz birgt per se eine erhöhte Gefahr dafür, dass ein unberech-
tigter Zugriff auf personenbezogene Daten oder Betriebs- und Geschäftsgeheimnisse
des Arbeitgebers erfolgt, sei es durch Diebstahl, Missbrauch oder schlichtweg die un-
terschiedliche und teilweise unzureichende Software des privaten Eigentümers. Diese
Gefahr intensiviert sich, wenn Mitarbeiter die über das private mobile Endgerät gene-
rierten Daten in der Public Cloud speichern.
Es gibt verschiedene Ansatzpunkte aus dem Bereich der IT-Sicherheit, um die Risiken,
die sich bei der Verwendung privater mobiler Endgeräte im Zusammenhang mit Be-
triebs- und Geschäftsgeheimnissen ergeben, einzudämmen: So müssen die allgemei-
nen – aus der Anlage zu § 9 BDSG abgeleiteten – Anforderungen des Unternehmens
an Datenschutz und Datensicherheit beim BYOD erst Recht angewandt werden.
Regeln zum Zugriffsschutz wie allgemeine Passwortrichtlinien oder Datenträgerver-
schlüsselungen sind mithin gleichermaßen anzuwenden.
Empfehlenswert ist darüber hinaus, die Verpflichtung des Mitarbeiters zur Einrichtung
eines Codes, über dessen Eingabe die Nutzung des Endgerätes erst nutzbar ist. Auch
die Einrichtung eines Benutzeraccounts, der einen Zugang zum Unternehmensserver
erst nach Eingabe von Zugangsdaten ermöglicht und im Falle der Nichtnutzung über
einen gewissen Zeitraum den Nutzer automatisch wieder ausloggt, eignet sich als zu-
sätzliche Sicherheitsmaßnahme.
Ganz gleich, ob auf die Daten über das mobile Endgerät selbst oder direkt über den
Unternehmensserver zugegriffen wird, sollten weitere Sicherheitsmaßnahmen getrof-
fen werden, die insbesondere einen unerwünschten Zugriff auf die Daten (zum Beispiel
im Fall des Diebstahls) unmöglich machen.
Hier ist zunächst an die gängigen Möglichkeiten des sogenannten Access Control zu
denken, wie die Einrichtung einer Firewall, eines Virenscanners oder eines Berechti-
gungssystems.
Zum Schutz von und vor Inhalten kann weitere Sicherheit beispielsweise über eine
verschlüsselte Kommunikation erreicht werden (Weitergabekontrolle).
Von herausragender Bedeutung ist beim BYOD allerdings das Trennungsgebot nach
Nr. 8 der Anlage zu § 9 BDSG. Zur Realisierung dessen sind verschiedene Maßnah-
men denkbar.
In Umsetzung von Nr. 8 der Anlage zu § 9 BDSG sollte eine getrennte Verarbeitung
und Nutzung von privaten und geschäftlichen Daten zwingend erfolgen. Dabei ist eine
Trennung von privaten und geschäftlichen Daten für beide Seiten wichtig: Sie ist zum
einen notwendig, da die privaten Daten auf der dem Mitarbeiter gehörenden IT unver-
ändert der Privatsphäre des Mitarbeiters zuzuordnen sind und als personenbezogene
Daten geschützt sind; zum anderen ist sie notwendig, damit der Arbeitgeber die Daten
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
Datenschutzrechtliche Aspekte 6
nach Beendigung des Arbeitsverhältnisses einfach bekommen kann und revisionssi-
cher oder zur Einhaltung sonstiger gesetzlicher Aufbewahrungspflichten aufbewahren
kann. Darüber hinaus ist die Trennung von privaten und beruflichen Daten ferner auf-
grund des Fernmeldegeheimnisses in Bezug auf private Email unbedingt erforderlich.
Schließlich ist die Datentrennung schon deshalb geboten, weil nicht nur Aufbewah-
rungs-, sondern auch Löschungspflichten bestehen. Werden aber im Zuge von ideal-
erweise technisch hinterlegten Löschroutinen mangels strikter Trennung auch private
Daten gelöscht, kann sich der Arbeitgeber unter Umständen schadensersatzpflichtig
machen.
Eine physische Trennung zwischen privaten und geschäftlichen Daten ist zum einen
denkbar, indem die Bearbeitung, Bereitstellung oder Speicherung von geschäftlichen
Daten oder Anwendungen auf dem Endgerät in einem abgetrennten geschlossenen
Bereich erfolgt. Es gibt inzwischen einige Anbieter, die hierfür sogenannte Container-
Apps anbieten.
Zum anderen ist eine physische Trennung zwischen privaten und geschäftlichen Daten
denkbar, indem man den Zugriff auf die Unternehmensdaten von vorneherein nur über
einen Zugriff zum Unternehmensserver zulässt. Das Endgerät dient in diesem Fall nur
als „Thin Client“. Der Vorteil hieran ist, dass keine Speicherung der Daten auf dem
Endgerät selbst stattfindet, sondern die Daten während der Nutzung weiter auf dem
Unternehmensserver bleiben.
Zudem sollte darauf geachtet werden, dass (auch) die privaten Endgeräte zentral vom
Arbeitgeber bzw. dessen IT verwaltet und konfiguriert werden, um zum Beispiel durch
den Einsatz der erforderlichen Firewalls und Virenscanner ein möglichst einheitliches
und hohes IT-Sicherheitsniveau zu erreichen. Durch eine zentrale IT-Verwaltung hat
der Arbeitgeber Kontrolle über die auf den Geräten gespeicherte Software und kann
die Nutzung illegaler Software – die Hacker- und Virenangriffe in der Regel leichter
zulässt – möglichst ausschließen.
Darüber hinaus ist denkbar, den Einsatz virenlastiger Applikationen oder den Abruf un-
erwünschter Internetseiten auszuschließen bzw. zu verbieten. Hierzu bieten bereits
einige Firmen entsprechende Sicherheitsprogramme an: Sie werden teilweise als App
auf dem mobilen Endgerät installiert und definieren, welche Anwendungen geschäftlich
erlaubt sind; dies erfolgt, ohne die private Nutzung einzuschränken, und es wird dafür
Sorge getragen, dass geschäftliche Emails sich nicht mit privaten Anwendungen öffnen
lassen. Zur weiteren Ausgestaltung der Maßnahmen zur Datensicherheit und IT-
Sicherheit siehe unten Ziffer 7.
2.4 Kontrollrechte gegenüber Mitarbeitern – Lesen von Daten auf dem privaten
Endgerät des Mitarbeiters
Soweit Unternehmen bestimmte auf den privaten Endgeräten ihrer Mitarbeiter gespei-
cherte Daten lesen wollen, ist zunächst zu unterscheiden, ob die dienstlichen Daten,
auf die das Unternehmen lesenden Zugriff nehmen will, in einem speziellen Container
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
Datenschutzrechtliche Aspekte 7
– wie vorstehend unter Ziffer 2.3 beschrieben – gespeichert sind. In diesem Fall gleicht
der Zugriff auf diesen Container dem lesenden Zugriff eines Unternehmens auf dienst-
liche Daten, die auf der Festplatte des Arbeitsplatzrechners und dem Netzlaufwerk
eines Mitarbeiters im Unternehmen gespeichert sind. Sollte es sich bei den im Contai-
ner gespeicherten Daten um personenbezogene Daten im Sinne des § 3 Abs. 1 BDSG
handeln, ist der lesende Zugriff eines Unternehmens auf die in diesem Container ge-
speicherten personenbezogenen Daten grundsätzlich nach § 32 Abs. 1 BDSG daten-
schutzrechtlich zulässig. Einer gesonderten datenschutzrechtlichen Einwilligung des
Mitarbeiters bedarf es somit nicht.
Anders liegt der Fall, wenn die Daten nicht in einem Container gespeichert sind. In die-
sem Fall müssen Unternehmen zum Auffinden der dienstlichen Daten gegebenenfalls
auf private in dem Endgerät gespeicherte Daten des Mitarbeiters zugreifen, um fest-
stellen zu können, um was für Daten es sich handelt. Da es sich bei dem auf dem je-
weiligen Endgerät gespeicherten privaten Daten des Mitarbeiters regelmäßig um per-
sonenbezogene Daten handeln dürfte, stellt sich die Frage, ob ein Zugriff des Unter-
nehmens auf diese privaten Daten noch nach § 32 Abs. 1 BDSG oder nach § 28 Abs. 1
Satz 1 Nr. 2 BDSG zulässig ist. Wenn überhaupt mag allenfalls eine Erlaubnis für den
Zweck bestehen, die privaten von den dienstlichen Daten zu unterscheiden um sie
aussondern zu können. Die Einholung einer Einwilligung ist zwar aus Gründen der
Rechtssicherheit denkbar. Jedoch werden an eine wirksame Einwilligung des Mitarbei-
ters aufgrund des Arbeitskontexts hohe Anforderungen bezüglich der Freiwilligkeit ge-
stellt.
Stellt das Unternehmen dem Mitarbeiter eine SIM-Karte für dienstliche Zwecke zur
Verfügung und erlaubt es die private Nutzung des dienstlichen Email-Accounts ist das
Unternehmen wohl regelmäßig als Telekommunikationsdienstanbieter zu qualifizieren.
Das Fernmeldegeheimnis nach § 88 Abs. 1 TKG findet aber dann keine Anwendung,
wenn die im privaten Endgerät gespeicherten Emails sich in der Inbox befinden.
