BYOD: Wichtige rechtliche Aspekte für Unternehmen

Transkript

1 BYOD - Bring Your Own Device BYOD: Wichtige rechtliche Aspekte für Unternehmen FIDES IT Consultants, Bremen 04. Juli 2013 Christian Heermeyer Dr. Christian Merz

2 Bring Your Own Device (BYOD) Bring Your Own Device Das genutzte Gerät (meist mobil) gehört dem Mitarbeiter (Eigentum des Mitarbeiters) + das Gerät erhält Zugriff auf IT-Ressourcen des Unternehmens + dienstliche und private Nutzung Choose Your Own Device Das genutzte Gerät (meist mobil) gehört dem Arbeitgeber (Eigentum des Arbeitgebers) + das Gerät erhält Zugriff auf IT-Ressourcen des Unternehmens + dienstliche und private Nutzung Wildwuchs / Schatten IT Private Geräte von Mitarbeitern werden ohne Absprachen oder speziellen Vorkehrungen zu geschäftlichen Zwecken genutzt. Nicht betroffen Private Geräte von Mitarbeitern zu privaten Zwecken am Arbeitsplatz Rudel Schäfer Partner Seite 2

3 Bring Your Own Device (BOYD) Beispiele für Risiken Für den Arbeitgeber Verlust des Gerätes Benutzung des Gerätes durch unbefugte Dritte Nichtverfügbarkeit / Löschung von Daten Erhöhte Anfälligkeit in Bezug auf Schadsoftware, z.b. weil Geräte mit Jailbreak verwendet werden Für den Arbeitnehmer Zugriff auf private Daten durch den Arbeitgeber Löschung von privaten Daten durch den Arbeitgeber Protokollierung / Monitoring von Daten: Surfverhalten, Bewegungsdaten (Ortung), Systemzustand Rudel Schäfer Partner Seite 3

4 Themen A. Urheberrechtliche Rahmenbedingungen B. Datenschutz C. Schutz von Geschäfts- und Betriebsgeheimnissen D. Archivierung E. Strafrechtliche Rahmenbedingungen F. Data Loss Prevention-Syteme G. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von betrieblich gestellten Endgeräten H. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von privaten Endgeräten I. Arbeitszeitgesetz J. Bildschirmarbeitsplatzverordnung K. Weitere individualvertragliche Fragestellungen L. Arbeitsrecht und Mitbestimmung M. Vereinbarung mit Mitarbeitern N. Fazit Rudel Schäfer Partner Seite 4 Thomas Siepmann / PIXELIO

5 Kapitelfolie A. Urheberrechtliche Rahmenbedingungen B. Datenschutz C. Schutz von Geschäfts- und Betriebsgeheimnissen D. Archivierung E. Strafrechtliche Rahmenbedingungen F. Data Loss Prevention-Syteme G. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von betrieblich gestellten Endgeräten H. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von privaten Endgeräten I. Arbeitszeitgesetz J. Bildschirmarbeitsplatzverordnung K. Individualrechtliche Fragestellungen L. Arbeitsrecht und Mitbestimmung M. Vereinbarung mit Mitarbeitern N. Fazit Rudel Schäfer Partner Seite 5

6 A. Urheberrechtliche Rahmenbedingungen (3) I. Nutzungsrechte an der Software Nutzungsrechte bei der Software auf Mobilgeräten der Arbeitnehmer häufig nur für private Nutzung Notwendige Rechte, z.b.: Recht zur Nutzung (keine Raubkopie) Recht zur gewerblichen Nutzung übertragbares Recht an den Arbeitgeber Recht, die Software mit anderen Systemen zu vernetzten Nutzungsrechte bei der Software des Arbeitgebers Notwendige Rechte, z.b.: Recht, dass (weitere) mobile Geräte in das Netz einbezogen werden dürfen Recht, dass mobile Geräte mit Software von Drittherstellern im Netz betrieben werden dürfen Recht zur indirekten Nutzung Rudel Schäfer Partner Seite 6

7 A. Urheberrechtliche Rahmenbedingungen (4) II. Haftung für Urheberrechtsverletzungen Arbeitnehmer Volle Haftung auf Unterlassung, Schadensersatz etc. Arbeitgeber haftet auf Unterlassung, Vernichtung und Schadensersatz haftet verschuldensunabhängig, also auch ohne Wissen von der Verletzung, dann aber nur auf Unterlassung gilt auch für z.b. Vereine oder Parteien haftet nicht nur für Arbeitnehmer, sondern auch bei anderen Vertragsverhältnissen, wie z.b. für Freelancer, externe Berater oder selbständigen Unternehmen keine Haftung für Software, die nicht für Unternehmenszwecke eingesetzt wird Rudel Schäfer Partner Seite 7

