Wechsel der VPN-Einwahl für Mobiles Arbeiten

  • Für viele Mitarbeiter am Standort bieten wir aktuell Mobiles Arbeiten an. Die BV ist recht minimal gehalten und beschreibt keinen konkreten technischen Weg der Nutzung, nur Allgemeinplätze wie "technische Voraussetzungen müssen geben sein" - also Internet schnell und zuverlässig genug.


    Seit Bestehen der BV ist die Einwahllösung ist über Smartcard und PIN. Die Mitarbeiter sind mit dienstlichen Laptops ausgestattet, die über einen entsprechenden Reader verfügen. Jetzt wird eine Lösung von Microsoft ausgerollt, welche die Smartcard über kurz über lang ablösen wird. Dazu werden die Mitarbeiter ohne Diensthandy allerdings eine Authenticator-App von Microsoft auf ihrem privaten Smartphone installieren müssen.


    Persönlich ist mir jede Plastikkarte weniger sehr lieb, es gibt aber auch Stimmen aus der Belegschaft, welche die Smartphone-Bindung ablehnen und sich deswegen an uns wenden. Seht ihr hier eine Grundlage irgendwie aktiv zu werden?

    Fallere me possum solus - wie wir Lateiner sagen. 3er Betriebsrat, BRV, kein Tarif.

    Einmal editiert, zuletzt von HankHardware ()

  • Moin,


    die Mitbestimmung des BR ergibt sich primär aus §87 (1) 6. ... die berühmten technischen Einrichtungen, die geeignet sind, die Leistung und das Verhalten der Mitarbeiter zu überwachen.


    Ganz oberflächlich gesprochen sehe ich daneben erst einmal eine Verquickung von Privatem und Beruflichem. Kein Mitarbeiter kann "gezwungen" werden, private Ressourcen wie ein privates Handy für dienstliche Zwecke zur Verfügung zu stellen.


    Wenn der AG eine 2-Faktor Authentifizierung für die VPN-Zugänge einführen will muss er auch die dafür notwendigen Ressurcen stellen. Im Zweifelsfalle dann sogar ein dienstliches Handy.


    Man könnte auf technischer Ebene darüber nachdenken, ob es nicht z.B. auch ein FIDO2-Key oder etwas ähnliches tut. Das wäre sicherlich serh viel günstiger, und es ist genauso sicher.

  • Seht ihr hier eine Grundlage irgendwie aktiv zu werden?

    Ja, private Hardware muss nicht dem AG zur Verfügung gestellt werden.


    Das Landesarbeitsgericht (LAG) Berlin-Brandenburg hat in einem Urteil vom 16.05.2018 (Az. 17 Sa 2200/17) entschieden, dass ein Arbeitnehmer nicht verpflichtet ist, sein privates Mobiltelefon für dienstliche Zwecke zu nutzen.


    --> der AG muss sich also mit dem AN einigen oder ein Dienst-Smartphone zur Verfügung stellen wenn denn die Erreichbarkeit per Smartphone zu den Pflichten des AN gehören sollte


    ich vergass: oder eben nicht mobil arbeiten ;)

    Die Scheu vor der Verantwortung ist eine Krankheit unserer Zeit, denn Macht ohne Verantwortung ist wie ein Feuer außer Kontrolle.


    3 Mal editiert, zuletzt von Randolf ()

  • private Hardware kann der AG nicht verpflichtend zur Nutzung vorgeben, bei uns haben alle einen sogenannte Yubikey, dann benötigt man die App nicht.

    Nicht die Dinge sind positiv oder negativ, sondern unsere Einstellung macht sie so. (Epiktet, gr. Philosoph)

  • Danke schonmal für euren Input.

    Habe mich kurzgeschlossen mit den Ansprechpartnern und zumindest mal rausgefunden, dass es wohl jede Authenticator-App tut und der Microsoft Authenticator nur die empfohlene und unterstützte Standard-App ist.



    ich vergass: oder eben nicht mobil arbeiten

    Das ist so der Punkt. Im Endeffekt heißt es, wer keinen Authenticator nutzen will, kann halt Mobiles Arbeiten nicht nutzen.

    Fallere me possum solus - wie wir Lateiner sagen. 3er Betriebsrat, BRV, kein Tarif.

  • Im Endeffekt heißt es, wer keinen Authenticator nutzen will, kann halt Mobiles Arbeiten nicht nutzen.

    da seid ihr aber in der MB, wenn dann müsste der AG das mobile Arbeiten für alle untersagen.


    wir fahren mit dem Yubikey ganz gut, viele haben aber tatsächlich die App von MS auf ihr privates Handy geladen.

