Haftungsrisiko Bring Your Own Device

Transkript

1 Haftungsrisiko Bring Your Own Device 25. Informationsveranstaltung Netzwerke Barleben Rechtsanwalt Thomas Feil Fachanwalt für Informationstechnologierecht und Arbeitsrecht Datenschutzbeauftragter TÜV RA Thomas Feil 05/2012 1

2 ByoD Was ist das? Bring your own Device (ByoD) Nutzung privater Hard- und Software durch Mitarbeiter zu Unternehmenszwecke Wildwuchs Kontrollverlust Weitere Aspekte: Datenschutz und Geheimnisschutz 2

3 Haftung für Urheberrechtsverletzungen Ausgangslage: 1. Die vom Mitarbeiter für Unternehmenszwecke eingesetzte private Hardware ist mit (ebenfalls privaten) nicht oder nicht ordnungsgemäß lizenzierten Softwareprogrammen ausgestattet. Der Mitarbeiter erledigt mit einem dieser Softwareprogramme Aufgaben im Rahmen seiner Tätigkeit für das Unternehmen und speichert die so entstehenden Ergebnisse auf dem dafür vorgesehenen Unternehmensserver. 2. Der Mitarbeiter arbeitet mit der privaten Hardware für das Unternehmen. Diese Hardware enthält nicht ordnungsgemäß lizenzierte Software oder illegale Filme oder Musik. Der Mitarbeiter verwendet diese Software oder die fraglichen Werke jedoch zu keinem Zeitpunkt für Zwecke des Unternehmens. 3

4 99 UrhG 99 UrhG Haftung des Inhabers eines Unternehmens Ist in einem Unternehmen von einem Arbeitnehmer oder Beauftragten ein nach diesem Gesetz geschütztes Recht widerrechtlich verletzt worden, hat der Verletzte die Ansprüche aus 97 Abs. 1 und 98 auch gegen den Inhaber des Unternehmens. Risiko: Ansprüche auf Unterlassung, Auskunft und Schadensersatz 4

5 Umfang der Haftung Zweck der Vorschrift ist es, den Inhaber eines Unternehmens daran zu hindern, sich bei ihm zugute kommenden Urheberrechtsverletzungen von Angestellten auf das Handeln von ihm abhängiger Dritte zu berufen. Die Haftung des Unternehmensinhabers tritt dabei neben die Haftung des eigentlichen Verletzers und führt zu einer Erweiterung des Personenkreises, den der Verletzte in Anspruch nehmen kann. Der Unternehmensinhaber haftet auch, wenn die Rechtsgutsverletzung ohne sein Wissen und selbst gegen seinen Willen begangen worden ist. Es handelt sich um eine verschuldensunabhängige Erfolgshaftung. 5

6 Wer ist Unternehmensinhaber? Der Begriff Unternehmensinhaber ist weit zu verstehen und erfasst auch nicht am Wirtschaftsleben teilnehmenden Personen, wie z.b. politische Parteien oder Vereine, aber auch den Staat. Inhaber des Unternehmens ist derjenige, unter dessen Namen der Betrieb geführt wird und der damit nach außen die Verantwortung übernimmt. Bei einer GmbH oder Aktiengesellschaft haftet allein die juristische Person. Organhaftung ist aber möglich. 6

7 Wer ist Arbeitnehmer? Arbeitnehmer im arbeitsrechtlichen Sinne auch Personen, die auf Basis eines Dienst- oder Werkvertrags oder im Rahmen eines Auftragsverhältnisses für das Unternehmen tätig sind Externe Berater, Freelancer 7

8 im Unternehmen Die Rechtsgutverletzung muss im Unternehmen begangen worden sein. Im Unternehmen ist nicht räumlich, sondern funktional zu verstehen. Im Unternehmen wird eine Verletzung begangen, wenn sie innerhalb des Tätigkeitsbereichs des Arbeitnehmers erfolgt. Ein Handeln bei Gelegenheit der Ausübung der Tätigkeit wird nicht umfasst. 8