Praxishinweis
Möchte ein Unternehmen jegliche Rechtsunsicherheit bei einem Zugriff auf dienstliche
Daten, die auf einem privaten Endgerät des Mitarbeiters gespeichert sind, vermeiden,
ist eine getrennte Speicherung von Daten auf dem Endgerät des Mitarbeiters geboten.
2.5 Löschung von Daten auf dem privaten Endgerät des Mitarbeiters
Besonders problematisch ist das Löschen von Daten, die auf dem privaten Endgerät
des Mitarbeiters gespeichert sind. Denn nach § 35 Abs. 2 BDSG ist ein Unternehmen
verpflichtet, personenbezogene Daten auf dem privaten Endgerät des Mitarbeiters zu
löschen, wenn ihre Speicherung unzulässig ist oder sie für den Zweck des Unterneh-
mens verarbeitet werden und ihre Kenntnis für die Erfüllung des Zwecks der Speiche-
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
Datenschutzrechtliche Aspekte 8
rung nicht mehr erforderlich ist. Eine Verpflichtung zur Löschung von Daten auf dem
privaten Endgerät kann sich auch aus § 9 Abs. 1 BDSG in Verbindung mit Satz 1 Nr. 7
der Anlage zu § 9 BDSG ergeben. Im Rahmen der Verfügbarkeitskontrolle ist es näm-
lich erforderlich, Daten auf dem mobilen Endgerät des Mitarbeiters zu löschen, um dort
gespeicherte personenbezogene Daten vor Schadsoftware oder sogenannten „Schnüf-
fel-Apps“ zu schützen.
Praxishinweis
Für die Löschung von Daten ist daher eine vertragliche Regelung im Sinne einer Nut-
zungsvereinbarung zu BYOD geboten.
Ohne eine solche Regelung zur Datenlöschung macht sich die Geschäftsleitung des
Unternehmens gegebenenfalls strafbar: Nach § 303a StGB macht sich strafbar, wer
rechtswidrig Daten im Sinne des § 202a Abs. 2 StGB löscht, unterdrückt, unbrauchbar
macht oder verändert.
2.6 Ändern von Daten auf dem privaten Endgerät
Werden personenbezogene Daten im privaten Endgerät des Mitarbeiters geändert,
gelten die vorstehenden Ausführungen zur Löschung von Daten entsprechend. Eine
Änderung von Daten liegt beispielsweise vor, wenn das Unternehmen zentrale Einstel-
lungen in der Konfiguration des mobilen Endgeräts ändern möchte. Möchte daher das
Unternehmen auf dem privaten Endgerät gespeicherte Daten ändern, so ist hierfür
ebenfalls eine Regelung in einer Nutzungsvereinbarung erforderlich, sofern private
Daten des Mitarbeiters von der Änderung betroffen sind.
2.7 Auftragsdatenverarbeitung nach § 11 BDSG?
Teilweise wird in der Literatur eine Auftragsdatenverarbeitung zwischen Arbeitgeber
und Mitarbeitern gesehen, wenn Mitarbeiter geschäftliche personenbezogene Daten
auf ihrem privaten Endgerät verarbeiten. Dies hätte zur Folge, dass ein Vertrag zur
Auftragsdatenverarbeitung mit den zehn Pflichtinhalten des § 11 BDSG zwischen dem
Unternehmen und dem Mitarbeiter zu schließen wäre. Dem ist jedoch Folgendes ent-
gegen zu halten: Nutzt ein Mitarbeiter selbstständig dienstliche Daten auf privater IT zu
dienstlichen Zwecken, ohne dass der Auftraggeber diese Form der Auslagerung be-
herrscht, weil zum Beispiel jegliche Regelungen sowie technische und organisatorische
Maßnahmen zum Umgang mit privater IT fehlen, liegt nach der herrschenden Meinung
in der Literatur keine Auftragsdatenverarbeitung vor. Der interne Mitarbeiter kann keine
verantwortliche Stelle sein (vergleiche vorstehend unter Ziffer 2.2). BYOD kann daher
allenfalls bei freien Mitarbeitern eine Auftragsdatenverarbeitung nach § 11 BDSG dar-
stellen.
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
Datenschutzrechtliche Aspekte 9
2.8 Einbindung des betrieblichen Datenschutzbeauftragten
Aufgabe des Datenschutzbeauftragten ist auf die Einhaltung des Datenschutzes hin-
zuwirken und die Ordnungsgemäßheit der Anwendungen zu überwachen. Eine Aufga-
be des Datenschutzbeauftragten ist es daher zu prüfen, ob und wie die Verarbeitung
und Nutzung von dienstlichen Daten auf den privaten Endgeräten des Mitarbeiters da-
tenschutzrechtlich gewährleistet werden kann. Ein MDM hat sich an dem Datenschutz-
konzept des Unternehmens auszurichten (vergleiche hierzu Leitfaden IT-Compliance
und Security für die Praxis).
2.9 Prüfungsrechte der Aufsichtsbehörde?
Noch völlig ungeklärt ist die Frage, ob und inwieweit eine Datenschutzaufsichtsbehörde
im Falle einer Betriebsprüfung beim Arbeitgeber auch private Endgeräte von Mitarbei-
tern oder private Endgeräte von Familienangehörigen, die Mitarbeiter dienstlich nutzen
dürfen, prüfen darf. Hier ist die Rechtsentwicklung abzuwarten.
2.10 Benachrichtigungspflichten der Mitarbeiter nach § 42a BDSG
Zur vertraglichen Absicherung von BYOD sollte der Mitarbeiter verpflichtet werden, das
Unternehmen unverzüglich zu benachrichtigen, wenn das private Endgerät, auf dem
Daten des Unternehmens gespeichert sind, gestohlen, verloren oder sonst wie ab-
handengekommen ist. Nach § 42a BDSG ist das Unternehmen als verantwortliche
Stelle im Sinne des BDSG unter den in § 42a BDSG genannten Tatbestandsvoraus-
setzungen verpflichtet, die Betroffenen und/oder die Aufsichtsbehörden zu informieren,
falls personenbezogene Daten einem Dritten unrechtmäßig zur Kenntnis gelangt sind.
Die Nichteinhaltung der Pflichten nach § 42a BDSG ist für das Unternehmen bußgeld-
bewehrt.
2.11 Geheimnisschutz
Sind auf dem privaten Endgerät geschützte Geheimnisse oder vergleichbar sensible
Daten gespeichert oder mit dem privaten Endgerät abrufbar, so darf der Mitarbeiter das
Endgerät keinem Fremden überlassen. Der Mitarbeiter ist daher in der Nutzungsver-
einbarung darauf zu verpflichten, das Endgerät nur persönlich im Rahmen des BYOD
zu nutzen. Weiterhin zu empfehlen sind begleitende technische Schutzmaßnahmen,
die eine unbefugte Kenntnisnahme von geschützten Geheimnissen ausschließen.
2.12 BYOD – Nutzungsbedingungen
Generell empfiehlt es sich für ein Unternehmen, vor der Einführung von BYOD zu-
nächst BYOD-Nutzungsbedingungen für die geschäftliche Nutzung privater IT zu ent-
wickeln und mit den Mitarbeitern individuell oder mit dem Betriebsrat kollektivrechtlich
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
Datenschutzrechtliche Aspekte 10
zu vereinbaren, um die Mitarbeiter unter anderem für die Probleme, die sich im Zu-
sammenhang mit BYOD ergeben, zu sensibilisieren und ihnen aufzuzeigen, welche
Ziele das Unternehmen mit der Einführung von BYOD verfolgt und was beachtet wer-
den muss.
Beispiele
- Umgang mit personenbezogenen Daten
- Unterlassen der Speicherung geschäftlicher Daten in Public Clouds, wie der T Cloud
- Kosten und Wartung
- Verbot geschäftlicher Nutzung kritischer Apps und Funktionen; aber auch, wie mit
Verstößen gegen eine ordnungsgemäße Nutzung seitens des Unternehmens
umgegangen werden soll.
Teilweise wird vorgeschlagen, den einzelnen Mitarbeiter im Rahmen der Durchführung
von Online-Schulungen auch entsprechend auf die Einhaltung der Policy zu verpflich-
ten.
Gibt es im Unternehmen eine IT-Sicherheitsvereinbarung, so wäre diese schließlich um
die entsprechenden Maßnahmen zu erweitern.
Nach alledem erscheint es zumindest technisch möglich, das Risiko einer ungewollten
Verwendung von Geschäftsdaten stark zu minimieren; dies erfolgt durch die Anwen-
dung der unbedingt notwendigen IT-Sicherheitsmaßnahmen.
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
Arbeitsrechtliche Aspekte 11
3 Arbeitsrechtliche Aspekte
Zusatz zum Arbeitsvertrag oder Regelungen in Betriebsvereinbarungen
3.1 Vergütungsanspruch des Mitarbeiters für die Nutzung des privaten Endge-
räts
Zunächst sollte mit dem Mitarbeiter eine Regelung darüber getroffen werden, welche
Partei die mit der Nutzung des privaten Endgerätes entstehenden regelmäßigen Kos-
ten, wie zum Beispiel die monatlichen Entgelte, trägt. Je nachdem, wie sich die private
und die betriebliche Nutzung verteilt, empfiehlt sich hier eine anteilige Aufteilung. Für
Änderungen der Verteilung kann die zusätzliche Berücksichtigung einer Anpassungs-
klausel sinnvoll sein. Sofern der Mitarbeiter verbunden mit der Hardware – was der
Regelfall sein dürfte – auch einen über eine SIM-Karte abgewickelten Kommunikati-
onsvertrag einbringt, dürfte nach den Grundsätzen von § 670 BGB zu verfahren sein:
Dem Mitarbeiter sind die Aufwendungen an den eingebrachten Sachen zu erstatten.