    Nicht die Dinge sind positiv oder negativ, sondern unsere Einstellung macht sie so. (Epiktet, gr. Philosoph)

  • Das Landesarbeitsgericht (LAG) Berlin-Brandenburg hat in einem Urteil vom 16.05.2018 (Az. 17 Sa 2200/17) entschieden, dass ein Arbeitnehmer nicht verpflichtet ist, sein privates Mobiltelefon für dienstliche Zwecke zu nutzen.

    So sieht es aus, aber "nicht verpflichtet" heißt nicht "darf nicht". Entsprechend darf der AG natürlich versuchen zu "motivieren", als versuchen die MA dazu zu bringen das freiwillig zu tun. - Da sollte der BR dann darauf achten, dass diese "Motivation" nicht allzu "einseitig" ausfällt. Also nicht: "Inschdallier des Ding oder Du kommsch halt immer ins Büro und nix isch mit mobil". - Ein Bekannter von mir z.B. bekommt jeden Monat 25,- € zusätzlich zum Gehalt von seinem AG für die "dienstliche Nutzung privater Kommunikationstechnik". Da war der Gedanke des AG, dass er nicht hunderte Dienst-Handys beschaffen, betreiben und unterhalten will und sich stattdessen quasi einen Platz auf den Privathandys seiner MA "mietet" (aber natürlich auch freiwillig).

    Das sehe ich dann durchaus als annehmbare und attraktive "Wahlmöglichkeit", nämlich wenn ich mobil arbeiten will "vermiete ich dem AG ein bisschen von meinem Handy für seine App" und kriege noch was dafür, oder ich fahre halt ins Büro zum Arbeiten.

    ...dem AG gegenüber erklärt man natürlich (anhand dem von Randolf zitierten Urteil), dass er die dienstliche App auf dem privaten Handy nicht verlangen darf und allen Diensthandys stellen muss. ...und dann rechnet man ihm vor, was er sparen kann, wenn er stattdessen seinen MA eine Pauschale für die dienstliche Nutzung ihrer privaten Handys zahlt.

    Das ist so der Punkt. Im Endeffekt heißt es, wer keinen Authenticator nutzen will, kann halt Mobiles Arbeiten nicht nutzen.

    Das ist ein ganz typisches AG-Argument, dass man sich nicht zu eigen machen sollte. Vor allem weil das nur dann stimmt, wenn der BR das auch so sieht!

    Zitat

    Der Betriebsrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in folgenden Angelegenheiten mitzubestimmen:

    (...)
    14.Ausgestaltung von mobiler Arbeit, die mittels Informations- und Kommunikationstechnik erbracht wird.

    D.h. ob ein Authenticator genutzt wird, wie er genutzt wird oder welcher genutzt wird, unterliegt der zwingenden Mitbestimmung des BR. (Natürlich kann der BR keinen "unsicheren Zugang" für die MA verlangen, aber ob weiterhin die Karte genutzt wird wie bisher, oder diese App, das ist mitbestimmungspflichtig).

    Seht ihr hier eine Grundlage irgendwie aktiv zu werden?

    Ja, ich würde den AG zu Verhandlungen darüber auffordern, ob er allen MA ein Diensthandy stellt, oder eine pauschale Vergütung für die freiwillige, dienstliche Nutzung privater Kommunikationstechnik anbieten möchte, oder doch lieber einfach beim bisherigen System bleiben will.

    „Schreibe nicht der Böswilligkeit zu, was durch Dummheit hinreichend erklärbar ist“

    Hanlons Rasiermesser

  • So sieht es aus, aber "nicht verpflichtet" heißt nicht "darf nicht".

    deshalb schreibte ich

    --> der AG muss sich also mit dem AN einigen oder ein Dienst-Smartphone zur Verfügung stellen


    Das ist so der Punkt. Im Endeffekt heißt es, wer keinen Authenticator nutzen will, kann halt Mobiles Arbeiten nicht nutzen.

    wir sind ein freies Land, da kann jeder AN frei entscheiden ob er sich zu irgendetwas verpflichtet oder nicht.


    --> man kann sich auch ein billiges Zweit-Smartphone (die meisten werden noch eins rumliegen haben) besorgen und ein privates Dienst-Smartphone davon machen. So würde ich es machen, wenn ich unbedingt mobil Arbeiten möchte und der AG kein dienstliches Smartphone zur Verfügung stellt.

    Die Scheu vor der Verantwortung ist eine Krankheit unserer Zeit, denn Macht ohne Verantwortung ist wie ein Feuer außer Kontrolle.


    Einmal editiert, zuletzt von Randolf () aus folgendem Grund: Ein Beitrag von Randolf mit diesem Beitrag zusammengefügt.