9 Beispiel 1 Der Mitarbeiter verwendet ein nicht ordnungsgemäß lizenzierte es Softwareprogramm, um damit für das Unternehmen tätig zu sein. Die Software wird im Kontext der arbeitsvertraglichen Verpflichtungen widerrechtlich genutzt und kommt dem Unternehmen zugute. Es bestehen Ansprüche nach 99 UrhG auch gegen das Unternehmen. 9

10 Beispiel 2 Auf dem Rechner des Mitarbeiters befinden sich illegale Software oder Dateien. Die Software oder die Dateien werden nicht im Rahmen der Tätigkeit und für Unternehmenszwecke genutzt. Der Umstand, dass sie bei dieser Gelegenheit verwendet werden, führt nicht zu einer Haftung nach 99 UrhG. 10

11 Haftung des Geschäftsführers Neben den Ansprüchen aus 99 UrhG ist auch eine Haftung der jeweils für das Unternehmen handelnden Organe, z.b. des Geschäftsführers nach 43 GmbHG denkbar. Jedes Mitglied der Geschäftsleitung hat bei seiner Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Kaufmanns anzuwenden. Der Geschäftsführer einer GmbH ist verpflichtet, dafür Sorge zu tragen, dass auf den Computern seines Unternehmens nur Software eingesetzt wird, für die entsprechende Lizenzen vorhanden sind. Es müssen entsprechende regelmäßige Kontrollen stattfinden oder technische Beschränkung eingerichtet werden. 11

12 Haftung Geschäftsführer Beispiel 1 Im Beispiel 1 könnte es zu einer Haftung des Geschäftsführers kommen. Das Unternehmen gestattet Mitarbeitern, private Rechner einzusetzen. Eine Kontrolle der Lizenzen ist nicht möglich. Beispiel 2 Hier wird keine Haftung des Geschäftsführers bestehen. Ein Unternehmen ist nicht für alle Handlungen des Arbeitnehmers verantwortlich, insbesondere wenn Handlungen nicht dem Unternehmen zugute kommen. 12

13 Reduzierung der Haftungsrisiken Um Haftungsrisiken zu reduzieren, könnte mit den Mitarbeitern eine Vereinbarung (Arbeitsvertrag, Betriebsvereinbarung) getroffen werden. Mitarbeiter erklärt sich einverstanden, dass das Unternehmen privater Rechner auf illegale Software oder sonstige urheberrechtsverletzende Inhalt geprüft. Ein solches Vorgehen ist wohl nicht praktikabel, da die meisten Mitarbeiter der Offenlegung des gesamten Rechnerinhaltes nicht zustimmen werden. Alternativ kann auf stichprobenartige Überprüfungen zurückgegriffen werden, zu denen Mitarbeiter ihr Einverständnis erklären. Wird ein Nachweis der ordnungsgemäßen Lizenzierung nicht erbracht, darf das private Gerät nicht dem Unternehmen verwendet werden. 13

14 Das Strafrecht 202a Ausspähen von Daten (1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden. Ausspähen privater Daten von Kollegen strafbar. Auch Risiko für Unternehmen und deren handelnden Personen. 14

15 Abfangen von Daten 202b Abfangen von Daten Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten ( 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist. Vorschrift ist das elektronische Pendant zum Abhören und Aufzeichnen von Telefongesprächen. Nichtöffentlich: z.b. Versendung von privaten Daten über IT- System 15

16 Weitere Straftatbestände 202c StGB Vorbereiten des Ausspähens und Abfangens von Daten (1) Wer eine Straftat nach 202a oder 202b vorbereitet, indem er 1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten ( 202a Abs. 2) ermöglichen, oder 2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. Verletzung von Privatgeheimnissen 203 StGB Datenveränderung 303a StGB (1) Wer rechtswidrig Daten ( 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. (2) Der Versuch ist strafbar. 16

17 Arbeitsrecht und ByoD Wer hat das Eigentum an den privaten Geräten? War hat die Nutzungsrechte an Software, beispielsweise auf den Mobilgeräten? Verpflichtung zur betrieblichen Nutzung? 17