8 A. Urheberrechtliche Rahmenbedingungen (6) II. Haftung für Urheberrechtsverletzungen Organe (Mitglieder der Geschäftsführung) Haftung, wenn sie nicht die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsführers walten lassen sind verpflichtet dafür zu sorgen, dass auf den Unternehmensrechnern nur Software eingesetzt wird, für die die notwendigen Nutzungsrechte bestehen nicht ausreichend: Mitarbeiter darauf hinzuweisen, nur lizenzierte Software zu nutzen Empfehlung Vertragliche Vereinbarung mit den Mitarbeitern mit eindeutigen Nutzungsvorgaben für den Umgang mit privat erworbener Software (z.b. im Arbeitsvertrag oder Betriebsvereinbarung) Überprüfung der Nutzungsvorgaben durch Stichproben Rudel Schäfer Partner Seite 8

9 A. Urheberrechtliche Rahmenbedingungen (7) III.Entstehen von Urheberrechten Arbeitnehmer hat ein Werk geschaffen mit der für das Urheberrecht notwendigen Gestaltungshöhe Arbeitgeber hat exklusive Nutzungsrechte geschaffen während der Arbeitszeit dem Arbeitgeber muss das Werk übergeben werden Arbeitnehmer hat die ausschließlichen Rechte geschaffen während der Freizeit dem Arbeitgeber muss das Werk nicht übergeben werden Rudel Schäfer Partner Seite 9

10 Kapitelfolie A. Urheberrechtliche Rahmenbedingungen B. Datenschutz C. Schutz von Geschäfts- und Betriebsgeheimnissen D. Archivierung E. Strafrechtliche Rahmenbedingungen F. Data Loss Prevention-Syteme G. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von betrieblich gestellten Endgeräten H. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von privaten Endgeräten I. Arbeitszeitgesetz J. Bildschirmarbeitsplatzverordnung K. Individualrechtliche Fragestellungen L. Arbeitsrecht und Mitbestimmung M. Vereinbarung mit Mitarbeitern N. Fazit Rudel Schäfer Partner Seite 10

11 B. Datenschutz (1) I. Anwendbarkeit des Datenschutzrechtes (BDSG) Datenschutz bezieht sich nur auf Daten von natürlichen (und nicht von juristischen) Personen, z.b. Namen, Anschriften. Es werden nur Informationen erfasst, die über den Betroffenen etwas aussagen und keine anonymen Daten. Besondere Arten personenbezogener Daten: sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben, die besonders geschützt sind. Rudel Schäfer Partner Seite 11

12 B. Datenschutz (2) II. Risiken beim fehlenden Datenschutz Bei der Nichteinhaltung muss mit rechtlichen Konsequenzen gerechnet werden. Sanktionen: Bußgelder Freiheitsstrafen Anordnung von Maßnahmen (bis hin zur Untersagung von IT-Verfahren) durch die Aufsichtsbe- hörden Daneben bestehen für das Unternehmen und die jeweiligen Verantwortlichen weitere Risiken. Imageverlust Persönliche Risiken Rudel Schäfer Partner Seite 12

13 B. Datenschutz (4) III.Kunden- oder Mitarbeiterdaten auf dem Gerät des Arbeitnehmers Grundsatz: Der Arbeitgeber ist verantwortliche Stelle, weil er personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt. Den Arbeitnehmern ist als bei der Datenverarbeitung beschäftigten Personen untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Bring Your Own Device: Der Arbeitgeber gibt Daten außer Haus und lässt sie auf dem (fremden) Mobilrechner des Arbeitnehmers verarbeiten. Der Arbeitnehmer wird damit zum Auftragnehmer der Personendatenverarbeitung. Rudel Schäfer Partner Seite 13

14 B. Datenschutz (5) IV.Auftragsdatenverarbeitung ( 11 BDSG) Anwendbarkeit der Regelungen zur Auftragsdatenverarbeitung ( 11 BDSG) Die Regelungen zur Auftragsdatenverarbeitung dienen dazu, das Outsourcing von Datenverarbeitungsdienstleistungen datenschutzrechtlich abzusichern, der Auftraggeber bleibt verantwortlich. Auftragsdatenverarbeitung liegt vor, wenn die Ausführung eines Datenverarbeitungsverfahrens an den Auftragnehmer delegiert wird, der Auftragnehmer die Datenverarbeitung strikt nach Weisung durchführt, der Auftragnehmer selbst keine Handlungsfreiheit bei der Durchführung hat BYOD mit mitarbeitereigenen Geräten dürfte Auftragsdatenverarbeitung sein Beispiele für die Pflichten zur Auftragsdatenverarbeitung in 11 BDSG: sorgfältige Auswahl des Auftragsunternehmens Der Auftraggeber muss die vom Auftragnehmer getroffenen Schutzmaßnahmen vor Beginn der Datenverarbeitung und im Anschluss regelmäßig kontrollieren und das Ergebnis dokumentieren. Verstöße können mit Bußgeldern in Höhe von bis zu EUR ,00 geahndet werden. Ein Zehn-Punkte-Katalog regelt Inhalte, die obligatorisch ("insbesondere") vertraglich zu vereinbaren sind. Rudel Schäfer Partner Seite 14

