Frage zum Apple Account
Moin,
einer unserer Mitarbeiter bekommt ein Macbook. Er möchte jetzt unbedingt, dass wir ihm das Gerät unkonfiguriert übergeben, was meinem Sicherheits- und auch Logikverständnis komplett widerspricht.
Als Minimalmaßnahme soll das neue Macbook zumindest einen Sophos XDR-Client erhalten.
Frage als Nicht-Apple-User: Der Kollege hat bereits andere Macs im Besitz, die nicht über uns beschafft wurden. Logischerweise hat er auch einen Apple Account. Wenn er das neue Macbook jetzt mit seinem eigenen Account verknüpft, ist das Gerät für uns quasi weg und unbrauchbar, richtig?
Mein Plan wäre, dass er sich über unsere Domain einen neuen Account anlegt, so dass mit seinem Ausscheiden sichergestellt ist, dass er das Macbook nicht einfach behält und weiterverwendet, zumindest ohne unsere Zustimmung. Dass die rechtliche Situation hier eigentlich klar ist, ist mir bewusst...
Wie würdet Ihr das handhaben?
Gruß
einer unserer Mitarbeiter bekommt ein Macbook. Er möchte jetzt unbedingt, dass wir ihm das Gerät unkonfiguriert übergeben, was meinem Sicherheits- und auch Logikverständnis komplett widerspricht.
Als Minimalmaßnahme soll das neue Macbook zumindest einen Sophos XDR-Client erhalten.
Frage als Nicht-Apple-User: Der Kollege hat bereits andere Macs im Besitz, die nicht über uns beschafft wurden. Logischerweise hat er auch einen Apple Account. Wenn er das neue Macbook jetzt mit seinem eigenen Account verknüpft, ist das Gerät für uns quasi weg und unbrauchbar, richtig?
Mein Plan wäre, dass er sich über unsere Domain einen neuen Account anlegt, so dass mit seinem Ausscheiden sichergestellt ist, dass er das Macbook nicht einfach behält und weiterverwendet, zumindest ohne unsere Zustimmung. Dass die rechtliche Situation hier eigentlich klar ist, ist mir bewusst...
Wie würdet Ihr das handhaben?
Gruß
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672961
Url: https://administrator.de/forum/frage-zum-apple-account-672961.html
Ausgedruckt am: 21.05.2025 um 22:05 Uhr
18 Kommentare
Neuester Kommentar
Hallo,
eigener Firmen Apple Account alles andere macht keinen Sinn.
Einbindung in ein MDM wenn möglich, wäre noch zum überlegen, aber wenn man auf den AppleAccount Zugriff hat, kann man zur not aus der ferne eine Löschung anstoßen.
grüße
eigener Firmen Apple Account alles andere macht keinen Sinn.
Einbindung in ein MDM wenn möglich, wäre noch zum überlegen, aber wenn man auf den AppleAccount Zugriff hat, kann man zur not aus der ferne eine Löschung anstoßen.
grüße
1
Tach,
Einzig richtiger und gangbarer Weg als Admin:
Firmenaccount, MDM und Du steuerst das Ding, inkl. DEINER (Firmen)AppleID.
Gruß
Edit:
ist das Gerät für uns quasi weg und unbrauchbar, richtig?
yes. Und auch nur dieser Account kann das Gerät dann freigeben. Zugegeben: da macht Apple keine halbe Sachen (was ich absolut befürworte, Diebstahl ineffizient zu gestalten).Einzig richtiger und gangbarer Weg als Admin:
Firmenaccount, MDM und Du steuerst das Ding, inkl. DEINER (Firmen)AppleID.
unkonfiguriert übergeben
No fckn way.Gruß
Edit:
Kann nicht wirklich sein, dass der MA da Vorgaben macht.
Sehe ich exakt auch so. Er hat da einfach mal gar nichts zu melden.1
Moin,
Klar, ist ja auch sein privates MacBook xD ... NICHT
Normalerweise braucht ihr als Unternehmen da eine Compliance, wie ihr Apple-Geräte handhabt. Kann nicht wirklich sein, dass der MA da Vorgaben macht.