Das bedeutet, dass berufliche Kommunikation vom Unternehmen zu erstatten ist. Bei
den in aller Regel zugrunde liegenden Flatratetarifen wäre hier eine angemessene
Quotelung vorzusehen. Ein völliger Ausschluss einer etwaigen Kostentragungslast
würde demgegenüber vermutlich an dem auch im Arbeitsverhältnis grundsätzlich gel-
tenden § 307 BGB scheitern – zumal dann, wenn mit mehreren Mitarbeitern gleicharti-
ge Bedingungen abgeschlossen werden sollen.
3.2 Vertragliche Vereinbarung über die Nutzung und Wartung des privaten IT-
Endgerätes
Generell ist der Arbeitsgeber dazu verpflichtet, die erforderlichen Arbeitsmittel bereit-
zustellen und auch zu erhalten. Sofern nun das private Endgerät als Arbeitsmittel vom
Mitarbeiter bereitgestellt wird, sollte hierüber eine entsprechende Vereinbarung getrof-
fen werden.
Dabei ist auch darauf zu achten, dass diese Vereinbarung Regelungen darüber trifft,
welche Software eingesetzt werden darf, wer wann für Wartungen und Reparaturen
verantwortlich ist und wer im Defekt- oder Verlustfall für die Anschaffung eines Ersatz-
bzw. Neugerätes verantwortlich ist. Möglicherweise ist es sinnvoll, dass der Arbeitge-
ber sich für den Reparatur- oder Wartungsfall vom Mitarbeiter seine Gewährleistungs-
ansprüche gegen den Verkäufer oder Provider abtreten lässt.
Bereits im Rahmen der unter Ziffer 3.1 angesprochenen Vergütung, aber spätestens
hier im Kontext der Haftung und der Verfügbarkeit stellt sich die Frage der vertragsty-
pologischen Einordnung einer das BYOD regelnden Vereinbarung zwischen Mitarbeiter
und Unternehmen. Sofern – was wegen Ziffer 3.1 der Regelfall sein dürfte – eine wie
auch immer geartete Vergütung gezahlt wird, finden die Grundsätze des Mietrechts am
ehesten Anwendung. Diese Grundsätze überlagern dann das arbeitsvertragliche Ver-
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
Arbeitsrechtliche Aspekte 12
hältnis, insbesondere die dort geltenden besonderen Haftungsreglungen. Das hat für
den Mitarbeiter die belastende Kehrseite, dass (auch) im Falle eines betrieblich veran-
lassten Verlustes oder Untergangs er für die Wiederbeschaffung oder Wiederherstel-
lung des mobilen Endgerätes verantwortlich ist. Wegen dieser Konsequenz ist eine
bereits nach Ziffer 3.1. vereinbarte Vergütung adäquat auszugestalten. Erfolgt dies
dagegen nicht, kann für den Unternehmer mangels einer etwaigen Haftung des Mitar-
beiters ein Beschaffungs- oder Verfügbarkeitsproblem entstehen, zumal entsprechen-
de Vereinbarungen an den §§ 307 ff BGB zu messen sind.
Um eine einheitliche Administration aller sich im Einsatz befindlichen privaten Endgerä-
te gewährleisten zu können und dem Arbeitgeber einen Überblick über die eingesetz-
ten privaten Endgeräte geben zu können, sollte diese Vereinbarung auch eine genaue
Typbezeichnung des jeweiligen Endgerätes beinhalten.
Wird hingegen nichts geregelt, so darf der Arbeitgeber nur ganz allgemein die Nutzung
erwarten und es liegt eine Besitzstörung gemäß § 858 Abs.1 BGB vor, sofern vorab
keine Regelung über etwaige Zugriffs-, Protokoll- und Änderungsrechte getroffen wur-
de und der Arbeitgeber Reparatur- oder Wartungsmaßnahmen veranlasst. Zudem wä-
re der Mitarbeiter im Defekt- oder Verlustfall nicht zur Anschaffung des Ersatzgerätes
verpflichtet. Beides ist im Zweifel nicht im Interesse des Arbeitgebers.
3.3 Vertragliche Vereinbarung über gesetzliche Aufbewahrungspflichten
Unabhängig von der Frage, welche Daten wie und in welchen Umfang auf das private
Endgerät ausgelagert werden dürfen, ist mit dem Mitarbeiter eine Vereinbarung zu tref-
fen mit der sichergestellt ist, dass der Arbeitgeber seinen gesetzlichen Aufbewah-
rungspflichten nachkommen kann. Solche Aufbewahrungspflichten ergeben sich ins-
besondere aus den § 257 HGB und § 147 AO. Danach sind bestimmte Arten von Ge-
schäftsunterlagen 6 bzw. 10 Jahre aufzubewahren. Solche Geschäftsunterlagen kön-
nen auch elektronisch – sprich von (privaten) Endgeräten aus – produziert werden.
Schon deshalb ist es notwendig, die privaten Endgeräte mit der stationären EDV des
Arbeitgebers zu synchronisieren. Sofern nicht eine strikte Trennung zwischen privater
und beruflicher Sphäre erfolgt, wird zwangsläufig private Korrespondenz mitprotokol-
liert – mit Folgen, die im Bereich der Nutzung betrieblicher Kommunikationsmittel für
private Zwecke hinlänglich diskutiert sind. Gegebenenfalls droht dann wegen § 88 TKG
auch eine Haftung nach § 206 StGB.
Neben dieser Pflicht des Arbeitgebers, betriebliche Dokumente revisionssicher aufzu-
bewahren, ist in diesem Zusammenhang beispielsweise auch an die „Regeln zur Auf-
bewahrung digitaler Unterlagen und zur Mitwirkungspflicht der Steuerpflichtigen bei
Betriebsprüfungen“ (GDPdU) zu denken.
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
Arbeitsrechtliche Aspekte 13
3.4 Haftung
Bei durch die Nutzung privater Geräte entstandenen Schäden beim Arbeitgeber (z. B.
Virenbefall etc.) gelten die allgemeinen Grundsätze der Arbeitnehmerhaftung. Der Ar-
beitnehmer haftet daher für Vorsatz und grobe Fahrlässigkeit voll, für leichteste Fahr-
lässigkeit nicht und anteilig bei normaler Fahrlässigkeit.
3.5 Arbeitszeit
Unter arbeitszeitrechtlichen Gesichtspunkten ist zu berücksichtigen, dass das Arbeits-
zeitgesetz bestimmte Höchstgrenzen an pro Tag an zu leistender Arbeitszeit bzw. be-
stimmte Ruhezeiten vorschreiben. Die Nutzung privater Endgeräte für dienstliche Zwe-
cke kann dazu führen, dass sich der Mitarbeiter mittelbar oder unterschwellig stets da-
zu veranlasst sieht, beispielsweise auf Emails zu reagieren oder sie zumindest zur
Kenntnis zu nehmen. Dies gilt umso mehr, wenn das private Endgerät – und das dürfte
beim BYOD der Regelfall sein – mit der stationären Bürokommunikation synchronisiert
ist. Erschwerend kommt hinzu, dass der Mitarbeiter sein (privates) Endgerät ja auch
angeschaltet lässt, denn er befindet sich ja außerhalb seines Arbeitsplatzes grundsätz-
lich im privaten Bereich. Der Mitarbeiter ist quasi „zwangsläufig“ verfügbar und online
und es droht die Gefahr von Arbeitszeitverstößen (vgl. § 5 Abs. 1; § 10 Abs. 1 ArbZG).
Rechtlich könnte es sich um eine Rufbereitschaft handeln – Arbeitszeit entsteht hieraus
jedoch nur, wenn der Arbeitnehmer tatsächlich anfängt zu arbeiten und dieses Tätig-
werden vom Arbeitgeber angeordnet wurde oder die Arbeitsergebnisse ohne Anord-
nung vom Arbeitgeber verwendet werden.
Auch zur Vermeidung dieser Probleme bedarf es individuelle oder gegebenenfalls kol-
lektivrechtliche Regelungen.
Hinweis
Das Arbeitszeitgesetz findet keine Anwendung auf leitende Angestellte im Sinne von §
5 Abs. 3 BetrVG (vergleiche § 18 Abs. 1 Nr. 1 ArbZG).
3.6 Notwendigkeit einer Betriebsvereinbarung und Einbindung des Betriebsra-
tes bei Kontrolle und Überwachung des Endgerätes
Ob aus datenschutzrechtlichen Aspekten (zwecks Kontrolle der Einhaltung der sich
aus §§ 9, 11 BDSG ergebenden Gebote), aus lizenzrechtlichen Gründen (zwecks
Überprüfung des privaten Endgerätes auf den Einsatz von illegaler Software) oder aus
Gründen der IT-Sicherheit (zwecks Sicherstellung der Einhaltung der im Rahmen von
Bring Your Own Device erforderlichen Sicherheitsmaßnahmen): Eine Kontrolle und
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
Arbeitsrechtliche Aspekte 14
Überwachung des privaten Endgerätes scheint bei der Einführung von Bring Your Own
Device unumgänglich.