15 B. Datenschutz (6) IV.Auftragsdatenverarbeitung ( 11 BDSG) Zehn-Punkte-Katalog Die folgenden Punkte sind gemäß 11 Absatz 2 BDSG bei der Vereinbarung von Auftragsdatenverarbeitung vertraglich zu regeln. Gegenstand und Dauer des Auftrags Umfang, Art und Zweck der Datenverarbeitung Vom Auftragnehmer zu treffende technische und organisatorische Maßnahmen Maßgaben zur Berichtigung, Löschung und Sperrung von Daten Pflichten des Auftragnehmers und von ihm vorzunehmende Kontrollen Begründung von Unterauftragsverhältnissen Kontrollrechte des Auftraggebers und Mitwirkungspflichten des Auftragnehmers Informationspflichten des Auftragnehmers bei Verstößen gegen den Datenschutz Weisungsbefugnisse des Auftraggebers Rückgabe von Datenträgern des Auftraggebers und Löschung gespeicherter Daten nach Beendigung des Auftrags Rudel Schäfer Partner Seite 15

16 B. Datenschutz (7) V. Technische und organisatorische Maßnahmen zum Schutz der Daten, 9 BDSG (1) Zutrittskontrolle Zugangskontrolle es muss verhindert werden, dass Unbefugte Daten nutzen können gilt auch für Familienmitglieder Ausschluss von Betriebssystem-Modifikationen (z.b. Jailbreak) Zugriffskontrolle Einschränkung des Zugriffes auf Daten & Applikationen, z. B. beim Öffnen von Unternehmensdaten in anderen, nicht-kontrollierten Applikationen Unterbinden von Screenshot-Funktionen Unterdrücken von Cloud-basierten Sprachassistenten (z. B. Siri) Verschlüsselung (auf dem Transportweg und auf dem Gerät) Weitergabekontrolle Rudel Schäfer Partner Seite 16

17 B. Datenschutz (8) V. Technische und organisatorische Maßnahmen zum Schutz der Daten, 9 BDSG (2) Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Backup Trennungsgebot Trennung von privaten und geschäftlichen Daten Rudel Schäfer Partner Seite 17

18 B. Datenschutz (9) VI.Informationspflichten bei Datenschutzpannen, 42a BDSG (1) Datenschutzpannen sind an die Aufsichtsbehörde und Betroffene zu melden, wenn sensible Daten (bspw. einem Berufsgeheimnis unterliegende Daten, Bankdaten, Gesundheit, religiöse Zugehörigkeit, Mitgliedschaft in Gewerkschaft), unrechtmäßig bzw. unkontrolliert Dritten bekannt werden (auch bei einem Datendiebstahl ), 42a BDSG sanktioniert die fahrlässige Unkenntnis einer Datenpanne nicht. Der praktisch wichtige Fall, dass ein mobiles Gerät mit Risikodaten schlicht abhanden gekommen ist, löst nach dem Gesetzeswortlaut somit noch keine Melde- und Benachrichtigungspflicht aus, ein Dritter muss (nach den Feststellungen der verantwortlichen Stelle) die Risikodaten auch tatsächlich zur Kenntnis genommen hat. Solange sich kein Finder gemeldet hat, kann die verantwortliche Stelle eine solche tatsächliche Kenntnisnahme durch einen Dritten nicht positiv feststellen, sondern müsste spekulieren. Dies erspart ihr 42a BDSG. und den Betroffenen schwerwiegende Beeinträchtigungen drohen (Gefahrenprognose). Die Meldung (an Aufsichtsbehörden und Betroffene) muss unverzüglich erfolgen. Die Melde- und Benachrichtigungspflicht besteht auch, wenn bei einer rechtlichen Überprüfung etwa durch den betrieblichen Datenschutzbeauftragten oder die Aufsichtsbehörde nachträglich festgestellt wird, dass eine Datenübermittlung gar nicht erlaubt war Rudel Schäfer Partner Seite 18