Wierder Kommentar. Das Macbook gehört in ein MDM, in welchem entweder gesperrt wird, dass man überhaupt eine AppleID eintragen kann, oder es gibt individuelle Firmen-Apple IDs
einer unserer Mitarbeiter bekommt ein Macbook. Er möchte jetzt unbedingt, dass wir ihm das Gerät unkonfiguriert übergeben
Klar, ist ja auch sein privates MacBook xD ... NICHT
Normalerweise braucht ihr als Unternehmen da eine Compliance, wie ihr Apple-Geräte handhabt. Kann nicht wirklich sein, dass der MA da Vorgaben macht.
Wierder Kommentar. Das Macbook gehört in ein MDM, in welchem entweder gesperrt wird, dass man überhaupt eine AppleID eintragen kann, oder es gibt individuelle Firmen-Apple IDs
1
@Coreknabe
Grundsätzlich haben wir uns die Herausgabe von Mobilgeräten an Mitarbeiter/innen schriftlich mit Seriennummer quittieren lassen, und diese dann in die Personalakte als Original abgelegt.
Scheidet jemand aus kann dort immer verlässlich nachgesehen werden, was noch an Mobilgeräten im Besitz des/der Mitarbeiter/in ist.
Den lokalen Admin-Account und vor allem auch Apple-IDs/Accounts haben wir grundsätzlich immer über einen FirmenAccount angelegt und die Geräte entsprechend den Vorgaben / Richtlinien / etc. mit Software bestückt. Die Mitarbeiter/innen bekamen nie einen Admin-Account, damit keine unautorisierte Software installiert werden kann.
Sofern möglich wurde alles über das ActiveDirectory gemanaged.
Kreuzberger
Grundsätzlich haben wir uns die Herausgabe von Mobilgeräten an Mitarbeiter/innen schriftlich mit Seriennummer quittieren lassen, und diese dann in die Personalakte als Original abgelegt.
Scheidet jemand aus kann dort immer verlässlich nachgesehen werden, was noch an Mobilgeräten im Besitz des/der Mitarbeiter/in ist.
Den lokalen Admin-Account und vor allem auch Apple-IDs/Accounts haben wir grundsätzlich immer über einen FirmenAccount angelegt und die Geräte entsprechend den Vorgaben / Richtlinien / etc. mit Software bestückt. Die Mitarbeiter/innen bekamen nie einen Admin-Account, damit keine unautorisierte Software installiert werden kann.
Sofern möglich wurde alles über das ActiveDirectory gemanaged.
Kreuzberger
2
Danke für Eure Antworten, habe von Apple mal so überhaupt gar keine Ahnung.
Noch eine, wahrscheinlich dumme Frage, wenn das Passwort geändert wird, läuft das ja logischerweise über die Mailadresse (in unserer Domain). Wenn jetzt noch MFA ins Spiel kommt und der MA hinterlegt als zusätzliche Authentifizierung sein eigenes Smartphone oder eine Adresse außerhalb unseres Zugriffs?
Gruß
EDIT: Über den Sophos-Client haben wir ebenfalls Zugriffsmöglichkeiten und können theoretisch sogar den Netzwerkverkehr abschalten (exklusive Sophos-Zugriff).
Noch eine, wahrscheinlich dumme Frage, wenn das Passwort geändert wird, läuft das ja logischerweise über die Mailadresse (in unserer Domain). Wenn jetzt noch MFA ins Spiel kommt und der MA hinterlegt als zusätzliche Authentifizierung sein eigenes Smartphone oder eine Adresse außerhalb unseres Zugriffs?
Gruß
EDIT: Über den Sophos-Client haben wir ebenfalls Zugriffsmöglichkeiten und können theoretisch sogar den Netzwerkverkehr abschalten (exklusive Sophos-Zugriff).
ich sehe das wie @kreuzberger - privat is privat und Firma is Firma und mit demensprechenden Auflagen versehen.
1
Zitat von @Coreknabe:
Mein Plan wäre, dass er sich über unsere Domain einen neuen Account anlegt, so dass mit seinem Ausscheiden sichergestellt ist, dass er das Macbook nicht einfach behält und weiterverwendet, zumindest ohne unsere Zustimmung. Dass die rechtliche Situation hier eigentlich klar ist, ist mir bewusst...
Wie würdet Ihr das handhaben?