Eine – aus welchen Gründen auch immer – erforderliche Überwachung oder Kontrolle
der Nutzung des privaten Endgerätes durch das Unternehmen kann eine mitbestim-
mungspflichtige Überwachung des Mitarbeiters im Sinne von § 87 Abs.1 Nr.6 BetrVG
darstellen. Entscheidend ist dabei nicht, ob die Leistung des Arbeitgebers oder sein
Nutzungsverhalten tatsächlich überwacht werden, sondern dass die Möglichkeit dieser
Überwachung nicht ausgeschlossen werden kann. Eine solche Überwachung bedarf
dann einer vorherigen Mitbestimmung des Betriebsrates. Mitbestimmungspflichtig kön-
nen darüber hinaus auch andere Regelungen wie zum Beispiel über die Unterteilung
der Nutzung in private und betriebliche Nutzung sein.
Praxishinweis
Die Einbindung des Betriebsrates hat dabei vor der Einführung von Bring Your Own
Device zu erfolgen. Dazu gehören Modalitäten über die Zweckbestimmung, die Art und
Anzahl einzelner Endgeräte, der Zeitpunkt der Einführung, der Ort der Verwendung,
die Art der Installation, der Zeitraum der Verwendung sowie unmittelbar auf die Einfüh-
rung bezogene Vorbereitungsmaßnahmen.
Im Rahmen des Mitbestimmungsrechts hat der Betriebsrat auch bei der Festlegung
des Verwendungszwecks gespeicherter Leistungs- und Verhaltensdaten mitzubestim-
men.
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
Lizenzrechtliche Aspekte 15
4 Lizenzrechtliche Aspekte
Verantwortlichkeit des Unternehmens für eingesetzte Software
Damit das Unternehmen bzw. der Arbeitgeber sich im Falle einer Lizenzprüfung nicht
aufgrund eines Urheberrechtsverstoßes haftbar macht, ist die Überprüfung der sich auf
dem privaten Endgerät befindlichen Software (Betriebssystem, Apps und Anwender-
software) und der hierzu eingeräumten Lizenzen erforderlich. Denn kommt es zu einer
Urheberrechtsverletzung, so kann eine Haftung des Arbeitgebers wie folgt hergeleitet
werden:
Gemäß § 99 UrhG kann der Urheberrechtsverletzte seine gemäß §§ 97 Abs.1, 98
UrhG bestehenden Rechte auch gegen den Inhaber eines Unternehmens geltend ma-
chen, wenn ein Arbeitnehmer oder Beauftragter dieses Unternehmens eine Urheber-
rechtsverletzung begangen hat.
Dabei ist unerheblich, ob der Inhaber des Unternehmens von der Urheberrechtsverlet-
zung wusste oder diese gar gegen seinen Willen erfolgte. Entscheidend ist vielmehr,
dass das Ergebnis der rechtswidrigen Nutzung dem Unternehmen zugutegekommen
ist. Darüber hinaus ist unerheblich, ob der Arbeitnehmer oder Beauftragte die Urheber-
rechtsverletzung in den Räumlichkeiten des Unternehmens selbst begangen hat oder
dazu lediglich die Betriebsmittel des Unternehmens verwendet hat. Der Anspruch be-
steht neben dem Anspruch gegen den Arbeitnehmer oder Beauftragten.
In Bezug auf den Einsatz des privaten Endgerätes ist davon auszugehen, dass der
Mitarbeiter nur ein einfaches, nicht übertragbares Recht zur eventuell sogar ausdrück-
lich nur privaten Nutzung erworben hat, das aufgrund des fehlenden Weiterübertra-
gungsrechts für eine betriebliche Nutzung nicht ausreicht. Je nachdem, welche Nut-
zungsrechtseinräumung sich aus den einzelnen Lizenzvereinbarungen ergibt, kann die
Software zur betrieblichen Nutzung nicht verwendet werden. In diesem Fall muss mit
dem Softwarehersteller eine entsprechende Lizenzerweiterung getroffen werden.
Darüber hinaus ist jedoch auch denkbar, dass der Mitarbeiter eine unlizenzierte Kopie
einer Software nutzt. In diesem Fall müsste dafür Sorge getragen werden, dass die
Software deinstalliert wird und nicht zur Anwendung gelangt. Zu empfehlen ist daher
die Überprüfung der Software im Rahmen von Software-Audits.
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
Steuerrechtliche Aspekte 16
5 Steuerrechtliche Aspekte
Geldwerter Vorteil, Kostenübernahme – gesonderte Prüfung notwendig!
Je nachdem, welche Regelungen hinsichtlich der Kostenaufteilung in Bezug auf die
Nutzung des privaten Endgeräts getroffen werden, sind vom Arbeitgeber und vom Ar-
beitnehmer steuerrechtliche Aspekte zu berücksichtigen.
Sofern der Arbeitgeber sich im Rahmen einer Nutzungsvereinbarung an den Kosten für
das private Endgerät beteiligt, hat der Mitarbeiter hierfür eine Rechnung zu stellen. Da
der Mitarbeiter als Privatperson tätig wird und aller Wahrscheinlichkeit nach auch der
entsprechende Schwellenwert nicht erreicht wird, ist diese Rechnung ohne Umsatz-
steuer auszuweisen. Dies hat für das Unternehmen zur Folge, dass es keine Umsatz-
steuer als Vorsteuer dem Fiskus in Rechnung stellen kann (vergleiche § 15 Abs. 1
UStG). Das wiederum kann für den Arbeitgeber steuerlich gesehen einen Nachteil im
Vergleich zur Anschaffung und zum Einsatz betrieblicher Endgeräte darstellen. Inso-
weit ist anzuraten, bei der Erarbeitung eines Mobile Device Managements die steuer-
rechtlichen Auswirkungen stets zu berücksichtigen und steuerrechtliche Expertise ein-
zuholen.
Sofern der Arbeitgeber über die verauslagten Kosten hinausgehende Kosten für das
private Endgerät übernimmt – zu denken ist an die Kosten für einen Router, um dem
Mitarbeiter von zu Hause aus einen Zugang zum Firmennetz zu verschaffen – kann
hierin ein geldwerter Vorteil liegen, sofern der Mitarbeiter die mit den Kosten verbun-
dene Leistung auch privat nutzen kann. Dieser geldwerte Vorteil wäre dann als Ein-
nahme nach § 8 Abs. 1 EStG zu versteuern. Das Vorliegen eines geldwerten Vorteils
zugunsten des Mitarbeiters ist daher jeweils bei einem Mobile Device Management zu
prüfen.
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
IT-Sicherheit beim Einsatz von Mobile Devices 17
6 IT-Sicherheit beim Einsatz von Mobile Devices
Spagat zwischen Produktivität und Sicherheit
6.1 Ausgangssituation
Zur Sicherheit mobiler Geräte und zur Sicherheit im Umgang mit den Daten auf sol-
chen Geräten gibt es viele berechtigte Bedenken von Experten. Dennoch werden sol-
che Bedenken mit höchster Wahrscheinlichkeit die rasante Verbreitung und den Ein-
satz der Geräte kaum bremsen. Zu stark sind die Fakten, die für die Verwendung sol-
cher Geräte sprechen, denn die Chancen und Möglichkeiten sind groß: Das heißt, mo-
bile Geräte werden ab sofort nicht nur zur IT-Landschaft gehören, sondern sie werden
sie maßgeblich mit bestimmen.
Ein Zurück ist undenkbar: Die Geräte sind bereits jetzt nicht mehr aus dem Unterneh-
mensalltag wegzudenken. „Bring Your Own Device (BYOD)“ ist ein Trend, der von
kaum einem Unternehmen mehr ohne Prüfung übergangen werden kann. Daher müs-
sen die entsprechenden technologischen Überlegungen und Möglichkeiten ab sofort
intensiv diskutiert werden.
Solche Entwicklungen bewirken, dass in der IT-Umgebung des Unternehmens keines-
wegs nur mehr, wie bisher gewohnt, Geräte anzutreffen sind, die vom Unternehmen
ausgegeben werden und vorher entsprechenden Tests unterzogen worden sind. Das
Nebeneinander von Unternehmensgeräten und privaten Geräten, die mit Duldung oder
aktiv gefördert vom Unternehmen dienstlich genutzt werden, wird selbstverständlich.
Damit verknüpft sind vielerlei neue Anforderungen: Unter anderem gilt es – wie bereits
in Ziffer 2 ff. geschildert – die entsprechenden rechtlichen Probleme zu lösen. Ergän-
zend stellen sich technische Herausforderungen: Wie schafft es eine IT-Abteilung, ei-
nerseits die rechtlichen Rahmenbedingungen zu berücksichtigen, andererseits die
technischen Notwendigkeiten im Griff zu haben? Und wie kann gewährleistet werden,
dass die erwünschten umfangreichen Funktionen, die das Unternehmen braucht, stän-
dig bereit stehen? Und das jederzeit, störungsfrei und sicher.
6.2 Definition von mobilen Devices
Als mobile Geräte sind Laptops bereits seit langem im Unternehmenseinsatz. Für Lap-
tops sind weitreichende Managements- und Sicherheitsmechanismen sowohl vorhan-
den als auch flächendeckend im Einsatz. Hinzu kommen jedoch schnell und in großer
Zahl Smartphones und Tablets: Sie sind vergleichsweise neu im Unternehmensein-
satz. Daher werden im Folgenden diese Geräte im Vordergrund der Betrachtung ste-
hen. Hinsichtlich der Betriebssysteme werden vor allem Google Android und Apple iOS
in der jeweilig aktuellen Version betrachtet.