19 B. Datenschutz (10) VI.Informationspflichten bei Datenschutzpannen, 42a BDSG (2) Bei Nichterfüllung drohen Bußgelder in Höhe von bis zu EUR ,00 ( 43 Absatz 2 Nr. 7, 43 Absatz 3 S. 1 Hs. 2 BDSG). Es entstehen Benachrichtigungskosten + Schadensersatzansprüche des Betroffenen. Rudel Schäfer Partner Seite 19

20 B. Datenschutz (11) VII. Die privaten Daten des Arbeitnehmers auf dem mobilen Gerät Die privaten Daten des Arbeitnehmers sind der Privatsphäre unverändert zuzuordnen und als personenbezogene Daten zu schützen. Kein Problem, wenn Arbeitnehmer seine privaten Daten verschlüsselt. Für seine privaten Daten kann der Arbeitnehmer verantwortliche Stelle sein. Rudel Schäfer Partner Seite 20

21 Kapitelfolie A. Urheberrechtliche Rahmenbedingungen B. Datenschutz C. Schutz von Geschäfts- und Betriebsgeheimnissen D. Archivierung E. Strafrechtliche Rahmenbedingungen F. Data Loss Prevention-Syteme G. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von betrieblich gestellten Endgeräten H. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von privaten Endgeräten I. Arbeitszeitgesetz J. Bildschirmarbeitsplatzverordnung K. Individualrechtliche Fragestellungen L. Arbeitsrecht und Mitbestimmung M. Vereinbarung mit Mitarbeitern N. Fazit Rudel Schäfer Partner Seite 21

22 C. Schutz von Geschäfts- und Betriebsgeheimnissen Bei Bring Your Own Device muss der Schutz von Geschäfts- und Betriebsgeheimnissen gewährleistet sein Wichtig für Arbeitnehmer: Gesetzlich geschützt und strafbewehrt (!) sind Geheimnisverrat durch einen Unternehmensangehörigen. Geschützt sind insbesondere Ergebnisse aus Forschungs- und Entwicklungsabteilung, aber auch Kundendatenbanken. Wichtig für Arbeitgeber: Verträge zwischen Unternehmen (Partner oder Zulieferer), die einen Schutz von Geschäfts- und Betriebsgeheimnissen vorsehen. Rudel Schäfer Partner Seite 22

23 Kapitelfolie A. Urheberrechtliche Rahmenbedingungen B. Datenschutz C. Schutz von Geschäfts- und Betriebsgeheimnissen D. Archivierung E. Strafrechtliche Rahmenbedingungen F. Data Loss Prevention-Syteme G. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von betrieblich gestellten Endgeräten H. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von privaten Endgeräten I. Arbeitszeitgesetz J. Bildschirmarbeitsplatzverordnung K. Individualrechtliche Fragestellungen L. Arbeitsrecht und Mitbestimmung M. Vereinbarung mit Mitarbeitern N. Fazit Rudel Schäfer Partner Seite 23

24 D. Archivierung Bei Bring Your Own Device muss eine revisionssichere Archivierung möglich sein Betrieblich erstellte Dokumente müssen revisionssicher archiviert werden, z.b. Handelsbriefe Pflicht z.b. nach Handelsgesetzbuch (6 Jahre) oder Abgabenordnung (10 Jahre) Kriterien für Revisionssicherheit z.b.: Vollständigkeit, Schutz vor Veränderungen, Einhaltung der gesetzlichen Aufbewahrungsfristen, Nachvollziehbarkeit, Prüfbarkeit Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU): z.b. muss die Finanzverwaltung Zugriff auf die betrieblichen Daten haben Mitarbeiter muss ohne eine Vereinbarung einem Zugriff auf sein mobiles Gerät nicht zustimmen Rudel Schäfer Partner Seite 24

25 Kapitelfolie A. Urheberrechtliche Rahmenbedingungen B. Datenschutz C. Schutz von Geschäfts- und Betriebsgeheimnissen D. Archivierung E. Strafrechtliche Rahmenbedingungen F. Data Loss Prevention-Syteme G. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von betrieblich gestellten Endgeräten H. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von privaten Endgeräten I. Arbeitszeitgesetz J. Bildschirmarbeitsplatzverordnung K. Individualrechtliche Fragestellungen L. Arbeitsrecht und Mitbestimmung M. Vereinbarung mit Mitarbeitern N. Fazit Rudel Schäfer Partner Seite 25