Mein Plan wäre, dass er sich über unsere Domain einen neuen Account anlegt, so dass mit seinem Ausscheiden sichergestellt ist, dass er das Macbook nicht einfach behält und weiterverwendet, zumindest ohne unsere Zustimmung. Dass die rechtliche Situation hier eigentlich klar ist, ist mir bewusst...
Wie würdet Ihr das handhaben?
Bei uns sind Apple Geräte in Intune, damit werden auch notwendige Apps der Company installiert. Stimmt die Config nicht oder sidn Apps zu alt kommt das Gerät nicht auf die Company Ressourcen. Ansonsten wird die private Apple ID genutzt.
1Noch eine, wahrscheinlich dumme Frage, wenn das Passwort geändert wird, läuft das ja logischerweise über die Mailadresse (in unserer Domain). Wenn jetzt noch MFA ins Spiel kommt und der MA hinterlegt als zusätzliche Authentifizierung sein eigenes Smartphone oder eine Adresse außerhalb unseres Zugriffs?
Wenn es eine Firmen-Apple-ID gibt (wozu ich hier dringend rate), kann der MA das Passwort für diese nicht ändern. Er kann nur das Passwort seines User-Accounts auf dem MacBook ändern. Eine Verknüpfung des MacBooks mit einer anderen, privaten AppleID ist unmöglich, solange das MacBook in der Firmen-Apple-ID verankert ist. Das Passwort für die Firmen-Apple-ID wird selbstverständlich nicht an den MA herausgegeben.
Ich persönlich halte Intunes was die DSGVO angeht für inkompatibel, und daher nicht nutzbar. Ohnehin würde ich das Herz der Netzwerkverwaltung nicht in fremde Hände in eine Cloud geben.
Kreuzberger
1
Ok, super, vielen Dank, Ihr habt mir sehr weitergeholfen!
Gruß
Gruß
Normalerweise würde ich auch sagen MDM bzw. Apple ID von Firma.
Allerdings kennen wir den Sachverhalt nicht komplett. Theoretisch könnte es sich um eine Überlassung durch den Arbeitgeber zu privaten Zwecken handeln:
Allerdings kennen wir den Sachverhalt nicht komplett. Theoretisch könnte es sich um eine Überlassung durch den Arbeitgeber zu privaten Zwecken handeln:
Gemäß § 3 Nr. 45 EStG können Unternehmen digitale Endgeräte wie Laptops, Tablets oder Smartphones ihren Mitarbeitern steuerfrei überlassen. Dies bedeutet, dass der geldwerte Vorteil, der durch die private Nutzung dieser Geräte entsteht, nicht versteuert werden muss.
Der Arbeitgeber bleibt grundsätzlich Eigentümer des Gerätes. Es handelt sich hierbei um eine Nutzungsüberlassung, nicht um eine Eigentumsübertragung. Wenn der Arbeitnehmer jetzt seine Privatsphäre haben will, ihr das Gerät aber auch wieder zurück nehmen wollt in bestimmten Fällen (z.B. Kündigung), dann wird das etwas kompliziert.
Da fällt mir noch eine Frage ein, wozu der Apple Account eigentlich benötigt wird. Im Netz finde ich das:
https://support.apple.com/de-de/105023
Sprich, im alltäglichen Gebrauch und für Updates benötige ich den Account nicht, ist das richtig?
Gruß
https://support.apple.com/de-de/105023
Sprich, im alltäglichen Gebrauch und für Updates benötige ich den Account nicht, ist das richtig?
Gruß
@Coreknabe
Du kannst alle Apple-Geräte auch ohne AppleID / AppleAccount betreiben. Zur Sicherung vor Diebstahl und zur Sicherung des Eigentums ist die AppleID allerdings durchaus sehr zweckmäßig und di Nutzung anzuraten.
Zwingend erforderlich ist die AppleID wenn man über den AppStore Software beziehen will.
Kreuzberger
Du kannst alle Apple-Geräte auch ohne AppleID / AppleAccount betreiben. Zur Sicherung vor Diebstahl und zur Sicherung des Eigentums ist die AppleID allerdings durchaus sehr zweckmäßig und di Nutzung anzuraten.
Zwingend erforderlich ist die AppleID wenn man über den AppStore Software beziehen will.