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
IT-Sicherheit beim Einsatz von Mobile Devices 18
6.3 Herstellerseitige Sicherheitsfunktionen
Grundsätzlich kann man hinsichtlich der angebotenen Betriebssysteme zurzeit davon
ausgehen, dass iOS vergleichsweise „am sichersten“ ist. Schließlich wird iOS am
engsten durch Vorkehrungen des Herstellers Apple kontrolliert. Jedoch bedeutet dies
natürlich nicht, dass man das Betriebssystem generell als „sicher“ betrachten kann –
insbesondere ist zu bedenken, dass alle Betriebssysteme vordergründig für den Ein-
satz im privaten Bereich gedacht waren. Die Herstellersysteme bieten bestimmte
Grundfunktionen hinsichtlich Management und Sicherheit – diese können durch ein
MDM-System erweitert werden.
6.3.1 Passwortschutz
Die erste Sicherheitsvorkehrung ist, das Gerät per Passwort bzw. Passcode (Zahlen-
code oder Kombination aus Zahlen, Buchstaben und Sonderzeichen, ähnlich der Zu-
gangskontrolle am PC) zu schützen. Im privaten Bereich verzichten viele Benutzer auf
diese elementare Sicherheitsfunktion. Sofern jedoch berufliche Nutzung, sei es auch
nur in geringem Ausmaß, vorliegt, ist vom Unternehmen unbedingt darauf zu achten,
dass ein Passcode eingerichtet wird. Genauso wichtig ist, dass der Benutzer keine
Möglichkeit hat, den erzwungenen Abruf des Passwortes zu umgehen oder zu deakti-
vieren.
Für die Praxis kann es keinen Grund geben, diese Haltung auch nur im Entferntesten
aufzuweichen! Schließlich hat das Unternehmen nicht nur das Recht, sondern auch die
Pflicht, die Unternehmensdaten vor dem Zugriff Externer bzw. Unbefugter zu schützen.
Klarerweise müssen sich diesen Überlegungen alle Bequemlichkeitsfragen oder ähnli-
ches unterordnen.
6.3.2 Gerätesperre
Unabhängig von den Betriebssystemen kann für alle Endgeräte definiert werden, dass
diese sich nach Ablauf eines definierbaren Zeitraums sperren und eine erneute Einga-
be des Passcodes erforderlich wird.
6.3.3 Automatische Datenlöschung
Sofern die Anzahl der fehlerhaften Anmeldeversuche einen definierten Schwellenwert
überschreitet, kann man einstellen, dass alle Daten automatisch gelöscht werden.
Der Schwellenwert sollte klarerweise nicht zu klein gewählt werden, dennoch sollte er
auch nicht utopisch groß sein. Es ist immer sicherer und auch billiger, eine Löschung
herbeizuführen, als das Risiko von unkontrolliertem Fremdzugang in Kauf zu nehmen.
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
IT-Sicherheit beim Einsatz von Mobile Devices 19
Im Hinblick auf Löschungen aus diesem oder ähnlichen Gründen ist es auch wichtig,
dass der Stellenwert von Datensicherung sowohl dem Unternehmen als auch dem Be-
nutzer bewusst ist.
6.3.4 Verschlüsselung der Daten im Gerätespeicher
Ein wichtiges Sicherheitsfeature ist die Verschlüsselung der Daten im Gerätespeicher.
In der Regel basiert die verwendete Verschlüsselung auf dem bekannten und gängigen
Algorithmus AES 256. Je nach Betriebssystem muss die Verschlüsselung eigens akti-
viert werden oder sie erfolgt automatisch. Android bietet im Übrigen die Möglichkeit,
sofern geräteseitig vorgesehen, auch externe Speichermedien wie SD-Karten zu ver-
schlüsseln.
6.3.5 „Device Administrator“
Mittels eines „Device Administrator“ kann einzelnen Applikationen explizit das Recht
gegeben werden, Gerätekonfigurationen zu ändern bzw. die Konfiguration gegen Ver-
änderung zu sperren.
Dies ist eine wesentliche Funktion beim Einsatz von MDM-Lösungen. Daher sollte gro-
ße Sorgfalt darauf gelegt werden, hier die entsprechende Politik des Unternehmens zu
entwickeln und diese dann umzusetzen.
6.3.6 Applikationsschutz, „Sandboxing“
Auf dem mobilen Gerät laufen viele Applikationen. Insbesondere ist sicherzustellen,
dass Applikationen nicht auf den Datenspeicher anderer Applikationen zugreifen kön-
nen, sondern sozusagen nur in ihrem eigenen Speicherbereich arbeiten. Diese „Spei-
chersandbox“ für den internen Speicher halten iOS und Android auch für Dateien be-
reit. Damit wird verhindert, dass Applikationen auf bestimmte Dateien – anderer Appli-
kationen oder allgemein Dateien des Benutzers – zugreifen können.
6.4 Weiterführende Maßnahmen mittels MDM-Systemen
6.4.1 Inventarisierung und Integration von privaten Geräten in bestehende Ma-
nagementstrukturen
Eine Verwaltungslösung für Mobilgeräte muss die dazugehörigen Daten für eine Inven-
tarisierung zur Verfügung stellen. Dies sollte möglichst automatisierbar erfolgen bzw.
mit möglichst geringem Aufwand.
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
IT-Sicherheit beim Einsatz von Mobile Devices 20
Hierbei muss die Möglichkeit bestehen, den Eigentümer des jeweiligen Gerätes zu
markieren. Grundanforderung ist, mindestens die Unterscheidung zwischen „Firmenge-
rät“ und „privates Gerät“ treffen zu können. Bei doppelter Nutzung ist das Gerät als
Firmengerät zu verwalten.
6.4.2 Bereitstellung, Installation und Management von Apps
Die große Verbreitung und die unstrukturierte Installation von „Apps“ auf den gängigen
Mobilgeräten führen zu einem riesigen Angebot von Programmen, die auf den Geräten
laufen. Apps können jederzeit – auch unterwegs – vom Anwender auf den Geräten
installiert werden. Allerdings sind bei weitem nicht alle Apps vertrauenswürdig.
Daher ist eine Inventarisierung der installierten Apps ebenso notwendig, wie die Mög-
lichkeit, die weitere Installation von Apps zu verhindern. Im dienstlichen Bereich muss
das Unternehmen festlegen ob Apps genutzt werden sollen, welche dies sind und in
welcher Art sie genutzt werden dürfen oder sollen.
Mobile Device Management-Lösungen erlauben diese geforderte Inventarisierung der
installierten Apps. Zunehmend greift man auch auf „Blacklisting“ von verbotenen Apps
oder und „Whitelisting“ empfohlener oder verpflichtend installierter Apps zurück. Black-
lists werden auch über Reputationsmechanismen oder Cloud-Datenbanken erweitert.
Dies sind automatisierte Abfragen: Welche Funktionen nehmen Apps von sich aus vor
(z. B. Ausführen von Schadcode, weiterführende, vom Nutzer nicht autorisierte Abfra-
gen, Datenabfluss) und generell, sind die Apps vertrauenswürdig?
Dabei ist nicht zu vergessen: Die Masse der unkontrolliert auf den Markt drängenden
Apps für Android ist kaum mehr zu durchschauen; damit verbunden ergeben sich mög-
licherweise erhebliche Sicherheitsprobleme. Bei Apple iOS-Geräten ist demgegenüber
generell eine Installation von Apps nur aus dem Appstore möglich. Einzige Ausnahme
hiervon ist die Installation von eigenen, selbstentwickelten Apps: Mit Hilfe eines MDM-
Systems kann hierfür ein so genannter Enterprise App-Store, also ein unternehmens-
eigener Pool, für solche Apps bereitgestellt werden.
Grundsätzlich bleibt es eine wesentliche Aufgabe, über ein geeignetes MDM-System
den Umgang mit Apps zu regeln und zu überwachen.
6.4.3 Schutz von dienstlichen Daten (DLP)
Ein weiterer wesentlicher Sicherheitsaspekt ist der Schutz vor Datenmissbrauch. Ins-
besondere die unautorisierte, aber auch die unabsichtliche Weitergabe von Daten stellt
eine große Gefahr dar.
Diesen Gefahren kann durch den Einsatz von sog. Data Leakage Prevention Lösungen
(abgekürzt DLP) vorgebeugt werden. DLP analysiert die Verwendung von Daten und
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
IT-Sicherheit beim Einsatz von Mobile Devices 21
prüft die Zulässigkeit einer Daten-Operation gegen ein Regelwerk, das zentral verwal-
tet und verteilt wird.
Da Mailverkehr erheblichen Datentransfer bewirken kann, muss sichergestellt sein,
dass (für den dienstlichen Bereich) nur die dienstlich freigegebene Mail-Applikation
benützt werden kann. Bei Apple Endgeräten kann darüber hinaus verhindert werden,
dass alternative Mail-Applikationen unterstützt werden. Somit ist sichergestellt, dass
sämtlicher Mailversand durch zentrale DLP Mechanismen analysiert wird und sensible
Daten nicht ungewollt versandt werden können.
6.4.4 Verschlüsselung von Daten innerhalb von cloudbasierten Diensten
Sofern „Cloud-Storage“ verwendet wird, muss durch geeignete Mechanismen sicher-
gestellt werden, dass die betreffenden Daten nur verschlüsselt in die Cloud gelangen.
Weiterhin empfiehlt es sich aus vielen Gründen, darauf zu achten, dass die eigenen
Daten bei Clouddiensten nur verschlüsselt vorliegen und entsprechend sichere
Passcodes etabliert sind.