18 Verpflichtung zur betrieblichen Nutzung Mitarbeiter sind nicht verpflichtet, eigene Geräte zu erwerben, in dem Betrieb mitzubringen und dort für betriebliche Zwecke zu nutzen. Der Arbeitgeber ist verpflichtet, betriebliche Ressourcen bereitzustellen und zu erhalten. Wird ein Arbeitgeber einen Anspruch auf Nutzung der Mitarbeiter eigenen Mobilgeräte begründen, bedarf es einer besonderen Vereinbarung. 18

19 Der ungeregelte Zustand In der Praxis fehlen häufig klare Nutzungsvereinbarungen. Mitarbeiter haben beispielsweise ihr iphone dabei und nutzen das Mobilgerät nach Gutdünken auch für betriebliche Zwecke. Hauptproblem: Erschwerte Absicherung und Verwaltung unterschiedlichster Mobilgeräte Risiko: ByoD = Bring your own desaster 19

20 Archivierung Betriebliche Dokumente müssen im Zweifel revisionssicher archiviert werden. Es ist zweifelhaft, ob diese Archivierung partiell auf die Rechner Privater ausgelagert werden darf. Handelsbriefe haben eine gesetzliche Aufbewahrungsdauer, die so von dem Mobilgerät nicht eingehalten wird. Auch die steuerlichen Archivierungspflichten sind zu beachten. Der Mitarbeiter muss ein Zugriff auf sein privates Gerät nicht zulassen, wenn beispielsweise bei einer Betriebsprüfung steuerlich relevante Unterlagen ausschließlich auf den privaten Geräten zu finden sind. 20

21 IT-Compliance Die Geschäftsleitung muss darauf achten, dass Zugriffsmöglichkeiten auf das IT-System des Unternehmens kontrolliert und gegebenenfalls eingeschränkt werden, beispielsweise um unberechtigte Zugriffe Dritter zu unterbinden. Dies lässt sich beim Einsatz privater Geräte kaum umsetzen. Weitere Risikofelder: private USB-Sticks, private Nutzung von Cloud-Provider durch Mitarbeiter 21

22 Nutzungsverhältnis ByoD: Welcher BGB-Vertragstyp ist dies? Gefälligkeitsverhältnis ohne Anspruch des Arbeitgebers auf Nutzung Gegebenenfalls auch ein Auftrag, wenn nach den Umständen des Einzelfalls ein Rechtsbindungswille des Mitarbeiters erkennbar wird, der ein Nutzungsrecht des Arbeitgebers auch dann begründen kann, wenn die Nutzung unentgeltlich erfolgt. ggf. Leihe, Miete oder Geschäftsbesorgungsvertrag ( Übernahme bestimmter betrieblicher Aufgaben durch privates Equipment) 22

23 Betriebliche Übung Was ist eine betriebliche Übung? Anspruch des Arbeitgebers auf Nutzung der privaten Geräte aufgrund betrieblicher Übung? 23

24 Sicherungsrecht Weitere Fragen: Wie werden Unternehmensdaten abgespeichert und archiviert? Werden personenbezogene Daten geschützt? Bleiben die Unternehmensdaten für das Unternehmen nutzbar? 24

25 Wartung Wer trägt die Kosten für Wartung, Reparaturen und Updating? Wer ist für die Beseitigung von Sicherheitslücken verantwortlich? Ohne ausdrückliche Regelung kann ein Arbeitgeber nur eine Nutzung der Privatgeräte im aktuellen Zustand erwarten. Wartungen, Reparaturen und ein Updating muss ein Arbeitnehmer nicht durchführen. 25

26 Haftung Wer haftet bei Verlust oder Beschädigung der Geräte oder betrieblicher Daten? Fehlt eine vertragliche Regelung, ist der Mitarbeiter nicht verpflichtet, beim Defekt oder Verlust seines Gerätes ein Ersatzgerät zu beschaffen. Sind Beschädigungen oder der Verlust des Gerätes vom Unternehmen zu vertreten, ist das Unternehmen zur Reparatur oder Neubeschaffung verpflichtet. Es sollte dringend mit dem Mitarbeiter eine Vereinbarung getroffen werden, wer die Reparaturkosten und laufende Nutzungskosten trägt. 26