26 E. Strafrechtlicher Rahmenbedingungen Straftatbestände beim Auslesen privater Daten Es besteht technisch das Risiko, dass Mitarbeiter (z.b. Servicetechniker) oder der Arbeitgeber die privaten Daten anderer Mitarbeiter auslesen. Straftatbestände, die insbesondere das Geheimhaltungsinteresse schützen: Ausspähen von Daten: schützt Daten, die gegen unberechtigten Zugang besonders gesichert sind, z.b. durch ein Passwort ( elektronischer Hausfriedensbruch ) Abfangen von Daten: schützt das Übertragen von privaten Daten (Pendant zum Abhören) Vorbereiten des Ausspähens und Abfangens von Daten: schützt z.b. Passwörter (z.b. durch Einsatz von Trojanern) Datenveränderungen: schützt das Löschen und verändern von Daten (ähnlich wie Sachbeschädigung) Rudel Schäfer Partner Seite 26

27 Kapitelfolie A. Urheberrechtliche Rahmenbedingungen B. Datenschutz C. Schutz von Geschäfts- und Betriebsgeheimnissen D. Archivierung E. Strafrechtliche Rahmenbedingungen F. Data Loss Prevention-Syteme G. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von betrieblich gestellten Endgeräten H. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von privaten Endgeräten I. Arbeitszeitgesetz J. Bildschirmarbeitsplatzverordnung K. Individualrechtliche Fragestellungen L. Arbeitsrecht und Mitbestimmung M. Vereinbarung mit Mitarbeitern N. Fazit Rudel Schäfer Partner Seite 27

28 F. Data Loss Prevention-Systeme (1) Data Loss Prevention-System Kein feststehender Ausdruck Systeme (Hard- und Software) zum Verhindern des ungewollten Abflusses von Informationen Kernfunktionalitäten Unterscheidung zwischen erlaubter und unerlaubter Verwendung von Daten Regelwerk (Policy) Es wird ein Regelwerk erstellt bei dem u.a. festgelegt wird, welche Daten zu schützen sind. Überwachung Es wird das mobile Gerät überwacht. Erkannt werden z.b. ein nicht autorisierter Nutzer verarbeitet Daten am Endgerät der Nutzer speichert auf einem als unzulässig definierten Speicherort per werden geschützte Daten versandt Funktionen, z.b. verhindert den Versand / Abfluss der geschützten Daten informiert den Vorgesetzten Löscht das Gerät auf Kommando Rudel Schäfer Partner Seite 28

29 F. Data Loss Prevention-Systeme (2) Einsatz kann Rechtsverstoß sein Auswertung von Protokollen kann Auskunft über Nutzerverhalten geben, also Überwachung des Arbeitnehmers. Verstoß gegen datenschutzrechtliche Vorschriften und Verletzung der Persönlichkeitsrechte des Arbeitnehmers Empfehlung Wenn Einsatz, dann müssen die Betroffenen über die präventiven Monitoring- und Screening- Maßnahmen aufgeklärt werden. Es empfehlen sich Regelungen innerhalb eines Vertrages, der ohnehin zur privaten Nutzung der mobilen Geräte geschlossen werden sollte. Rudel Schäfer Partner Seite 29

30 Kapitelfolie A. Urheberrechtliche Rahmenbedingungen B. Datenschutz C. Schutz von Geschäfts- und Betriebsgeheimnissen D. Archivierung E. Strafrechtliche Rahmenbedingungen F. Data Loss Prevention-Syteme G. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von betrieblich gestellten Endgeräten H. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von privaten Endgeräten I. Arbeitszeitgesetz J. Bildschirmarbeitsplatzverordnung K. Individualrechtliche Fragestellungen L. Arbeitsrecht und Mitbestimmung M. Vereinbarung mit Mitarbeitern N. Fazit Rudel Schäfer Partner Seite 30

31 G. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von betrieblich gestellten Endgeräten (1) I. Überwachungsrechte des Arbeitgebers Prämisse: Endgeräte werden vom Arbeitgeber gestellt und in das Firmennetzwerk eingebunden. 1. Verbotene Privatnutzung Weitgehende Überwachungsrechte bezogen auf dienstlich veranlasste Nutzung. Einsicht in -Verkehr nebst Inhalt. Anonyme Kontrollen möglich. Grenze: Verletzung des Persönlichkeitsrechts des Arbeitnehmers, z.b. durch minutiöse Überwachung des Nutzungsverhaltens. Rudel Schäfer Partner Seite 31