6.4.5 Bereitstellung einer dedizierten Arbeitsumgebung für den dienstlichen
Gebrauch (Container)
Je nach MDM-Lösung müssen zur Einhaltung der datenschutzrechtlichen Vorgaben
nach dem BDSG abgeschlossene und vom Betriebssystem getrennte Arbeitsumge-
bungen für private und geschäftliche Daten eingerichtet werden. Dies betrifft insbeson-
dere den BYOD-Fall.
Eine effektive Möglichkeit dieser Trennung ist die Kapselung von Anwendungen und
Daten in Form sicherer App-Container (Containerization). Diese Container werden au-
tomatisch erzeugt, wenn der Mitarbeiter sich mit dem Gerät das erste Mal mit der Un-
ternehmensinfrastruktur verbindet. Innerhalb der abgeschlossenen Containerstruktur
werden Daten zwischen Endgerät und Unternehmensserver ausschließlich verschlüs-
selt ausgetauscht, und es kann dank DLP darüber hinaus kontrolliert werden, welche
Daten wie verwendet werden.
In der jeweiligen Arbeitsumgebung können Unternehmensdaten sicher und geschützt
vor dem Zugriff anderer Applikationen bearbeitet werden. Kein unautorisiertes App
kann in dieser Umgebung auf Daten zugreifen.
Dank dieser effektiven Trennung von geschäftlichen Daten und privaten Daten kann
der Nutzer sein Gerät im privaten Umfeld nutzen, ohne Gefahr zu laufen, dass wichtige
Unternehmensdaten verloren gehen oder mitgelesen werden können.
Allerdings muss der Anwender ein separates Passwort zur Verwendung des Contai-
ners eingeben. Außerdem kann der Anwender eMails und deren Anhänge nicht in den
Standard-Apps oder Dateipfaden ablegen. Um diese Einschränkungen zu umgehen,
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
IT-Sicherheit beim Einsatz von Mobile Devices 22
besteht die Möglichkeit, sowohl selbstentwickelte Apps des Unternehmens oder allge-
meine Apps aus dem App-Store mit dem Container zu verbinden. Somit können Daten
aus dem Container mit diesen Apps verwendet werden, um dann wieder im Container
gespeichert zu werden.
Im Bedarfsfall kann der Container von der zentralen Administration gesperrt oder kom-
plett gelöscht werden; dies erfolgt, ohne die privaten Daten auf dem (privaten) Gerät zu
verändern.
Die Lösung eigener Arbeitsumgebungen ist insbesondere für Betriebssysteme wichtig,
die keine Vollverschlüsselung unterstützen, wie z.B. ältere Android-Versionen. In sol-
chen Fällen sollten die entsprechenden Daten durch eine eigene Verschlüsselung ge-
sichert sein.
6.4.6 Verteilung von Regelsätzen
Ein wesentlicher Vorteil von zentralen Management-Systemen ist die Möglichkeit, ge-
wünschte bzw. erforderliche Konfigurationseinstellungen in Profilen zusammenzufas-
sen und diese gezielt an mobile Endgeräte zu verteilen.
6.4.7 Überwachung des Gerätezustandes
Der Status der aktiven Einstellungen auf einem mobilen Gerät kann mit Hilfe von dedi-
zierten Apps (Agent) überprüft und kontrolliert werden. Beim Verbindungsaufbau im
Rahmen der Datensynchronisierung meldet der Agent den Status an den zwischenge-
schalteten MDM-Proxyserver. Je nach Status wird der weiterführende Zugriff erlaubt
oder verhindert. Bei Verletzung der Policy kann der Benutzer darauf hingewiesen wer-
den und gegebenenfalls Informationen erhalten, was zu tun ist. Alternativ kann das
Gerät selektiv oder vollständig gelöscht werden.
Im Zuge der selektiven Datenlöschung werden alle unternehmensrelevanten Daten
(Emails, Kontakte und Termine) sowie die dazugehörigen Konfigurationsdaten ge-
löscht.
6.4.8 Verlust von Devices
Ein wesentliches Augenmerk von zentralen Managementlösungen liegt auf der Bereit-
stellung von unterschiedlichen Maßnahmen im Falle eines Geräteverlustes. Hierbei ist
zwischen den Maßnahmen hinsichtlich der abhanden gekommenen Hardware inklusive
einer eventuell enthaltenen SIM-Karte und den Maßnahmen betreffend der auf dem
Gerät gespeicherten Daten zu unterscheiden.
Grundsätzlich besteht die Möglichkeit, die Endgeräte, dank der enthaltenen GPS-
Technologie, zu orten. Dies kann das Wiederauffinden des Geräts ermöglichen. Die
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
IT-Sicherheit beim Einsatz von Mobile Devices 23
zugehörige SIM-Karte ist aufgrund der Inventarisierung im zentralen Management ein-
deutig identifizierbar und somit umgehend im Dialog mit dem Netzbetreiber deaktivier-
bar. Dies kann weiterem Missbrauch vorbeugen.
Betreffend die Behandlung von Daten auf abhanden gekommenen Geräten sind die
privaten und die dienstlichen Daten zu unterscheiden. So ist es möglich, die Löschung
von dienstlichen Daten aus dem zentralen Management heraus zu veranlassen. Die
privaten Daten verbleiben auf dem Gerät, falls von Seiten des ursprünglichen Besitzers
keine Einwilligung zur Löschung bestehen sollte. Dies ist insbesondere dann wichtig,
wenn private Endgeräte im Unternehmen verwendet werden (BYOD).
6.4.9 Kontrolle von Roamingkosten
Der Mehrwert von mobilen Geräten liegt insbesondere darin, dass sie stets versuchen,
aktuelle Informationen bereitzustellen. Dies erfolgt einerseits durch die aktive Verbin-
dungsaufnahme von Seiten des Endgeräts auf einen Online-Service und andererseits
dadurch, dass dem Endgerät aktuelle Daten gesandt werden (sog. Push-Dienste).
Dieses Verhalten kann einen nicht unbeträchtlichen Datenstrom erzeugen. Somit ist es
erforderlich, dieses Verhalten kontrollieren und steuern zu können, insbesondere dann,
wenn der Benutzer sich nicht im eigenen Datennetz befindet und immense Roaming-
Kosten entstehen können.
Die Betriebssysteme bieten grundsätzlich die Möglichkeit, die Synchronisierung und
den damit verbundenen Datenverkehr während des „Roamings“ in fremden Netzen zu
unterbinden. Basierend auf dem Regelwerk eines zentralen Management-Systems
kann dieses Verhalten dauerhaft und unveränderbar festgelegt werden.
6.4.10 Webfiltering und Antivirus
Grundsätzlich ist das Unternehmen dafür verantwortlich, geeignete Vorkehrungen zu
treffen, dass von mobilen Geräten der Zugriff auf das Internet gesetzeskonform erfolgt.
Zumindest im dienstlich genutzten Bereich ist daher der Einsatz eines Webfilters ähn-
lich der Filterungsmechanismen, die man aus dem stationären Bereich kennt, dringend
anzuraten bzw. unumgänglich. Damit sind zwar nicht alle möglichen Problemstellen
beseitigt, eine geeignete Filterung bietet jedoch bereits einen hohen Schutz vor ver-
schiedensten Gefahren.
Es sei jedoch nochmals erwähnt und auf den rechtlichen Teil dieser Arbeit hingewie-
sen, dass die technische Filterung von Internetzugriffen nicht alle Problemstellen, z. B.
Urheberrechtsverletzungen, Minderheitenschutz o. ä., abstellen oder beherrschen
kann. Geeignete Filtermechanismen (URL-Filter) sind notwendig und sinnvoll, es müs-
sen jedoch von rechtlicher und organisatorischer Seite weitere Maßnahmen hinzu-
kommen.
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
IT-Sicherheit beim Einsatz von Mobile Devices 24
6.5 Problemstellen und Einschränkungen
6.5.1 Kein Schutz für externe Daten unter Android
Das Android Betriebssystem in Verbindung mit den zugehörigen Endgeräten ermög-
licht im Gegensatz zum Betriebssystem von Apple die Verwendung von externen Spei-
chermedien (SD-Karten). Dies birgt jedoch ein nicht geringes Risiko des Datenverlus-
tes, da für SD-Karten im Gegensatz zum internen Speicher keine Schutzmechanismen
greifen. Das von den Karten verwendete Dateisystem bietet keine Zugriffskontrolle
über Access Control-Mechanismen.
6.5.2 Apple Anwender können Profile löschen
Auf Apple Endgeräten können die von einem zentralen Management-System verteilten
Profile vom angemeldeten Benutzer gelöscht werden. Dies hängt damit zusammen,
dass Apple die mobilen Geräte vordergründig als „Personal Device“ betrachtet.
Die Löschung des Profils hebt einerseits alle Einschränkungen auf, löscht jedoch ande-
rerseits alle unternehmensrelevanten Daten auf dem Endgerät.
Es handelt sich hierbei somit weniger um ein Sicherheitsrisiko im eigentlichen Sinn,
allerdings kann die Profillöschung erhebliche organisatorische Probleme erzeugen:
Dem Anwender ist der Zugriff auf wichtige Informationen nicht mehr möglich.
6.5.3 Risiken im Management von Apps
Eine wesentliche Problemstelle ist, dass das Management von Apps nur begrenzt
möglich ist. Zudem ist in der Regel die Installation von Apps dem Benutzer nur ganz-
heitlich verbietbar. Hier kann sich Konfliktstoff von jeder Seite ergeben: Eine restriktive
„Verbotspolitik“ kann zu innerbetrieblichen Diskussionen mit unerwünschten Effekten
führen, eine Politik der Offenheit ebenso. Hinzu kommt: Je offener ein System für die
nicht oder wenig kontrollierte Installation von Apps ist, desto anfälliger ist es.