27 Haftung des Mitarbeiters Eine Haftung des Mitarbeiters kann eintreten, wenn betriebliche Datenbestände auf den Mobilgeräten fahrlässig oder vorsätzlich gelöscht werden. Der Mitarbeiter ist selbst zur geeigneten Datensicherung verpflichtet, wenn er betriebliche Daten aus einem Gerät neu generiert. Irrglaube: Arbeitnehmer haften gegenüber ihrem Arbeitgeber nicht. 27

28 Vergütungsanspruch Ein Mitarbeiter ist nicht verpflichtet, dem Arbeitgeber die Nutzung seines Privatgerätes kostenlos einzuräumen. Ein Mitarbeiter ist auch nicht verpflichtet, betriebliche Aufgaben außer der Arbeitszeiten zuhause zu bearbeiten. (Risiko: Arbeitszeiten) Empfehlung: Die betriebliche Nutzung privater Geräte und die Vergütung hierfür sollte vertraglich geregelt werden. Dabei sind nicht nur die Kosten für Telekommunikations-Anbindungen und die laufenden Kosten zu bedenken, sondern auch die Kosten für Wartung und Reparatur der Geräte. 28

29 Die Steuer Es ist abzuklären, ob die betriebliche Nutzung privater Geräte ein geldwerter Vorteil ist und entsprechend in der Bilanz ausgewiesen werden muss. Zahlt ein Arbeitgeber seinen Mitarbeitern eine Nutzungsvergütung, muss der Arbeitnehmer diese Einnahmen versteuern. Ausnahme: es werden nur die verauslagten Kosten, beispielsweise Providergebühren oder Reparaturkosten erstattet. 29

30 Gewährleistung Eine Mängelhaftung für Hardwarefehler oder Softwarefehler wird ein Mitarbeiter nicht übernehmen wollen. Ein Mitarbeiter kann seine Gewährleistungsansprüche auf den Arbeitgeber durch Abtretung übertragen. Achtung: Die Gewährleistung kann erlöschen, wenn durch den Arbeitgeber nicht vorgesehene Eingriffe in Hardware oder Software erfolgt. 30

31 Datenschutz Schutz der personenbezogenen Daten ist zu beachten, auch wenn private Geräte eingesetzt werden. Wenn Unternehmen betriebliche Kunden- oder Mitarbeiterdaten auf privaten Endgeräten eines Mitarbeiters, wird diese Mitarbeiter zum Auftragnehmer dieser Personendatenverarbeitung. Der Arbeitgeber als Auftraggeber muss mit dem Mitarbeiter schriftlich, d.h. mit eigenhändiger Unterschrift, einen detaillierten geregelten Vertrag über diese Auftragsdatenverarbeitung schließen ( 11 BDSG). 31

32 Wenn nicht. Wird keine Vereinbarung über die Auftragsdatenverarbeitung geschlossen, riskiert der Arbeitgeber ein Bußgeld von bis zu Euro. Der Beginn muss sicherstellen, dass ein Mitarbeiter im Auftragsverhältnis alle erforderlichen Datenschutz- und Datensicherungsmaßnahmen trifft, um den unberechtigten Zugriff Dritter auf betriebliche Daten zu verhindern. Der Arbeitgeber darf bei Personen Datenverarbeitung keine Dienste von Internet- Provider nutzen, die diese Daten in Drittstaaten verwalten. 32

33 Und jetzt Die skizzierten Probleme sind leider keine abschließende Aufzählung. Aus juristischer Perspektive ist der Einsatz von Privatgeräten risikoreich. Möglicherweise ist es günstiger, Mitarbeiter ihre Hardware und mobilen Geräte frei wählen zu lassen und diese dann als betriebliche Geräte anzuschaffen. Eine Absicherung und laufende Kontrolle ist so erheblich einfacher. 33

34 Haben Sie noch Fragen? Vielen Dank für Ihre Aufmerksamkeit! RA Thomas Feil 05/

35 Rechtsanwalt Thomas Feil Fachanwalt für Informationstechnologierecht und Arbeitsrecht Datenschutzschutzbeauftragter TÜV - Geschäftsführer Döhrbruch Hannover Tel / Fax 0511 / recht-freundlich.de RA Thomas Feil 05/