32 G. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von betrieblich gestellten Endgeräten (2) 2. Erlaubte Privatnutzung Risiken für den Arbeitgeber: o Haftung für rechtswidrige Nutzung durch den Arbeitnehmer. o Unterlassungs-/Beseitigungsansprüche, z.b. Risiko der kostenpflichtigen Abmahnung von Mitbewerbern/Dritten. o Strafrechtliche Verantwortung. Kontrolle privater -Korrespondenz/Internetnutzung regelmäßig unzulässig; bei Verdacht einer Straftat durch den Arbeitnehmer erlaubt. Bei sonstigem betrieblichen Interesse, z.b. Kontrolle des Arbeitsverhaltens gestattet. Rudel Schäfer Partner Seite 32

33 G. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von betrieblich gestellten Endgeräten (3) II. Welche Pflichten haben Arbeitnehmer im Umgang mit dem Firmennetzwerk? 1. Verbotene Privatnutzung Vermeidung privater Nutzung über Firmennetzwerk. 2. Erlaubte Privatnutzung Der Arbeitnehmer muss seine Arbeitspflicht erfüllen ( ohne Arbeit kein Lohn ). Schutz des Firmennetzwerks des Arbeitgebers. Schonender Umgang mit Betriebsmitteln. Schutz des Arbeitgebers vor Inanspruchnahme durch Dritte. Rudel Schäfer Partner Seite 33

34 Kapitelfolie A. Urheberrechtliche Rahmenbedingungen B. Datenschutz C. Schutz von Geschäfts- und Betriebsgeheimnissen D. Archivierung E. Strafrechtliche Rahmenbedingungen F. Data Loss Prevention-Syteme G. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von betrieblich gestellten Endgeräten H. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von privaten Endgeräten I. Arbeitszeitgesetz J. Bildschirmarbeitsplatzverordnung K. Individualrechtliche Fragestellungen L. Arbeitsrecht und Mitbestimmung M. Vereinbarung mit Mitarbeitern N. Fazit Rudel Schäfer Partner Seite 34

35 H. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von privaten Endgeräten (1) I. Anwendungsbereich Rudel Schäfer Partner Seite 35

36 H. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von privaten Endgeräten (2) II. Überwachungsrechte des Arbeitgebers 1. Verbotene/erlaubte Privatnutzung Differenzierung ist nicht möglich; privates Gerät kann privat genutzt werden. 2. Grundsatz: Erlaubt ist, was nicht ausdrücklich verboten ist. Rudel Schäfer Partner Seite 36

37 H. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von privaten Endgeräten (3) III. Welche Pflichten haben Arbeitnehmer im Umgang mit dem Firmennetzwerk? Der Arbeitnehmer muss seine Arbeitspflicht erfüllen ( ohne Arbeit kein Lohn ). Schutz des Firmennetzwerks des Arbeitgebers. Schonender Umgang mit Betriebsmitteln. Schutz des Arbeitgebers vor Inanspruchnahme durch Dritte. Empfehlung: Vertragliche Regelung der Nutzung privater Geräte im betrieblich veranlassten Bereich, z.b. mit dem Inhalt, private Daten unverzüglich als solche zu kennzeichnen. Rudel Schäfer Partner Seite 37

38 Kapitelfolie A. Urheberrechtliche Rahmenbedingungen B. Datenschutz C. Schutz von Geschäfts- und Betriebsgeheimnissen D. Archivierung E. Strafrechtliche Rahmenbedingungen F. Data Loss Prevention-Syteme G. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von betrieblich gestellten Endgeräten H. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von privaten Endgeräten I. Arbeitszeitgesetz J. Bildschirmarbeitsplatzverordnung K. Individualrechtliche Fragestellungen L. Arbeitsrecht und Mitbestimmung M. Vereinbarung mit Mitarbeitern N. Fazit Rudel Schäfer Partner Seite 38

39 I. Arbeitszeitgesetz (1) Rudel Schäfer Partner Seite 39

40 I. Arbeitszeitgesetz (2) Gesetzliche Höchstarbeitszeiten sind zu beachten. Das Arbeitszeitgesetz geht von einer regelmäßigen täglichen Arbeitszeit von 8 Stunden aus, die auf bis zu 10 Stunden verlängert werden kann. Die über 8 Stunden hinausgehende Arbeitszeit muss jedoch innerhalb von 6 Monaten ausgeglichen werden. Im Durchschnitt darf nicht innerhalb von 6 Kalendermonaten länger als 8 Stunden pro Werktag gearbeitet werden. Wer darüber hinaus mehr als 6 Stunden am Tag gearbeitet hat, muss eine Ruhepause von mindestens 11 Stunden ohne Unterbrechung zwischen Feierabend und dem nächsten Arbeitsbeginn einlegen. Risiko der Überschreitung der zulässigen Arbeitszeit, weil Arbeitnehmer das private Gerät nicht ausschalten wird. Dabei genügt bereits das Lesen von -Verkehr, um die gesetzlich vorgeschriebene Ruhezeit zu unterbrechen. Verstöße gegen das Arbeitszeitgesetz werden als Ordnungswidrigkeit mit einem Bußgeld von bis zu ,00 EUR belegt. Rudel Schäfer Partner Seite 40