Kreuzberger
Moin,
MDM und fertig. Ist mein MacBook von der Firma auch - und ich kann zwar über den App-Store mit meinem Account mir Software installieren (habe auch Admin-Rechte da ich Admin bin ;) ) ABER wenn MDM/Intunes sagen würde "mach platt die kiste" dann mach ich da halt auch gar nix mehr ausser zugucken...
Und wichtig dabei: WENN man schon so eine "Mischung" betreibt dann muss zwischen MA und Firma auch eben ne klare Vereinbarung sein... In diesem Fall ist es zB. ganz einfach: "Mein" Laptop, meine Pflicht zur Sicherung wenn ich irgendwas eigenes speichere,... Wenns über Intunes aus welchem Grund auch immer plattgemacht wird brauch ich nich hingehen und sagen "aber hey, ich hatte 3 eigene Dokumente da drauf gespeichert". Ich brauch auch nicht hingehen und sagen "ich hab aber die App xyz geladen die ich sonst nich brauchen kann" - mein Problem... Ich KANN OS-Updates selbst installieren, wenn ich es nicht tue kommt halt irgendwann MDM/Intunes an und macht das zwangsweise (auch da: geht danach irgendwas meiner eigenen Dinge nicht mehr - mein Problem!). DAS sollte man eben aber auch klar mit dem MA vorher abklären um jedes Problem da auszuschließen....
MDM und fertig. Ist mein MacBook von der Firma auch - und ich kann zwar über den App-Store mit meinem Account mir Software installieren (habe auch Admin-Rechte da ich Admin bin ;) ) ABER wenn MDM/Intunes sagen würde "mach platt die kiste" dann mach ich da halt auch gar nix mehr ausser zugucken...
Und wichtig dabei: WENN man schon so eine "Mischung" betreibt dann muss zwischen MA und Firma auch eben ne klare Vereinbarung sein... In diesem Fall ist es zB. ganz einfach: "Mein" Laptop, meine Pflicht zur Sicherung wenn ich irgendwas eigenes speichere,... Wenns über Intunes aus welchem Grund auch immer plattgemacht wird brauch ich nich hingehen und sagen "aber hey, ich hatte 3 eigene Dokumente da drauf gespeichert". Ich brauch auch nicht hingehen und sagen "ich hab aber die App xyz geladen die ich sonst nich brauchen kann" - mein Problem... Ich KANN OS-Updates selbst installieren, wenn ich es nicht tue kommt halt irgendwann MDM/Intunes an und macht das zwangsweise (auch da: geht danach irgendwas meiner eigenen Dinge nicht mehr - mein Problem!). DAS sollte man eben aber auch klar mit dem MA vorher abklären um jedes Problem da auszuschließen....
Moin,
MDM sind wir gerade bei - ggf. +Lifecycle Management. Komme gerade nicht auf den Namen. MDM was die Telekom vertreibt....
Egal ob Apple oder Samsung. Früher konnte man teils einfach recovern. Wenn USB Debug oder die Notfall Dings Nummer - Raute, Raute irgendwas - gesperrt sind, schaut man die Höre.
Es gibt Anbieter die den Schutz knacken können. Aber ist auch etwas unschön. Klar, wenn einen das Gerät gehört wäre so ein "hack" auch legitim Sonst hat man einen teuren Briefbeschwerer.
Die Einstellungen bei Samsung sind immer verfügbar. Jeder kann USB Debugging und die Code Eingabe deaktivieren - wenn sie es nicht von Haus aus schon ist!
Herstellerübergreifend wird es immer schwieriger dann an die Geräte heran zu kommen. Selbst wenn die vor einen auf dem Tisch liegen. Der MA ist weg, hat gekündigt. PIN ist nicht mehr die gleiche wie SIM PIN oder unzureichend dokumentiert. Und zack - das war es.
Es geht also nicht nur darum, dass jemand das Gerät für sich behält. Auch wenn zurück gegebene kann man fast schon in den Müll werfen, wenn die Schutzmechanismen nicht auszuhebeln sind. Man verstößt ggf. gegen die AGB der Hersteller - was noch ginge. Viel schlimmer ist, dass man dubiose Apps aus Iran, Irak nehmen muss, die auch noch Geld kosten.
