»Bring Your Own Device«(BYOD)

Transkript

1 »Bring Your Own Device«(BYOD) Rechtliche Aspekte und praktische Tipps Tagung der Working Group 2 Bonn den Dennis Heinemeyer Institut für Rechtsinformatik Leibniz Universität Hannover

2 AGENDA Einführung Technische Herausforderung Arbeitsrecht Datenschutzrecht Zu ergreifende Maßnahmen Fragen Seite 2

3 »Bring Your Own Device«Bring Your Own Device (BYOD) bezeichnet die Verwendung privater, selbst ausgewählter Endgeräte zum Zugriff auf Unternehmensdaten, Unternehmensanwendungen und Unternehmensinfrastrukturen. BYOD bezieht sich typischerweise auf Smartphones und Tablets, kann aber auch PCs und Laptops umfassen. Seite 3

4 Nutzung privater Geräte 2012 Seite 4

5 Abgrenzung»Chose Your Own Device«, Wahlmöglichkeit des AN aus einer Palette von Hardware»Unternehmenseigene Devices«Bereitstellung standardisierter Hardware»Bring Your Own Device«Das genutzte Gerät dem Mitarbeiter gehört (Keine Eigentümerstellung notwendig Leasing etc.) Das Gerät Zugriff auf IT-Ressourcen des Unternehmens erhält Institut für Rechtsinformatik + Königsworther Platz 1, Hannover Seite 5

6 Die (angeblichen) Vorteile von BYOD mobilen Zugriff auf unabhängig von Ort, Zeit und Gerätetyp Verbesserung des End-User-Service durch Selbsthilfelösungen oder Real Time- oder On-Demand Support Flexibilität und Effizienz Einführung geräteunabhängiger Sicherheitspolicies und -prozesse, mit einfacheren, zentral steuerbaren Security-Kompetenzen Förderung von Motivation und Kreativität Individualität Aufbau dynamischer IT-Prozesse, Die sich schnell den ständig wandelnden Geschäftsbedürfnissen anpassen Seite 6

7 Chancen und Risiken Seite 7

8 Technische Gefahren und Herausforderungen Seite 8

9 Angriffe pro Tag Dennis Heinemeyer, Institut für Rechtsinformatik

10 Cybersöldner Seite 10

11 Schadsoftware selbst installieren Seite 11

12 Seite 12

13 Seite 13

14 Und wer ist dafür jetzt verantwortlich?! Nehmen Sie sich 5 Minuten! Seite 14

15 Rechtliche Gefahren und Herausforderungen Arbeitsrecht Urheberrecht Datenschutzrecht Steuerrecht Seite 15

16 Arbeitsrecht Seite 16

17 Bei Einführung von BYOD Mitbestimmungsrechte des Betriebsrats Überwachung des Verhaltens/ der Leistung der Mitarbeiter Einsatz von Software die zur Überwachung geeignet sind Einbringen von Verhaltens- und Nutzungsregelungen Bei Fragen des Arbeitnehmerdatenschutzes Seite 17

18 Kostentragung Aufwendungsersatzanspruch (670 BGB) Vollständiger Ausschluss unwirksam Einzelabrechnung vs. Pauschalbetrag Ersatzpflicht bei Beschädigung und Verlust Ersatzpflicht bei betrieblich veranlasstem Verlust (670 BGB analog) Anrechnung eines Mitverschuldens des Mitarbeiters nach Grundsätzen der beschränkten Arbeitnehmerhaftung Vollständiger Ausschluss unwirksam, aber ggf. Pauschalabgeltung Pflicht zur Ersatzbeschaffung durch den Arbeitnehmer bei Verlust Grundsätzlich muss Arbeitgeber Betriebsmittel stellen Dahingehende Vereinbarung muss sich an AGB-Recht messen lassen Seite 18

19 Herausgabepflichten des Arbeitnehmers Gerät des Arbeitgebers oder bzgl. betrieblicher Daten grundsätzlich jederzeit Bei Gerät des Mitarbeiters ist Vereinbarung erforderlich Arbeitszeitrecht Maximal 8 bzw. 10 Stunden pro Tag ( 3 ArbZG); ununterbrochene Ruhezeit von 11 Stunden pro Tag ( 5 ArbZG) Einhaltung ist durch den Arbeitgeber sicherzustellen. (VW MODELL) Seite 19