  • D.h. ob ein Authenticator genutzt wird, wie er genutzt wird oder welcher genutzt wird, unterliegt der zwingenden Mitbestimmung des BR. (Natürlich kann der BR keinen "unsicheren Zugang" für die MA verlangen, aber ob weiterhin die Karte genutzt wird wie bisher, oder diese App, das ist mitbestimmungspflichtig).

    Ah, wichtiger Punkt - Danke!

    Fallere me possum solus - wie wir Lateiner sagen. 3er Betriebsrat, BRV, kein Tarif.

  • Ah, wichtiger Punkt - Danke!

    Gerne. Die Nr. 14 im Abs. 1 des § 87 ist ja auch noch recht neu :D

    ...aber ich würde da auch nicht "zu hoch pokern", denn die Mitbestimmung bezieht sich auf die Ausgestaltung der mobilen Arbeit und das beinhaltet keineswegs einen Anspruch auf mobile Arbeit. - Soll heißen wenn dem AG der Kragen platzt und er entscheidet, ab sofort gibt es in diesem Betrieb keinerlei mobile Arbeit mehr, dann gibt es auch nichts mehr auszugestalten und entsprechend nichts mitzubestimmen.

    „Schreibe nicht der Böswilligkeit zu, was durch Dummheit hinreichend erklärbar ist“

    Hanlons Rasiermesser

  • Soll heißen wenn dem AG der Kragen platzt und er entscheidet, ab sofort gibt es in diesem Betrieb keinerlei mobile Arbeit mehr, dann gibt es auch nichts mehr auszugestalten und entsprechend nichts mitzubestimmen.

    Haha, das wird es nicht geben. Das ist ein konzernweites Feature, habe mich nur gewundert weil ich mich im zuständigen Ausschuss des GBR wähnte. Ich frage einfach wer da mitbestimmt hat,

    Fallere me possum solus - wie wir Lateiner sagen. 3er Betriebsrat, BRV, kein Tarif.

  • ganz ehrlich - jeder hat so ein verkacktes Smartphone, was spricht denn da bitte dagegen einen Authenticator zu installieren, der erzeugt doch nur nen OTP Key, geht genauso mit jedem Tablet oder eben Yubi-Key oder auch anderen Einmap-PW Generatoren.

    Wenn ich mobil arbeiten will muss ich ein kleines Stück privater Hardware nutzen na und? Nix kann da überwacht werden, der erzeugt doch nur den Key! Ja ist privat und muss nicht aber als Alternative fahre ich dann ins Büro - nebenbei auch mit nem privaten KFZ

  • Wenn ich mobil arbeiten will muss ich ein kleines Stück privater Hardware nutzen na und?

    Wenn mein privates HAndy defekt ist wird das konkret zu einem dienstlichen Nachteil. Der AG möchte, dass mobil gearbeitet wird, dann muss er auch für die entsprechende Ausstattung sorgen. Ich halte deinen Beitrag für wenig hilfreich.


    Wenn der AG nicht bereit ist, mobiles Arbeiten für alle zu beenden, dann wird er sich der Mitbestimmung beugen müssen. Die hat zwar nicht immer (das wirkt hier leider oft so) zum Ergebnis, dass der BR bekommt, was er will. Aber im Zweifelsfall muss man nur einen Einigungsstellenvorsitzenden überzeugen.

    Es gibt reichlich Möglichkeiten und der AG kann daraus wählen - sogar eine Mischung aus allem: App auf dem Diensthandy, Entschädigung für die Nutzung des privaten Handys und, wenn man denn garnicht will, einen Hardware-Sicherheitsschlüssel.

  • Wenn ich mobil arbeiten will muss ich ein kleines Stück privater Hardware nutzen na und?

    Wow. Das ist ja ein sehr sinnvoller Beitrag zu einer bislang guten arbeits- (keine Verpflichtung zur Nutzung von Privateigentum für die Arbeit) und betriebsverfasssungsrechtlichen (Mitbestimmung) Diskussion.


    Nicht.

    "Wenn Arbeit etwas schönes und erfreuliches wäre, hätten die Reichen sie nicht den Armen überlassen." (Paul Lafargue)

  • Wenn ich mobil arbeiten will muss ich ein kleines Stück privater Hardware nutzen na und? Nix kann da überwacht werden, der erzeugt doch nur den Key! Ja ist privat und muss nicht aber als Alternative fahre ich dann ins Büro - nebenbei auch mit nem privaten KFZ

    Das ist eine persönliche Meinung, die legitim ist und die ich privat auch teile.

    Wenn mich Kollegen ansprechen, sage ich allerdings nicht "kack dich mal nicht ein" sondern prüfe zumindest, ob da Spielraum ist.

    Fallere me possum solus - wie wir Lateiner sagen. 3er Betriebsrat, BRV, kein Tarif.