Insbesondere bei Android-Geräten ist es möglich, dass Apps aus verschiedenen, mit-
unter kaum kontrollierbaren Quellen installiert werden können. Jedes Unternehmen
muss sich bewusst sein, inwieweit solche Möglichkeiten erwünscht sind oder toleriert
werden sollen.
Grundsätzlich ist es jedoch empfehlenswert, dass hinsichtlich der Apps, die für Android
zur Verfügung stehen, dringend darauf geachtet werden sollte, dass ausschließlich
Apps aus dem Google Play- oder Hersteller-AppStore geladen werden können. Bei
anderen Apps kann es rechtliche, technische oder Sicherheitsprobleme geben. Unter
Android kann der Anwender die Installation aus nicht-Google-Quellen zulassen, was
häufig unerwünscht sein wird. Ein MDM-System kann dies verhindern.
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
IT-Sicherheit beim Einsatz von Mobile Devices 25
Generell ist nicht zu vergessen: Die Masse der unkontrolliert auf den Markt drängen-
den Apps für Android ist kaum mehr zu durchschauen; damit verbunden ergeben sich
möglicherweise erhebliche Sicherheitsprobleme.
6.6 Zusammenfassung zum technologischen Umfeld
Das Management von mobilen Geräten stellt einerseits die Technik vor viele Heraus-
forderungen. Andererseits spielen die Wünsche der anwendenden Unternehmen, aber
auch jene der individuellen Anwender eine große Rolle. Primär sollte festgelegt wer-
den, wie die Unternehmenspolitik zum Einsatz mobiler Geräte ausgestaltet ist. Dabei
muss auch geklärt sein, wie die Herausforderungen einer eventuellen BYOD-Politik
gelöst werden. Darauf aufbauend lassen sich viele Probleme anpacken.
Die großen Hersteller bieten bereits entsprechende MDM-Lösungen, die jedoch nicht
alle von den Anwendern bzw. Unternehmen gewünschten Nutzungsszenarien mit den
damit verbundenen Problemstellen ohne weiteres abdecken können. Die Problematik
des flächendeckenden Einsatzes von mobilen Geräten im Unternehmen ist relativ neu
und hat enorme Dynamik: Es entstehen schnell heterogene Landschaften an mobilen
Geräten, Anwenderwünsche spielen eine große Rolle, Fragen der Unternehmenssi-
cherheit müssen beachtet werden und natürlich sollen die Geräte möglichst sinnvoll für
den Unternehmenserfolg einsetzbar sein etc. Dies sind wichtige, aktuelle und sich
ständig wandelnde Themen.
In diesem Umfeld arbeiten alle Anbieter von entsprechenden Managementlösungen
ständig weiter. Zu berücksichtigen ist jedoch, dass die Lösungsanbieter auf die Ent-
wicklungen, die von den Geräteherstellern vorgegeben werden, angewiesen sind. Es
ist also ein ständiges Weiterentwickeln, Nachbessern und Umdenken notwendig.
IT-Verantwortliche bewegen sich damit in einem sich dynamisch ändernden Gebilde
aus Wünschen, Anforderungen, technischen Möglichkeiten und Restriktionen. So zeigt
sich das gesamte Umfeld in Bewegung: der Markt der Geräte, die Möglichkeiten ihres
Einsatzes, die damit verknüpften Unternehmenswünsche und die technischen Möglich-
keiten der Steuerung bzw. des Managements. Daraus entstehen immer wieder neue
Herausforderungen.
Die Gesamtentwicklung lässt sich jedoch nicht mehr aufhalten. Zu groß sind die Chan-
cen und Begehrlichkeiten. Was gestern noch Zukunftsmusik war, ist heute Standard.
Dem müssen alle Beteiligten, vor allem die Anbieter von entsprechenden Verwaltungs-
und Sicherheitslösungen, folgen.
Der Umgang mit mobilen Geräten und ihr sinnvoller Einsatz stellt also allen Seiten Auf-
gaben. Diese Aufgaben müssen lösbar sein, sie werden aber auch – oder insbesonde-
re! – in nächster Zeit erhebliche Aufmerksamkeit verlangen.
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
Best Practices für ein Mobile Device Management 26
7 Best Practices für ein Mobile Device Management
Was muss man beachten – kompakt erklärt!
Aus den vorstehend dargestellten rechtlichen und IT-sicherheitsrelevanten Rahmenbe-
dingungen für ein Mobile Device Management ergeben sich Regelungspunkte, die bei
der Einführung privater Endgeräte in einem Unternehmen beachtet werden sollten. Wie
immer bei Rechtsfragen und Fragen zur IT-Sicherheit gilt Folgendes: Kein Fall ist mit
dem anderen vergleichbar, so dass die juristische Einzelfallprüfung stets unerlässlich
ist. Gleichwohl lassen sich einige Best Practices für ein Mobile Device Management
empfehlen.
Nachfolgend die wichtigsten Überlegungen, die sich aus der rechtlichen und technolo-
gischen Perspektive ergeben.
Abbildung 1
Rechtliche und technologische Perspektiven
Quelle: SKW Schwarz Rechtsanwälte/Protea Networks
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
Best Practices für ein Mobile Device Management 27
Orientierungshilfe für Regelungsinhalte
Regelungsinhalt Erläuterungen
Nutzungsumfang – Mitbestimmungsrecht des Betriebsrats nach § 87 Abs. 1
Nr. 1 und Nr. 6 BetrVG
– Einschaltung des betrieblichen Datenschutzbeauftragten
– Nutzung nur durch Mitarbeiter persönlich gestattet
– ggf. Verbot der dienstlichen Nutzung bei Gefahr der
Überschreitung der Grenze der Arbeitszeit, § 3 ArbZG
– ggf. Verweis auf bestehende Überstundenregelung
Kostentragung – Vereinbarung bezüglich eines Vergütungsanspruchs
des Mitarbeiters für die Nutzung des privaten Endgeräts
– Möglicherweise Ersatzanspruch des Mitarbeiters für die
bei der dienstlichen Nutzung seines Endgeräts entstan-
denen Kosten nach §§ 675, 670 BGB
– Entscheidung: Einzelnachweis der dem Mitarbeiter ent-
standenen Kosten versus Pauschalisierung
– BYOD abhängig machen vor Abschluss einer Telefon-
/Internet-Flatrate
Technische-
organisatorische Absi-
cherung/IT-
Sicherheitsvorkehrungen
– Aktivierung der Geräte-eigenen Sicherheitssysteme
nach Unternehmensvorgaben
– Etablierung von Passwortschutz als Grundlage
– Verwaltung der Geräte mittels eines MDM-Systems
– Technische Trennung von privaten und dienstlichen
Daten
– Regelung der Verwendung (bzw. Verbot) von externen
Speicherkarten
– Benachrichtigungspflicht des Mitarbeiters bei Verlust,
Diebstahl etc. des Endgeräts
– Unterrichtungspflicht des Mitarbeiters bei technischen
Störungen des Endgeräts
– Verpflichtung des Mitarbeiters, Konfigurationsvorgaben
des Unternehmens einzuhalten
– Verbot der dienstlichen Nutzung von Cloud-Diensten,
der Installation sogenannter „Schnüffel-Software“, vom
Unternehmen nicht autorisierter Programme
– Regelung hinsichtlich des Umgangs mit Apps; ggfls.
Black-List kritischer Apps
– Installation von Sicherheitssoftware, insbesondere für
bestimmte Situationen
– Möglichkeit der Fernlöschung dienstlicher Daten durch
das Unternehmen (ebenso bei vielen fehlerhaften An-
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
Best Practices für ein Mobile Device Management 28
meldeversuchen)
– Verpflichtung auf regelmäßige Datensicherung
– Laufende Überwachung des Gerätezustands durch
MDM-Lösung
– Maßnahmen zur Vermeidung von unerwünschten Zu-
griffen festlegen (Access-Controls)
– Zentrale Administration von Software, die sicherstellt,
dass Anwendungen der Mitarbeiter aktuell sind, aber
kein manueller Eingriff im System des Mitarbeiters vor-
genommen werden muss
– Weitere Sicherheitsmechanismen festlegen, wie Data-
Loss-Prevention, verschlüsselte Kommunikation
– Verweis auf ggf. bereits bestehende IT-Richtlinie des
Unternehmens
– Hinweis auf Sorgfalt hinsichtlich evtl. möglicher Profillö-
schung
Beachtung datenschutz-
rechtlicher Bestimmun-
gen
– Unternehmen muss die Einwilligung zur Datenspeiche-
rung und Programminstallation beim Mitarbeiter einho-
len, da der Mitarbeiter Eigentümer und Besitzer des
Endgeräts bleibt
– Nur bei Trennung der dienstlichen und privaten Daten
ist das Lesen von Daten auf dem privaten Endgerät des
Mitarbeiters nach § 32 Abs. 1 BDSG gestattet
– Bei fehlender Trennung drohen gegebenenfalls bei Lö-
schung oder Änderung von privaten Daten eine Straf-
barkeit des Unternehmens nach § 303a StGB, Bußgel-
der der Aufsichtsbehörden sowie gegebenenfalls Scha-
densersatzansprüche des Mitarbeiters
– Alleinige Nutzung des Endgeräts durch den Mitarbeiter;
kein Zugriff und keine Nutzung des Endgeräts durch
Dritte einschließlich Familienangehörigen
– Im Falle einer erlaubten Mitnutzung ist Ausschluss des
Zugriffs durch Dritte auf geschäftliche Daten sicherzu-
stellen (z. B. Einrichtung von Passwörtern und Benut-
zer-Accounts etc.)
