Die rechtlichen Herausforderungen von Bring Your Own Device

Transkript

1 Die rechtlichen Herausforderungen von Bring Your Own Device - Lifestyle contra Sicherheit - Dipl. jur. Florian Klein Institut für Informations-, Telekommunikations- und Medienrecht, Lehrstuhl Prof. Dr. Thomas Hoeren Sitzung des AK Verwaltung der ForschungRegion Braunschweig 04. Dezember 2014 Forschungsstelle Recht im Deutschen

2 Gliederung 1. Ausgangslage 2. Rechtliche Betrachtung und jeweilige Handlungsempfehlungen a) Haftung b) Arbeitsrecht c) Urheberrecht d) Datenschutz e) Geheimnisschutz und Strafrecht f) Steuerrecht g) Beendigungstatbestände 3. Fazit 2

3 1. Ausgangslage Arbeitnehmer nutzen eigene IT-Endgeräte am Arbeitsplatz Hauptgrund: Technische Überlegenheit und Aktualität, Vertrautheit mit Funktionsweise Größere zeitliche und örtliche Flexibilität 3

4 1. Ausgangslage Begriffsbestimmung BYOD Bring Your Own Device Einbringung privater Endgeräte des Arbeitnehmers (AN) für die dienstliche Nutzung beim Arbeitgeber (AG) Umfassendes Verständnis von device : IT-Endgeräte Software, Applikationen Datenbanken, Services 4

5 1. Ausgangslage Vorteile für den Arbeitgeber Kostensenkung Produktivität der AN Erreichbarkeit der AN Erhöhte Zufriedenheit und Identifikation der AN Vorteile für den Arbeitnehmer Entlastung durch nur ein Gerät Ggf. finanzieller Ausgleich durch den AG 5

6 1. Ausgangslage Ein unauflösbarer Konflikt? Rechtskonformität Praktikabilität und Simplizität 6

7 2. Rechtliche Betrachtung Haftung Problemfelder bei BYOD Steuerrecht Arbeitsrecht Urheberrecht Geheimnisschutz und Strafrecht Datenschutz 7

8 a) Haftung Eingebrachte Geräte des AN Sensible Daten des AG Schutzpflichten des AG Verlust/Beschädigung Gefahren bei Zugriff Dritter Familie/Hacker/Diebe 8

9 a) Haftung (2) Sicherheitssoftware nicht abgestimmt auf Verwendung Gefahr der Infektion mit Schadsoftware Gefahr der Ausspähung von Dienstgeheimnissen und des Datenverlustes Haftungsprivilegierung des Arbeitnehmers im Arbeitsrecht sog. innerbetrieblicher Schadensausgleich : keine Haftung des AN bei leichtester Fahrlässigkeit Gefahr, den AN bei Schäden nicht in Regress nehmen zu können Regelung durch Dienst-/Betriebsvereinbarung empfehlenswert 9

10 a) Haftung (3) Nutzung des privaten Internetanschlusses zu dienstlichen Zwecken Ggf. Vertragsverletzung ggü. dem Internet-Service-Provider Mögliche Konsequenzen: Schadensersatz/Kündigung aus wichtigem Grund Verlust der Geräte Benachrichtigungspflichten 10

11 a) Haftung (4) Handlungsempfehlungen Regelmäßige Backups Einheitliche Administration und Geräte-Konfiguration durch den AG Wartungspflicht für den AG Zurverfügungstellung geeigneter Sicherheitssoftware Vereinbarungen über die Haftung bei Verlust oder Beschädigung der Geräte oder betrieblicher Daten Benachrichtigungspflicht des AN ggü. AG bei Verlust Pflicht zur Nutzung sicherer Passwörter 11

12 b) Arbeitsrecht Öffentlicher Bereich: Beteiligung des Personalrats Mitbestimmungsrecht/-pflicht: Etwa bei Gestaltung der Arbeitsplätze oder Einführung grundlegend neuer Arbeitsmethoden Vgl. 66 Abs. 1 Nr. 10, 67 Abs. 1 Nr. 1a, 2, 3, 6 NPersVG Informationsrecht des Personalrats, 60 NPersVG Nicht-öffentlicher Bereich: Mitwirkung des Betriebsrats Kontrollrecht ( 80 BetrVG) Mitbestimmungspflicht ( 87 Abs. 1 Nr. 1, 2, 6 BetrVG) Unterrichtungspflichten ( 90 BetrVG) 12

13 b) Arbeitsrecht (2) Einbringung eigener Geräte durch den AN Genaue Bezeichnung und Dokumentation der jeweiligen Gerätetypen und Softwareversionen Trennung von Arbeits- und Freizeit (P) ArbZG! Permanente Erreichbarkeit des AN Drucksituation für den AN Vergütungsanspruch des AN gegen den AG wegen der Nutzung seiner eigenen Geräte 13