  • ganz ehrlich - jeder hat so ein verkacktes Smartphone, was spricht denn da bitte dagegen einen Authenticator zu installieren, der erzeugt doch nur nen OTP Key, geht genauso mit jedem Tablet oder eben Yubi-Key oder auch anderen Einmap-PW Generatoren.

    weil es mein privates Smartphone ist und ich das nicht will

    Ja ist privat und muss nicht aber als Alternative fahre ich dann ins Büro - nebenbei auch mit nem privaten KFZ

    schönes Beispiel, nur passt nicht:

    der Weg zur Arbeit ist Privatsache, im Auto sitze ich privat, mit dem Auto verrichte ich keine dienstliche Tätigkeit.

    --> da ist nichts dienstliches was mein privates Auto belastet

    Die Scheu vor der Verantwortung ist eine Krankheit unserer Zeit, denn Macht ohne Verantwortung ist wie ein Feuer außer Kontrolle.


  • ganz ehrlich - jeder hat so ein verkacktes Smartphone, was spricht denn da bitte dagegen einen Authenticator zu installieren, der erzeugt doch nur nen OTP Key, geht genauso mit jedem Tablet oder eben Yubi-Key oder auch anderen Einmap-PW Generatoren.

    Wenn ich mobil arbeiten will muss ich ein kleines Stück privater Hardware nutzen na und? Nix kann da überwacht werden, der erzeugt doch nur den Key! Ja ist privat und muss nicht aber als Alternative fahre ich dann ins Büro - nebenbei auch mit nem privaten KFZ

    Diese Einstellung kann man durchaus haben, von meiner "privaten" Meinung ist das auch nicht sehr weit entfernt.

    Aber für einen BR ist sie unangebracht, weil sie schlicht rechtswidrig ist (das Urteil wurde zitiert) und für einen BR, der "nicht mehr ganz neu" ist und erfahren im Verhandeln, ist sie schlichtweg dumm, weil man eine sehr schöne Gelegenheit auslässt.

    Ich zitiere mich da mal selbst...

    Ein Bekannter von mir z.B. bekommt jeden Monat 25,- € zusätzlich zum Gehalt von seinem AG für die "dienstliche Nutzung privater Kommunikationstechnik". Da war der Gedanke des AG, dass er nicht hunderte Dienst-Handys beschaffen, betreiben und unterhalten will und sich stattdessen quasi einen Platz auf den Privathandys seiner MA "mietet" (aber natürlich auch freiwillig).

    Das sehe ich dann durchaus als annehmbare und attraktive "Wahlmöglichkeit", nämlich wenn ich mobil arbeiten will "vermiete ich dem AG ein bisschen von meinem Handy für seine App" und kriege noch was dafür, oder ich fahre halt ins Büro zum Arbeiten.

    ...dem AG gegenüber erklärt man natürlich (anhand dem von Randolf zitierten Urteil), dass er die dienstliche App auf dem privaten Handy nicht verlangen darf und allen Diensthandys stellen muss. ...und dann rechnet man ihm vor, was er sparen kann, wenn er stattdessen seinen MA eine Pauschale für die dienstliche Nutzung ihrer privaten Handys zahlt.

    Der AG will etwas - die für ihn kostengünstige Lösung mit der App auf dem privaten Handy - Der BR hat eine eindeutige Rechtslage in der Hand, mir der er dem AG problemlos verweigern kann, was der gerne will. - Wenn ich da nicht versuche zu verhandeln und für die MA was rauszuholen, so dass es für den AG nicht mehr ganz so kostengünstig ist, aber noch gut genug und die MA auch was davon haben, dann lasse ich eine gute und realistische Chance sausen, für die MA was zu erreichen.

    nicht_mehr_ganz_neu würdest Du anschließend in einer Betriebsversammlung Deinen Kollegen lieber verkünden:

    "Ab sofort müsst Ihr die App auf Eurem Handy haben, oder Ihr müsst ins Büro kommen, wir als BR haben da mitzubestimmen und tragen das so mit"

    oder

    "Ab sofort müsst Ihr die App auf Eurem Handy haben, oder Ihr müsst ins Büro kommen, aber wir haben mit dem AG verhandelt, dass er Euch dann monatlich Betrag X dafür vergütet, dass Ihr Euer privates Handy für dienstliche Zwecke einsetzt".

    ?

    „Schreibe nicht der Böswilligkeit zu, was durch Dummheit hinreichend erklärbar ist“

    Hanlons Rasiermesser

  • Das ist eine persönliche Meinung, die legitim ist und die ich privat auch teile.

    Sorry, Deine persönliche Meinung ist als BRM irrelevant, wenn sie Recht und Gesetz widerspricht.

    "Wenn Arbeit etwas schönes und erfreuliches wäre, hätten die Reichen sie nicht den Armen überlassen." (Paul Lafargue)