41 Kapitelfolie A. Urheberrechtliche Rahmenbedingungen B. Datenschutz C. Schutz von Geschäfts- und Betriebsgeheimnissen D. Archivierung E. Strafrechtliche Rahmenbedingungen F. Data Loss Prevention-Syteme G. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von betrieblich gestellten Endgeräten H. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von privaten Endgeräten I. Arbeitszeitgesetz J. Bildschirmarbeitsplatzverordnung K. Individualrechtliche Fragestellungen L. Arbeitsrecht und Mitbestimmung M. Vereinbarung mit Mitarbeitern N. Fazit Rudel Schäfer Partner Seite 41

42 J. Bildschirmarbeitsplatzverordnung Der Anwendungsbereich der Bildschirmarbeitsplatzverordnung ist eröffnet, wenn ein Arbeitsplatz mit einem Bildschirm (- gerät) ausgestattet ist und dessen Nutzung bei einem wesentlichen Teil der Arbeit erfolgt. Bildschirm und Tastatur müssen getrennt sein. Verpflichtung zu regelmäßigen augenärztlichen Untersuchungen (veranlasst durch Arbeitgeber). Fortfall der Arbeitspflicht des Arbeitnehmers bei bestehender Vergütungspflicht auch bei kurzfristigem Verstoß. Rudel Schäfer Partner Seite 42

43 Kapitelfolie A. Urheberrechtliche Rahmenbedingungen B. Datenschutz C. Schutz von Geschäfts- und Betriebsgeheimnissen D. Archivierung E. Strafrechtliche Rahmenbedingungen F. Data Loss Prevention-Syteme G. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von betrieblich gestellten Endgeräten H. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von privaten Endgeräten I. Arbeitszeitgesetz J. Bildschirmarbeitsplatzverordnung K. Individualrechtliche Fragestellungen L. Arbeitsrecht und Mitbestimmung M. Vereinbarung mit Mitarbeitern N. Fazit Rudel Schäfer Partner Seite 43

44 K. Weitere individualrechtliche Fragestellungen (1) I. Vergütungspflicht des Arbeitgebers? Grundsätzlich hat der Arbeitgeber die Kosten des privaten Geräts des Arbeitnehmers nicht zu tragen. Es besteht jedoch ein Aufwendungsersatzanspruch des Arbeitnehmers, z.b. i.h.d. der Anschaffungskosten, der Gesprächskosten, der Providerkosten, nicht aber der Grundgebühren. Zudem empfiehlt sich für den Arbeitgeber die Vereinbarung einer Kostenübernahme, um seine Risiken zu minimieren. So sollte der Arbeitgeber die Kosten für Lizenzgebühren, Sicherheitsupdates, etc. übernehmen, um deren Aktualität zu gewährleisten. Rudel Schäfer Partner Seite 44

45 K. Weitere individualrechtliche Fragestellungen (2) II. Haftung und Ersatzpflichten Der Arbeitnehmer haftet nur in Ausnahmefällen für Schäden, die durch sein Gerät verursacht werden. Bei Verlust und Beschädigung in Erfüllung dienstlicher Tätigkeiten besteht eine Ersatzpflicht des Arbeitgebers; sonst grundsätzlich nicht. Risiko: Betriebshaftpflicht und IT-Versicherung umfassen in der Regel nicht das Haftungsrisiko des Arbeitgebers. Problem: Arbeitnehmer will kein weiteres/neues Gerät anschaffen. Rudel Schäfer Partner Seite 45

46 K. Weitere individualrechtliche Fragestellungen (3) III. Herausgabepflichten bei Bestehen/Beendigung des Arbeitsverhältnisses Dienstliche Daten gehören dem Arbeitgeber. Private Daten gehören dem Arbeitnehmer. Hierzu gehören auch die Software/SIM des Arbeitnehmers. Arbeitgeber muss sicherstellen, dass die Daten aus der betrieblichen Sphäre bei Verlust/Beendigung des Arbeitsverhältnisses ihm zur Verfügung stehen (z.b. durch BackUp- Möglichkeiten; sonstige Datensicherung). Verpflichtung zur Löschung unternehmensbezogener Daten bei Beendigung des Arbeitsverhältnisses und unter Vereinbarung einer Vertragsstrafe. IV. Gesetzliche Aufbewahrungspflichten gem. 257 Abs. 1 HBG und 147 Abs. 1 AO 6 Jahre/10 Jahre bei steuerlich relevanten Daten. Herausgabepflicht des Arbeitnehmers (auch des Ausgeschiedenen) muss vertraglich fixiert werden, ggf. unter Gewährung einer Gegenleistung und der Vereinbarung einer Vertragsstrafe. Rudel Schäfer Partner Seite 46