Vor 1 Jahr wollten die teils nur eine Spende für Tasse Kaffee. Hat sich auch schon geändert.
Falsche PIN für zu 24 Std, 28 Std Sperre usw. Irgendwann ist es ganz vorbei. MDM kostet Geld. Nur nun rechnen wir mal Arbeitszeit um z.B. Samsung Knox zu knacken, plus Gebühr für die ominösen Tools aus dem Ausland, plus ggf. Viren u.a. die so eine Software theoretisch mit sich bringen kann.
Anderer Punkt für MDM - APK ausrollen
Nicht immer sind Software Hersteller im App Store. APK kann man ja so installieren, muss es nur freigeben. Bei dutzenden von Handys macht das aber auch keinen Spaß!
Wieder ein Punkt der Arbeitszeit und Geld kostet.
Zu Apple:
Unternehmensaccount ist schön und gut. Man muss den nur richtig für alle Domänen einrichten. Hält ein User den Account, weil man testweise was eingerichtet hat, wird es unangenehm.
Normal ruft Apple einen dann telefonisch an und vergleicht die Daten. Selbst wenn man sich als "echte" und korrekte Firma ausweist kommt man nicht sofort an den Account heran!
Teils soll es dann 2 Wochen dauern. Der andere User erhält eine Aufforderung dass jemand den Firmen Account überschrieben hat und ordentlich legitimiert ist.
Wie gesagt: kann auch bis zu 2 Wochen dauern.
Es lohnt sich also sich dafür Zeit zu nehmen!
- Apple Company Account mit mehrere "Ersatz-"Admins (falls mal wer krank wird oder kündigt)
- MDM was Herstellerunabhängig agiert
- ggf. Lifecycle Management - alle 2 Jahre neue Geräte
Man kann mit Apple durchaus reden - auch persönlich. Nur die oben genannten Punkte traten bei uns frisch auf. Vorbereitung für ein MDM. Apple Unternehmensaccount wurde von Kollegen vor Jahren mal registriert. Hat man die alten E-Mail Adresse nicht mehr, kann es bis zu 2 Wochen dauern ....
mfg Crusher
MDM sind wir gerade bei - ggf. +Lifecycle Management. Komme gerade nicht auf den Namen. MDM was die Telekom vertreibt....
Egal ob Apple oder Samsung. Früher konnte man teils einfach recovern. Wenn USB Debug oder die Notfall Dings Nummer - Raute, Raute irgendwas - gesperrt sind, schaut man die Höre.
Es gibt Anbieter die den Schutz knacken können. Aber ist auch etwas unschön. Klar, wenn einen das Gerät gehört wäre so ein "hack" auch legitim Sonst hat man einen teuren Briefbeschwerer.
Die Einstellungen bei Samsung sind immer verfügbar. Jeder kann USB Debugging und die Code Eingabe deaktivieren - wenn sie es nicht von Haus aus schon ist!
Herstellerübergreifend wird es immer schwieriger dann an die Geräte heran zu kommen. Selbst wenn die vor einen auf dem Tisch liegen. Der MA ist weg, hat gekündigt. PIN ist nicht mehr die gleiche wie SIM PIN oder unzureichend dokumentiert. Und zack - das war es.
Es geht also nicht nur darum, dass jemand das Gerät für sich behält. Auch wenn zurück gegebene kann man fast schon in den Müll werfen, wenn die Schutzmechanismen nicht auszuhebeln sind. Man verstößt ggf. gegen die AGB der Hersteller - was noch ginge. Viel schlimmer ist, dass man dubiose Apps aus Iran, Irak nehmen muss, die auch noch Geld kosten.
Vor 1 Jahr wollten die teils nur eine Spende für Tasse Kaffee. Hat sich auch schon geändert.
Falsche PIN für zu 24 Std, 28 Std Sperre usw. Irgendwann ist es ganz vorbei. MDM kostet Geld. Nur nun rechnen wir mal Arbeitszeit um z.B. Samsung Knox zu knacken, plus Gebühr für die ominösen Tools aus dem Ausland, plus ggf. Viren u.a. die so eine Software theoretisch mit sich bringen kann.
Anderer Punkt für MDM - APK ausrollen
Nicht immer sind Software Hersteller im App Store. APK kann man ja so installieren, muss es nur freigeben. Bei dutzenden von Handys macht das aber auch keinen Spaß!
