Bring Your Own Device aus rechtlicher Sicht

Transkript

1 25. September 2014 Bring Your Own Device aus rechtlicher Sicht Rechtsanwältin Jenny Hubertus 1

2 Rechtsanwältin Jenny Hubertus Spezialisierung auf Handels- und Gesellschaftsrecht Spezialisierung auf IT- und Social Media-Recht Schnittstelle zum ecommerce-, Social Media-, IT- und Datenschutzrecht 2

3 Prof. Dr. Michael Bartsch Anne Baureis Ina Bender Olaf Botzem LL.M. Thorsten Culmsee Joachim Dorschel Dr. Stephanie Funk Ulrich. A. Götz Dr. Alexander Hoff Jenny Hubertus Dr. Reinhard Möller Philipp Naumann Sabine Przerwok Dr. Carsten Ulbricht M.C.L. Thorsten Walter STANDORT KARLSRUHE: Bahnhofstraße Karlsruhe Telefon: +49 (0) Telefax: +49 (0) STANDORT STUTTGART: Stafflenbergstraße Stuttgart Telefon: +49 (0) Telefax: +49 (0) STANDORT FRANKFURT: Rennbahnstraße Frankfurt am Main Telefon: +49 (0) Telefax: +49 (0)

4 Gliederung 1. Ausgangslage: Mobility Eine Herausforderung 2. Arbeitsrecht 3. Datenschutz und IT-Sicherheit 4. Technische Umsetzung 5. Fazit und Lösungsmöglichkeiten 4

5 Ausgangslage Mobility Eine Herausforderung

6

7 Mobility Eine Herausforderung

8 Mobility Eine Herausforderung

9 Mobility Eine Herausforderung

10 Mobility Eine Herausforderung

11 Mobility Eine Herausforderung 9 BDSG: Technische und organisatorische Maßnahmen Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten.

12 Mobility Eine Herausforderung Anlage zu 9 Abs. 1 BDSG Das Unternehmen muss gewährleisten, dass. 1. Unbefugten der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt ist (Zutrittskontrolle), 2. Datenverarbeitungssysteme nicht von Unbefugten genutzt werden können (Zugangskontrolle), 3. die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),

13 Mobility Eine Herausforderung Anlage zu 9 Abs. 1 BDSG Das Unternehmen muss gewährleisten, dass. 4. personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), 5. nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),

14 Mobility Eine Herausforderung Anlage zu 9 Abs. 1 BDSG Das Unternehmen muss gewährleisten, dass. 7. personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 8. personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 9. zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Trennungsgebot).

15 Mobility Eine Herausforderung

16 Mobility Eine Herausforderung Unternehmen bleibt datenschutzrechtlich verantwortliche Stelle» auch, wenn die Daten auf dem Smartphone des Mitarbeiters gespeichert werden» Datenschutz und Datensicherheit muss gewährleistet sein, u.a.

17 Mobility Eine Herausforderung Datenschutz» Persönlichkeitsrechte Überwachung, Kontrolle, Ausspähen» Beschäftigtendatenschutz» Zugriff Dritter Datensicherheit und Compliance» Zugriffs- und Kontrollrechten des Arbeitgebers Schutz von Betriebs- und Geschäftsgeheimnissen

18 Arbeitsrecht

19 Mobile Devices. des Arbeitgebers. des Arbeitnehmers

20 Mobile Devices. des Arbeitgebers. des Arbeitnehmers. ohne Erlaubnis der Privatnutzung. mit Erlaubnis der Privatnutzung

21 Mobile Devices. des Arbeitgebers. des Arbeitnehmers. ohne Erlaubnis der Privatnutzung. mit Erlaubnis der Privatnutzung. auch zur Nutzung für dienstliche Zwecke. mit Zustimmung des Arbeitsgebers. ohne Zustimmung des Arbeitsgebers mit Regelung bloße Duldung

22 Mobile Devices. des Arbeitgebers. ohne Erlaubnis der Privatnutzung

23 Mobile Devices. des Arbeitnehmers. auch zur Nutzung für dienstliche Zwecke. ohne Zustimmung des Arbeitsgebers

24 Arbeitsrecht BYOD ohne Zustimmung des Arbeitgebers - Rechtsfolgen» Abmahnung und Kündigung» Unterlassung und Schadensersatz» ggf. Strafbarkeit nach 17 UWG (Verrat von Geschäfts- und Betriebsgeheimnissen)» Zumindest Schaffung einer entsprechenden Verdachtslage

25 Mobile Devices. des Arbeitgebers. des Arbeitnehmers. mit Erlaubnis der Privatnutzung. auch zur Nutzung für dienstliche Zwecke. mit Zustimmung des Arbeitsgebers mit Regelung bloße Duldung