14 b) Arbeitsrecht (3) Handlungsempfehlungen Dokumentation der eingebrachten Geräte des AN Managementplattform zur Verwaltung unterschiedlichster mobiler Endgeräte - MDM Regelung der Arbeitszeit außerhalb der regulären Arbeitszeit Konkrete Vereinbarung des Vergütungsanspruchs des AN für die betriebliche Nutzung der eingebrachten Geräte (mglw. prozentuale Aufteilung) 14

15 c) Urheberrecht AN = Eigentümer der eingebrachten Hard- und Software Anders aber: Nutzungsrechte an der installierten Software Problem 1: Gefahr der Unterlizenzierung Private Software Dienstliche Software Lizenz für privaten Gebrauch Lizenz für dienstlichen Gebrauch 15

16 c) Urheberrecht (2) Aber häufig Normalität: Private Nutzung der für dienstliche Zwecke lizenzierten Software Dienstliche Nutzung der für private Zwecke lizenzierten oder gar nicht lizenzierten Software Folge: Urheberrechtlich relevante Nutzungshandlungen Verbotene und strafbare Verhaltensweisen Etwa Schadensersatz (insb. Lizenzanalogie) und Unterlassung ( 97 UrhG), Haftung des AG für Mitarbeiter ( 99 UrhG), Strafvorschrift des 106 UrhG 16

17 c) Urheberrecht (3) Problem 2: Software aus gefährlichen Quellen Download von Software durch den AN AG hat kaum Kontrolle über die herangezogenen Quellen Höhere Anfälligkeit für Hacker- und Virenangriffe Erhöhte Gefahr für die IT-Sicherheit und Unternehmenssicherheit 17

18 c) Urheberrecht (4) Handlungsempfehlungen Regelmäßige interne Audits Überprüfung der privaten Geräte hinsichtlich illegaler oder unlizenzierter Software Erweiterung des internen Lizenzmanagements auf die eingebrachten privaten Geräte Nachweis des Mitarbeiters über die ordnungsgemäße Lizenzierung der für betriebliche Zwecke eingesetzten Software Abtretung der Gewährleistungsansprüche (Software) an den AG oder Geltendmachung für den AN 18

19 d) Datenschutz Hochschulen = öffentliche Stellen Landesdatenschutzgesetze (vgl. 1 Abs. 2 Nr. 2; 2 Abs. 2 BDSG) Nicht-öffentliche Stellen: BDSG Regelungen in BDSG und DSG der Länder i.d.r. sehr ähnlich Duldung/Gestattung von BYOD durch AG Datenschutzvorschriften anwendbar Grds.: Mitarbeiter = Teil der Daten verarbeitenden Stelle (AG) Ausnahme: Auftragsdatenverarbeitung i.s.v. 6 NDSG ggf. bei freien Mitarbeitern schriftliche Vereinbarung erforderlich Verantwortlichkeit der verarbeitenden Stelle für Datenverarbeitung durch AN 19

20 d) Datenschutz (2) Prüfungs- und Kontrollmöglichkeiten des AG Bisher keine Rechtsprechung Auch private Nutzung dienstlicher Geräte: sehr restriktive Rechtsprechung Kein originäres Zugriffs- bzw. Zugangsrecht des AG Vertragliche Vereinbarung Problem: Grundrechte der AN Inhaltliche Beschränkung auf das betrieblich absolut Notwendige 20

21 d) Datenschutz (3) Öffentlicher Bereich: Prüfungsrecht des Landesbeauftragten für den Datenschutz Auskunftserteilung, Einsicht in Unterlagen, Zutritt zu Diensträumen (vgl. 22 Abs. 1, 4 NDSG) Problem: Grundrechte der AN (insb. allg. Persönlichkeitsrecht) Nicht-öffentlicher Bereich: Kontrolle durch die Aufsichtsbehörde Auskunftserteilung ( 38 Abs. 3 S. 1 BDSG) Zutritts-, Prüfungs- und Besichtigungsrecht auf den Grundstücken und in den Geschäftsräumen ( 38 Abs. 4 S. 1 BDSG) Problem: Private Endgeräte der AN Löschungspflichten Auch in Bezug auf Daten auf Gerät des AN 21

22 d) Datenschutz (4) Technische und organisatorische Maßnahmen Erforderlichkeitsgrundsatz ( 7 S. 1 NDSG) Angemessenes Verhältnis zwischen Aufwand und angestrebtem Schutzzweck ( 7 S. 2 NDSG) BYOD: Erforderliche Datensicherheit durch die AN nicht garantiert! Zwei entscheidende Faktoren: 1. Art der gespeicherten Daten 2. Sicherheitsstandard der verwendeten IT Faustregel: Je sensibler die Daten, desto eher ist die Verarbeitung auf privaten Geräten unzulässig! Zulässigkeit allenfalls bei umfassenden Kontrollmöglichkeiten 22