Wieder ein Punkt der Arbeitszeit und Geld kostet.
Zu Apple:
Unternehmensaccount ist schön und gut. Man muss den nur richtig für alle Domänen einrichten. Hält ein User den Account, weil man testweise was eingerichtet hat, wird es unangenehm.
Normal ruft Apple einen dann telefonisch an und vergleicht die Daten. Selbst wenn man sich als "echte" und korrekte Firma ausweist kommt man nicht sofort an den Account heran!
Teils soll es dann 2 Wochen dauern. Der andere User erhält eine Aufforderung dass jemand den Firmen Account überschrieben hat und ordentlich legitimiert ist.
Wie gesagt: kann auch bis zu 2 Wochen dauern.
Es lohnt sich also sich dafür Zeit zu nehmen!
- Apple Company Account mit mehrere "Ersatz-"Admins (falls mal wer krank wird oder kündigt)
- MDM was Herstellerunabhängig agiert
- ggf. Lifecycle Management - alle 2 Jahre neue Geräte
Man kann mit Apple durchaus reden - auch persönlich. Nur die oben genannten Punkte traten bei uns frisch auf. Vorbereitung für ein MDM. Apple Unternehmensaccount wurde von Kollegen vor Jahren mal registriert. Hat man die alten E-Mail Adresse nicht mehr, kann es bis zu 2 Wochen dauern ....
mfg Crusher
also wir haben das mal so gemacht gehabt:
MAC Aufsetzen und lokalen Admin Account (also dein Account) drauf machen.
Dann entsprechend User Account erstellen OHNE Admin rechte.
Zwar kann ein solcher user auch Apps installieren aber grosse Softwarepakete gehen trotzdem nicht.
Ist so in der Art wie MS Store, da kann ein user ohne admin rechte auch müll installieren....
Wenn user ne Apple ID braucht dann nur unter der Firmen Email Adresse.
Die Netzlaufwerke wurden dann eingehängt (gemountet hehe) und mit dem AD Account verbunden mit AD Account daten. Email entsprechend verbinden je nach umgebung halt.
Antivirus noch drauf....
Und dann dann noch viel spass beim debugging und anschliessenden rumpopeln...
weil z.B. SMBv3 Protokoll von MACs entspricht nicht dem Standard und egal ob Win oder Linux Server du wirst dann Disconnects haben... lösung war dann SMBv3 deaktivieren und SMBv2 als Standard zu definieren im MAC...
Naja und einiges mehr an geschiss..
Aber die optimalste Lösung ist es eigentlich:
- Apple kannste im Gästenetz und offline benutzen ohne zugriff auf Firmendaten....
- oder installiert mit Windows
wenn das noch geht hehe
und zum damaligen zeitpunkt gabs keine gescheite möglichkeit die dinger zentral zu administrieren, also nix mit GPOs oder was auch nur ansatzweise da ran kommt... ich bezweifel das es hier was gibt inzwischen.
Gibt zwar MDMs wo auch iMacs rein kommen können aber wie gesagt verglichen mit GPOs sind die settings echt Kindergarten niveau...
MAC Aufsetzen und lokalen Admin Account (also dein Account) drauf machen.
Dann entsprechend User Account erstellen OHNE Admin rechte.
Zwar kann ein solcher user auch Apps installieren aber grosse Softwarepakete gehen trotzdem nicht.
Ist so in der Art wie MS Store, da kann ein user ohne admin rechte auch müll installieren....
Wenn user ne Apple ID braucht dann nur unter der Firmen Email Adresse.
Die Netzlaufwerke wurden dann eingehängt (gemountet hehe) und mit dem AD Account verbunden mit AD Account daten. Email entsprechend verbinden je nach umgebung halt.
Antivirus noch drauf....
Und dann dann noch viel spass beim debugging und anschliessenden rumpopeln...
weil z.B. SMBv3 Protokoll von MACs entspricht nicht dem Standard und egal ob Win oder Linux Server du wirst dann Disconnects haben... lösung war dann SMBv3 deaktivieren und SMBv2 als Standard zu definieren im MAC...
Naja und einiges mehr an geschiss..