– Bei unternehmensinternen oder behördlichen Ermittlun-
gen zur Compliance ist Herausgabe des Endgeräts an
das Unternehmen zu vereinbaren sowie angemessene
Gegenleistungen des Mitarbeiters (z. B. in Form eines
gleichartigen Endgeräts)
Lizenzrechtliche und
steuerrechtliche Auswir-
kungen von BYOD
– Lizenzrechtliche Lage prüfen, Lizenzvereinbarungen
müssen beachtet werden
– Steuerliche Auswirkungen prüfen
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
Best Practices für ein Mobile Device Management 29
Arbeitsrechtliche Auswir-
kungen von BYOD
– Notwendigkeit einer Betriebsvereinbarung oder Ergän-
zung zum Arbeitsvertrag
– Weisungs- und Kontrollrechte des Unternehmens fest-
legen
– Vereinbarung über die Nutzung und Wartung des priva-
ten Endgeräts
– Vereinbarung über gesetzliche Aufbewahrungspflichten
von Daten auf dem Endgerät
– Regelmäßige interne Mitarbeiterschulungen zum Thema
BYOD
Ende der BYOD-Nutzung – Widerrufsvorbehalt, Kündigungsrecht oder Befristungs-
regelung, um BYOD-Nutzung zu beenden
– Vereinbarung zur Herausgabe der dienstlich erlangten
Daten durch Mitarbeiter
– Löschung der Daten auf den privaten Endgerät des Mit-
arbeiters manuell oder per Remote-Zugriff ermöglichen
Die vorstehenden Handlungsempfehlungen können nur eine erste Orientierungshilfe
bieten. Daneben sind viele weitere Aspekte für ein Mobile Device Management zu be-
achten und die Änderung eines Parameters kann Auswirkungen auf alle anderen ha-
ben. Der Datenschutzbeauftragte eines Unternehmens ist daher zusammen mit dem
IT-Verantwortlichen frühzeitig in die Planungen und Überlegungen für ein Mobile De-
vice Management einzubeziehen. Jedes technische Konzept für ein Mobile Device
Management muss sich dabei an den konkreten juristischen Fragestellungen orientie-
ren.
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
Fazit zur Nutzung privater IT für dienstliche
Zwecke 30
8 Fazit zur Nutzung privater IT für dienstliche Zwecke
Klare Regelungen sind notwendig
Die betriebliche Nutzung privater Endgeräte bringt eine Reihe von Problemen mit sich,
die unbedingt entsprechenden Regelung und Maßnahmen bedürfen. Bei der Entschei-
dung darüber, ob private mobile Endgeräte von Mitarbeitern im Unternehmen genutzt
werden dürfen, sollte daher im Vorfeld eine sorgfältige Abwägung der in diesem Zu-
sammenhang für das Unternehmen entstehenden Vor- und Nachteile gegeneinander
stattfinden. Im Rahmen dieser Abwägung sollte auch bereits über mögliche Alternati-
ven nachgedacht werden. Denkbar ist zum Beispiel, die Endgeräte doch betrieblich
anzuschaffen, jedoch den Mitarbeiter in die Auswahl des von ihm genutzten Endgerä-
tes einzubeziehen.
Sofern der Einsatz privater Endgeräte zur betrieblichen Nutzung gleichwohl gestattet
werden soll, müssen im Vorfeld zwischen Arbeitgeber und Arbeitnehmer verschiedene
vertragliche Regelungen getroffen werden (Nutzungsbedingungen). Ferner bedarf die
Einführung von Bring Your Own Device im Regelfall der vorherigen Einbindung des
Betriebsrates, da davon auszugehen ist, dass das Ordnungsverhalten des Mitarbeiters
tangiert wird und eine Überwachung des Mitarbeiters zumindest möglich ist. Gleichzei-
tig bietet eine Betriebsvereinbarung aber auch die Chance, das mühsame Verhandeln
individueller Nutzungsbedingungen mit jedem einzelnen Mitarbeiter zu vermeiden.
Darüber hinaus sind besondere organisatorische sowie technische Vorkehrungen und
entsprechende IT-Sicherheitsmaßnahmen zu treffen, um das Risiko einer ungewollten
Verwendung von Geschäftsdaten so weit wie möglich zu minimieren und die Einhal-
tung der datenschutzrechtlichen Bestimmungen sicherzustellen. Hierdurch steigt aber
auch der erforderliche Betriebsaufwand.
Um die im Vorfeld umzusetzenden Vorkehrungen und Regelungen zu verankern sowie
die Bereitstellung einer geeigneten Infrastruktur sicherzustellen, sollte ausreichend Zeit
für die Einführung von Bring Your Own Device eingeplant werden.
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
Partner-Portraits 31
9 Partner-Portraits
Die Partner des Leitfadens“ Mobile Device Management“
9.1 bayme vbm
Die bayerischen Metall- und Elektro-Arbeitgeber bayme vbm sind die Arbeitgeberver-
bände der Metall- und Elektroindustrie in Bayern.
Ziel unseres Handelns ist der wirtschaftliche Erfolg unserer Mitgliedsunternehmen. Wir
vertreten die gemeinsamen wirtschaftlichen, sozialen und politischen Interessen von
über 2.200 Mitgliedsbetrieben und gestalten die ökonomischen und gesellschaftspoliti-
schen Rahmenbedingungen aktiv mit.
Mit unseren Services unterstützen wir Sie, Ihre Wettbewerbsfähigkeit zu erhalten und
auszubauen – in Bayern, Deutschland, Europa und weltweit.
9.2 SKW Schwarz Rechtsanwälte
SKW Schwarz Rechtsanwälte ist eine unabhängige deutsche Anwaltskanzlei mit über
100 Anwälten und ist mit ihren Standorten in Berlin, Düsseldorf, Frankfurt/Main, Ham-
burg und München an allen wichtigen Wirtschaftsstandorten vertreten. Im Bereich IT-
Recht und Datenschutzrecht gehört SKW Schwarz Rechtsanwälte zu den führenden
Rechtsanwaltskanzleien und wurde von dem Branchendienst JUVE jüngst als Kanzlei
des Jahres für IT-Recht 2011 ausgezeichnet.
SKW Schwarz verbindet auf diesem Sektor juristische Expertise mit vertiefter Bran-
chenkenntnis und technischem Verständnis. Darüber hinaus wirken Anwälte von SKW
Schwarz im Rahmen der Ausbildung zum Fachanwalt für IT-Recht mit und engagieren
sich im Brachenverband BITKOM e.V., dort in hervorgehobenen Positionen.
9.3 Protea Networks GmbH
Protea Networks (Sitz Unterhaching bei München) ist spezialisiert auf IT-Security-
Lösungen: Verschlüsselung, Zugangskontrolle, Konfigurationsschutz, Firewall/VPN,
Web-Application-Firewall, Content-Security, Mehr-Faktor-Authentifizierung, E-Mail-
Sicherheit und E-Mail Archivierung, Datenschutz, spezielle Hardware-
Sicherheitsmodule etc. Hinzu kommen Lösungen im Bereich Mitarbeitersensibilisierung
und ein breites Portfolio, um Applikationen sicherer, schneller und verfügbarer zu ma-
chen. Protea setzt auf Lösungen der Markt- und Technologieführer und ist u.a. Partner
von Sophos, Barracuda, McAfee, Trend Micro, RSA, F5, Cisco, SafeNet, ESec, Artec,
Ipswitch, Riverbed, BlueCoat, Forescout.
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
Partner-Portraits 32
Protea hält übergreifenden Inhouse-Support bereit: Supportfälle, die mehrere Hersteller
betreffen, werden direkt von Protea aus einer Hand supportet. Das umfassende Ange-
bot an Dienstleistungen beinhaltet u.a. Consulting, Konzeption, Installation, Integration,
Schulungen, Projektmanagement und Lizenzmanagement. Ebenso Spezial-
Dienstleistungen wie Datenrettung im Bereich Verschlüsselung. Protea besitzt aussa-
gekräftige Referenzen und stellt gerne entsprechende Kontakte her.
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
Die Autoren 33
Die Autoren
Kristina Fink
Syndika Grundsatzabteilung Recht
bayme vbm
Dr. Oliver Hornung
Partner
SKW Schwarz Rechtsanwälte
Dr. Wulf Kamlah
Of Counsel
SKW Schwarz Rechtsanwälte
Dr. Michael Kollmannsberger
Geschäftsführer
Protea Networks GmbH
Michael Seele
Geschäftsführer
Protea Networks GmbH
Leitfaden – Mobile Device Management
bayme vbm – Dezember 2012
Ansprechpartner / Impressum 34
Ansprechpartner
Josef Stakemeier
Leiter Strategischer Vertrieb
Telefon 089-551 78-132
Telefax 089-551 78-91 132
Impressum
Alle Angaben dieser Publikation beziehen sich grundsätzlich sowohl
auf die weibliche als auch auf die männliche Form. Zur besseren
Lesbarkeit wurde meist auf die zusätzliche Bezeichnung in weiblicher
Form verzichtet.
Herausgeber:
bayme
Bayerischer Unternehmens-
verband Metall und Elektro e. V.
vbm
Verband der Bayerischen Metall-
und Elektro-Industrie e. V.
Max-Joseph-Straße 5
80333 München
www.baymevbm.de
© bayme vbm Dezember 2012