20 Datenschutzrecht Seite 20

21 Und wer ist dafür jetzt verantwortlich?! Es kommt (wie immer) darauf an Seite 21

22 Wer ist datenschutzrechtlich verantwortliche Stelle? 3 Abs. 7 BDSG Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Das Unternehmen ist für datenschutzrechtskonforme Verarbeitung dienstlicher Daten verantwortlich. Grundsätzlich keine Einwirkungsbefugnisse bzgl. privater Daten. Seite 22

23 Notwendiger Zugriff Untersagter Zugriff Seite 23

24 Zugriff auf das Endgerät Warum? Faktische Erfordernisse (z.b. technische Vorkehrungen zum Schutz von Betriebs- und Geschäftsgeheimnissen) Erfüllung datenschutzrechtlicher Benachrichtigungs-, Auskunfts- Berichtigungs-, Sperr- und Löschpflichten ( 33 bis 35 BDSG) Gewährleistung angemessener technischer und organisatorischer Sicherheitsmaßnahmen ( 9 BDSG) Aufklärung und effektive Eindämmung möglicher Datenlecks (vgl. auch 42a BDSG) Einhaltung gesetzlich zwingender Aufbewahrungsfristen (z.b. 147 AO sowie 257 HGB) Aber: Kein Zugriff auf private Daten Seite 24

25 9 Technische und organisatorische Maßnahmen Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Seite 25

26 Gewährleistung von ausreichenden technischen und organisatorischen Datensicherheitsmaßnahmen ( 9 BDSG sowie Anlage zu 9 BDSG) Zutrittskontrolle Verhinderung des physischen Zutritt durch Nichtberechtige Kaum machbar; ggf. Vereinbarung von Aufbewahrungspflichten Zugangskontrolle Verhinderung der Nutzung durch Nichtberechtigte Verpflichtung zur nur höchstpersönlichen Nutzung; Passwortschutz Seite 26

27 Datensicherheitsmaßnahmen Zugriffskontrolle Beschränkung der Nutzung durch Berechtigten im Rahmen der Berechtigung Technisches Berechtigungskonzept; entsprechende Gerätekonfiguration Weitergabekontrolle Schutz von Daten bei Übertragung / Transport Verschlüsselung; Remote-Control bzw. Wipe Möglichkeiten Eingabekontrolle Gewährleistung der Nachvollziehbarkeit von Dateneingabe/änderung Protokollierung der Nutzung Seite 27

28 Datensicherheitsmaßnahmen Verfügbarkeitskontrolle Schutz gegen zufällige Zerstörung / Verlust Untersagung der Nutzung privater Cloud-Dienste, bestimmter Apps und Jailbreaks Trennungsgebot Getrennte Verarbeitung zu unterschiedlichen Zwecken erhobener Daten Insbesondere technische Trennung von privater und dienstlicher Nutzung Öffnet das System nach außen! Seite 28

29 42a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten Stellt eine nichtöffentliche Stelle im Sinne des 2 Absatz 4 oder eine öffentliche Stelle nach 27 Absatz 1 Satz 1 Nummer 2 fest, dass bei ihr gespeicherte 1. besondere Arten personenbezogener Daten ( 3 Absatz 9), 2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen, 3. personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder 4. personenbezogene Daten zu Bank- oder Kreditkartenkonten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, [hier reicht die Gefahr! z.b. bei Diebstahl] und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies nach den Sätzen 2 bis 5 unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen. [ ] Seite 29

30 Problem Abhandenkommende Devices Löschungspflicht der Unternehmensdaten Löschungsverbot bei privaten Daten (303a StGB) (Einwilligung fraglich) Seite 30

31 Technische Trennung dienstlicher und privater Daten Mobile Device Management Klare Trennung der Daten Verwaltung der Unternehmensdaten Kontrolle.. Seite 31

32 Das Unternehmen muss die Verfügungsgewalt über dienstliche Daten behalten und ist für deren Sicherheit verantwortlich. Es darf, aber grundsätzlich nicht auf private Daten zugreifen und muss daher entsprechende Organisatorische Maßnahmen und Regelungen mit dem Mitarbeiter treffen. Seite 32

33 Maßnahmen Trennung des Geräts in Container (ständiger) Remotezugriff auf Devices Mitarbeiter sind darauf hinzuweisen, dass eigene Software grundsätzlich nicht zu Betriebszwecken verwendet werden soll. Keine Installationen auf Unternehmenscontainern durch den Mitarbeiter!!!! Keinen Zugriff auf private Daten durch das Unternehmen Externe Löschmöglichkeiten bei Verlust RISIKO KOSTEN ABWÄGUNG Seite 33

34 Fragen? Vielen Dank für Ihre Aufmerksamkeit Seite 34