Aber die optimalste Lösung ist es eigentlich:
- Apple kannste im Gästenetz und offline benutzen ohne zugriff auf Firmendaten....
- oder installiert mit Windows
wenn das noch geht heheund zum damaligen zeitpunkt gabs keine gescheite möglichkeit die dinger zentral zu administrieren, also nix mit GPOs oder was auch nur ansatzweise da ran kommt... ich bezweifel das es hier was gibt inzwischen.
Gibt zwar MDMs wo auch iMacs rein kommen können aber wie gesagt verglichen mit GPOs sind die settings echt Kindergarten niveau...
Zitat von @ukulele-7:
Allerdings kennen wir den Sachverhalt nicht komplett. Theoretisch könnte es sich um eine Überlassung durch den Arbeitgeber zu privaten Zwecken handeln:
Allerdings kennen wir den Sachverhalt nicht komplett. Theoretisch könnte es sich um eine Überlassung durch den Arbeitgeber zu privaten Zwecken handeln:
Gemäß § 3 Nr. 45 EStG können Unternehmen digitale Endgeräte wie Laptops, Tablets oder Smartphones ihren Mitarbeitern steuerfrei überlassen. Dies bedeutet, dass der geldwerte Vorteil, der durch die private Nutzung dieser Geräte entsteht, nicht versteuert werden muss.
Der Arbeitgeber bleibt grundsätzlich Eigentümer des Gerätes. Es handelt sich hierbei um eine Nutzungsüberlassung, nicht um eine Eigentumsübertragung. Wenn der Arbeitnehmer jetzt seine Privatsphäre haben will, ihr das Gerät aber auch wieder zurück nehmen wollt in bestimmten Fällen (z.B. Kündigung), dann wird das etwas kompliziert.Aber unter uns, jede Firma die sowas noch macht oder Private Devices in der Firma zulässt ist ja inzwischen schon mehr als Grob Fahrlässig was Security angeht, die wo sowas machen sollten am besten gleich ihren Laden zu machen solang er noch läuft
7> Zitat von @ThePinky777:
Aber unter uns, jede Firma die sowas noch macht oder Private Devices in der Firma zulässt ist ja inzwischen schon mehr als Grob Fahrlässig was Security angeht, die wo sowas machen sollten am besten gleich ihren Laden zu machen solang er noch läuft
Und warum genau? Das Konzept nennt sich übrigens "Zero-Trust", bei dem du nicht mal firmengeräten vertraust und dafür sorgst das es auch egal ist womit du darauf zugreiffen willst. Kann man (im einfachen Fall) zB. über Terminal-Server realisieren,....
Ich würde sogar behaupten jeder Admin der meint "nur weil das Gerät Firmeneigentum ist is es vertrauenswürdig" wäre eher grob fahrlässig. Denn ob ich nun zB. auf nem Firmenrechner auf ne "falsche" Mail klicke oder auf meinem, das Ergebnis wäre in der Firma idR. nicht soviel anders, jemand bekommt ggf. meine Zugangsdaten. Ob ich über den Firmenrechner meine Daten auf nen privaten Cloud-Rechner schiebe (im Falle das man Kündigen will und Daten mitnimmt), ob ich Fotos vom Bildschirm mache oder sonstwelche Wege gehe - die Auswahl ist gross genug... Von daher würde ich heute nicht mehr sagen "wer Private Geräte zulässt" sondern eben wer nicht generell seine Systeme entsprechend schützt... Zumal der GRÖSSTE Faktor heute vor dem Rechner sitzt (und da bilden Admins keine Ausnahme) - von Scripten die da mit Passwort irgendwo im Dateisystem liegen, Rechner die eh nicht gesperrt werden, Installationen bei denen man lachend an der Firewall vorbeigeht,... Und wenn du da jede Firma deshalb gleich "zumachen solang die noch läuft" willst dann würde ich mal behaupten das du kleine/mittlere Unternehmen nahezu komplett zumachen kannst und bei den Konzernen noch ne Handvoll über bleiben.. Und da ist der private Rechner idR. das KLEINSTE Problem...