47 Kapitelfolie A. Urheberrechtliche Rahmenbedingungen B. Datenschutz C. Schutz von Geschäfts- und Betriebsgeheimnissen D. Archivierung E. Strafrechtliche Rahmenbedingungen F. Data Loss Prevention-Syteme G. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von betrieblich gestellten Endgeräten H. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von privaten Endgeräten I. Arbeitszeitgesetz J. Bildschirmarbeitsplatzverordnung K. Individualrechtliche Fragestellungen L. Arbeitsrecht und Mitbestimmung M. Vereinbarung mit Mitarbeitern N. Fazit Rudel Schäfer Partner Seite 47

48 L. Arbeitsrecht und Mitbestimmung (1) I. Mitbestimmungsrecht des Betriebsrates nach 87 Abs. 1 Nr. 6 BetrVG Existiert ein Betriebsrat, ist dessen Mitbestimmungsrecht nach 87 Abs. 1 Nr. 6 BetrVG zu beachten. Der Anwendungsbereich ist eröffnet bei technischen Einrichtungen, die objektiv geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Es kommt nicht darauf an, dass die technische Einrichtung dann tatsächlich eingesetzt wird. Erfolgt eine Anbindung an das Firmennetzwerk des Arbeitgebers, ist der Anwendungsbereich stets eröffnet. Regelungsbedarf insbesondere: Regelungen über den Zugriff des Arbeitgebers auf private Geräte des Arbeitnehmers. Rudel Schäfer Partner Seite 48

49 L. Arbeitsrecht und Mitbestimmung (2) II. Mitbestimmungsrecht des Betriebsrates nach 87 Abs. 1 Nr. 2 BetrVG Aufstellung verlässlicher Regeln zum arbeitszeitlichen Umgang mit dem Gerät führt in der Regel zur Eröffnung des Anwendungsbereiches. Der Anwendungsbereich ist demnach eröffnet, wenn der Arbeitgeber Regelungen zum Beginn und Ende der täglichen Arbeitszeit einschließlich der Pausen sowie der Verteilung der Arbeitszeit auf die einzelnen Wochentage aufstellen möchte, z.b. Verpflichtung Gerät nach 19:00 Uhr nicht für dienstliche Zwecke zu nutzen. III. Überwachungsrechte des Betriebsrates Den Betriebsrat trifft eine Überwachungspflicht nach dem BDSG. Der Arbeitgeber ist zur Auskunftserteilung sowie Bereitstellung von Informationen gegenüber dem Betriebsrat verpflichtet. Rudel Schäfer Partner Seite 49

50 Kapitelfolie A. Urheberrechtliche Rahmenbedingungen B. Datenschutz C. Schutz von Geschäfts- und Betriebsgeheimnissen D. Archivierung E. Strafrechtliche Rahmenbedingungen F. Data Loss Prevention-Syteme G. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von betrieblich gestellten Endgeräten H. Arbeitsrechtliche Rahmenbedingungen bei Nutzung von privaten Endgeräten I. Arbeitszeitgesetz J. Bildschirmarbeitsplatzverordnung K. Individualrechtliche Fragestellungen L. Arbeitsrecht und Mitbestimmung M. Vereinbarung mit Mitarbeitern N. Fazit Rudel Schäfer Partner Seite 50

51 M. Vereinbarung mit Mitarbeitern (1) Empfehlung: Abschluss einer Vereinbarung zwischen Arbeitgeber und Arbeitnehmer zur Nutzung mobiler Geräte im Rahmen einer einzelvertraglichen Regelung oder über eine Betriebsvereinbarung mit dem Betriebsrat. Folgende Regelungen sind zwingend aufzunehmen: Festlegung des Kreises berechtigter Mitarbeiter (braucht der Pförtner den Zugriff?) Festlegung des Kreises der zugelassenen Geräte Festlegung der Verschlüsselungstechnologien Kostentragung Gewährleistung, Wartung des Gerätes Verhaltensmaßregeln bei Verlust des Gerätes Haftung für den Verlust des Gerätes Betriebsrisiko bei Ausfall des Gerätes Rudel Schäfer Partner Seite 51