23 d) Datenschutz (5) Technische und organisatorische Maßnahmen, 7 NDSG Organisations- Zugangs- Datenträger- Transport- Speicher- Auftrags- -kontrolle Benutzer- Verfügbarkeits- Zugriffs- Eingabe- Übermittlungs- 23

24 d) Datenschutz (6) Handlungsempfehlungen Einräumung von Kontrollrechten für den behördlichen/betrieblichen Datenschutzbeauftragten Kooperationspflicht mit der Datenschutzaufsicht Beschränkung der Kontrollmaßnahmen auf das betrieblich absolut Notwendige Ausschluss der Einsichtnahme dienstlicher Daten durch Dritte Widerrufsvorbehalt bzgl. BYOD-Erlaubnis 24

25 d) Datenschutz (7) Handlungsempfehlungen Gewährleistung des Datengeheimnisses durch schriftliche Verpflichtung des AN und regelmäßige Kontrollen Regelung für Auslandseinsätze privater Geräte Regelung hinsichtlich der Nutzung, Bearbeitung und Löschung betrieblicher Daten auf dem Gerät des AN Verbot der Nutzung privater Cloud-Speicherdiensten 25

26 d) Datenschutz (8) Technische Maßnahmen Trennung von privaten und dienstlichen Daten Festlegung des Speicherortes Konfiguration virtueller Desktops Verschlüsselte Container ( Container Apps ) Terminal-Lösungen Partitionierung der Festplatten Sicherheits- und Verschlüsselungssoftware, Firewalls sowie zentrale Serververwaltung Getrennte Speicherung dienstlicher/privater s Remote-Wipes 26

27 e) Geheimnisschutz + Strafrecht Geheimnisschutz und Strafrecht Schutz von Betriebs- und Geschäftsgeheimnissen (eigene und fremde Daten) Häufig geringere Sicherheitsmaßnahmen auf privaten Geräten Strafrechtlich relevant wegen 202a, 202b, 202c, 203 und 303a StGB sowie 17, 18 UWG Handlungsempfehlungen Schulung und Sensibilisierung der AN durch den AG hinsichtlich der Geheimhaltungsinteressen Hinweis in BYOD-Richtlinien auf die strafrechtlichen Sanktionen im Falle eines Verstoßes 27

28 f) Steuerrecht (1) Überblick Insb. lohn- und umsatzsteuerliche Aspekte z.b. Absetzbarkeit der Gerätekosten als Betriebsausgabe oder Werbungskosten (P) Abgrenzung betriebliche vs. private Aufwendungen Konkretes Modell und steuerliche Auswirkungen mit Steuerrechtler koordinieren 28

29 f) Steuerrecht (2) Aufbewahrungspflichten Revisionssichere Archivierung betrieblicher Dokumente Vielzahl gesetzlicher Aufbewahrungspflichten (z.b. 257 HGB, 147 AO, diverse Vorgaben der GoBS sowie GDPdU) Häufig zwingende steuer- und bilanzrechtliche Vorgaben an die Dokumentation von Geschäftsvorgängen Handlungsempfehlungen Sicherstellung dieser Archivierungspflichten durch schriftliche Vereinbarungen Speicherung der Daten auch beim AG (kein Vorbeilaufen relevanter Daten) 29

30 g) Beendigungstatbestände Privates Endgerät = Eigentum des AN Zuordnungsschwierigkeiten bei abgespeicherten Daten zwischen privatem und dienstlichem Bereich Handlungsempfehlungen Vereinbarung von Beendigungstatbeständen zur Vermeidung von Unklarheiten (Befristung, Widerruf, Kündigung) Regelung der Aushändigung betrieblicher Daten an den AG nach Beendigung des Arbeitsverhältnisses Genaue Beschreibung der herauszugebenden und zu löschenden Daten oder Container -Lösung 30

31 3. Fazit Falls Zulassung von BYOD : Wer schreibt, der bleibt! Regeln, Regeln, Regeln! Aber auch: Vertrauen ist gut, Kontrolle ist besser Rechtsunsicherheit mangels spezifischer gesetzlicher Regelungen oder Rechtsprechung 31

32 3. Fazit (2) Erheblicher Einfluss- und Kontrollverlust mangels Eigentum Hohes Haftungsrisiko Erforderliche Sicherheitsmaßnahmen schmälern Vorteile erheblich Derzeit bietet nur die explizite Untersagung der Nutzung privater Endgeräte für dienstliche Zwecke Rechtssicherheit BYOD = DBYOD ( DON T Bring Your Own Device )?! 32

33 Vielen Dank für Ihre Aufmerksamkeit! Forschungsstelle Recht im Deutschen