Zitat von @ukulele-7:
Allerdings kennen wir den Sachverhalt nicht komplett. Theoretisch könnte es sich um eine Überlassung durch den Arbeitgeber zu privaten Zwecken handeln:
Allerdings kennen wir den Sachverhalt nicht komplett. Theoretisch könnte es sich um eine Überlassung durch den Arbeitgeber zu privaten Zwecken handeln:
Gemäß § 3 Nr. 45 EStG können Unternehmen digitale Endgeräte wie Laptops, Tablets oder Smartphones ihren Mitarbeitern steuerfrei überlassen. Dies bedeutet, dass der geldwerte Vorteil, der durch die private Nutzung dieser Geräte entsteht, nicht versteuert werden muss.
Der Arbeitgeber bleibt grundsätzlich Eigentümer des Gerätes. Es handelt sich hierbei um eine Nutzungsüberlassung, nicht um eine Eigentumsübertragung. Wenn der Arbeitnehmer jetzt seine Privatsphäre haben will, ihr das Gerät aber auch wieder zurück nehmen wollt in bestimmten Fällen (z.B. Kündigung), dann wird das etwas kompliziert.Aber unter uns, jede Firma die sowas noch macht oder Private Devices in der Firma zulässt ist ja inzwischen schon mehr als Grob Fahrlässig was Security angeht, die wo sowas machen sollten am besten gleich ihren Laden zu machen solang er noch läuft
Und warum genau? Das Konzept nennt sich übrigens "Zero-Trust", bei dem du nicht mal firmengeräten vertraust und dafür sorgst das es auch egal ist womit du darauf zugreiffen willst. Kann man (im einfachen Fall) zB. über Terminal-Server realisieren,....
Ich würde sogar behaupten jeder Admin der meint "nur weil das Gerät Firmeneigentum ist is es vertrauenswürdig" wäre eher grob fahrlässig. Denn ob ich nun zB. auf nem Firmenrechner auf ne "falsche" Mail klicke oder auf meinem, das Ergebnis wäre in der Firma idR. nicht soviel anders, jemand bekommt ggf. meine Zugangsdaten. Ob ich über den Firmenrechner meine Daten auf nen privaten Cloud-Rechner schiebe (im Falle das man Kündigen will und Daten mitnimmt), ob ich Fotos vom Bildschirm mache oder sonstwelche Wege gehe - die Auswahl ist gross genug... Von daher würde ich heute nicht mehr sagen "wer Private Geräte zulässt" sondern eben wer nicht generell seine Systeme entsprechend schützt... Zumal der GRÖSSTE Faktor heute vor dem Rechner sitzt (und da bilden Admins keine Ausnahme) - von Scripten die da mit Passwort irgendwo im Dateisystem liegen, Rechner die eh nicht gesperrt werden, Installationen bei denen man lachend an der Firewall vorbeigeht,... Und wenn du da jede Firma deshalb gleich "zumachen solang die noch läuft" willst dann würde ich mal behaupten das du kleine/mittlere Unternehmen nahezu komplett zumachen kannst und bei den Konzernen noch ne Handvoll über bleiben.. Und da ist der private Rechner idR. das KLEINSTE Problem...
Zitat von @ukulele-7:
Das sagt doch rein gar nichts zum genannten Sachverhalt aus. Ich denke, ich weiß, worauf Du hinauswillst, aber das hat sicher nichts mit dem von Dir genanten Paragraphen zu tun.Gemäß § 3 Nr. 45 EStG können Unternehmen digitale Endgeräte wie Laptops, Tablets oder Smartphones ihren Mitarbeitern steuerfrei überlassen. Dies bedeutet, dass der geldwerte Vorteil, der durch die private Nutzung dieser Geräte entsteht, nicht versteuert werden muss.
"Zur privaten Nutzung überlassen" impliziert nicht, dass der Arbeitnehmer über das Gerät vollumpfänglich bestimmen kann. Es impliziert nicht, dass der AN da Programme installieren darf oder die Kontrolle über die Einstellungen haben muss. Es geht rein darum, dass AN eben zuhause oder in der Pause auch privates Zeugs damit erledigen darf. Damit sollte sicherlich "die Digitalisierung" im privatem Umfeld gefördert werden.
Wenn, dann resultiert sowas, was Du wahrscheinlich meinst, aus einer extra Vereiunbarung zwischen AG und AN. Und diesbzgl. kann man sich als Admin beim AG rückversichern.