26 Arbeitsrecht Regelungsmöglichkeiten des Arbeitgebers? Direktionsrecht Einseitige Weisung des Arbeitgebers ( Policy ) Aber: Keine Verfügung über Privateigentum des Mitarbeiters Keine Beschränkung bestehender betrieblicher Übung

27 Arbeitsrecht Regelungsmöglichkeiten des Arbeitgebers? Direktionsrecht Arbeitsvertrag Einseitige Weisung des Arbeitgebers ( Policy ) Aber: Keine Verfügung über Privateigentum des Mitarbeiters Keine Beschränkung bestehender betrieblicher Übung Regelung mit Zustimmung des Mitarbeiters Aber: Keine Durchsetzung gegen den Willen Administrativer Aufwand AGB-Kontrolle

28 Arbeitsrecht - AGB Was sind Allgemeine Geschäftsbedingungen? Allgemeine Geschäftsbedingungen sind alle für eine Vielzahl von Verträgen vorformulierten Vertragsbedingungen, die der Verwender der anderen Vertragspartei bei Abschluss des Vertrages stellt Individuelles Aushandeln erforderlich Wirkliches Aushandeln Reale Möglichkeit, den Inhalt der Vertragsbedingungen zu beeinflussen

29 Arbeitsrecht - AGB Was sind Allgemeine Geschäftsbedingungen?» Arbeitsverträge» Zusatz- und Nebenvereinbarungen, z.b.»dienstwagenregelung»homeoffice-vereinbarung»it-nutzungsvereinbarung

30 Arbeitsrecht - AGB AGB-Kontrolle: Überraschende Klauseln werden nicht Bestandteil des Arbeitsvertrages Eine Regelung hat dann überraschenden Charakter, wenn sie objektiv ungewöhnlich ist und von den Erwartungen des Vertragspartners deutlich abweicht und dieser mit ihr nach den Umständen nicht zu rechnen braucht (vgl. BAG Urteil vom AZR 545/04) Überrumpelungs- oder Übertölpelungseffekt Überraschende Klauseln: äußere Zuschnitt einer Klausel oder ihre Unterbringung an unerwarteter Stelle

31 Arbeitsrecht Regelungsmöglichkeiten des Arbeitgebers? Direktionsrecht Arbeitsvertrag Betriebsvereinbarung Einseitige Weisung des Arbeitgebers ( Policy ) Aber: Keine Verfügung über Privateigentum des Mitarbeiters Keine Beschränkung bestehender betrieblicher Übung Regelung mit Zustimmung des Mitarbeiters Aber: Keine Durchsetzung gegen den Willen Administrativer Aufwand AGB-Kontrolle Kollektive, betriebseinheitliche Regelung Weitreichender Gestaltungsspielraum Aber: Zustimmung des Betriebsrates erforderlich

32 Arbeitsrecht - Mitbestimmung Einführung von Mobile Device Management ist mitbestimmungspflichtig nach» 87 Abs. 1 Nr. 1 BetrVG (Fragen der Ordnung des Betriebes und des Verhaltens der Arbeitnehmer im Betrieb)» 87 Abs. 1 Nr. 6 BetrVG (Einführung und Anwendung technischer Einrichtung zur Überwachung von Verhalten und Leistung) Das Mitbestimmungsrecht erfasst» jede Änderung der technischen Einrichtung (alle Änderungen, die die verarbeiteten Daten, die Programmabläufe und den Zugriffsschutz betreffen)» Art und Umfang der Datenverarbeitung (Welche Daten werden verarbeitet?)» Art und Weise der Datenverarbeitung (Wie werden die Daten verarbeitet?)» Durchführungsvorschriften (Regelungen über Vollzug und Kontrolle)

33 Arbeitsrecht - Mitbestimmung» Erzwingbare Mitbestimmungsrechte nach 87 BetrVG» Arbeitgeber kann Maßnahme nur einvernehmlich mit dem Betriebsrat regeln» Einseitige Arbeitgeberentscheidungen sind rechtwidrig und damit unwirksam» Zustimmungsverweigerung des BR ist nicht an bestimmte Gründe gebunden» Rechtsfolge» Keine Durchsetzung gegen den Willen des Betriebsrates» Beide Betriebsparteien können Einigungsstelle anrufen» Spruch der Einigungsstelle ist bindend» Unterlassungsanspruch des Betriebsrats (str.)

34 Datenschutz und IT-Sicherheit

35 Datenschutz und IT-Sicherheit 35

36 Datenschutz und IT-Sicherheit Missbrauch bei Verlust oder Diebstahl Kontrolle zur Einhaltung von Sicherheitsrichtlinien (z.b. Schutz vor Malware) Straftaten und Vertragsverletzungen des Arbeitnehmers Unmittelbarer Zugriff des Arbeitgebers notwendig! 36

37 Datenschutz und IT-Sicherheit Übersicht 37

38 Datenschutz und IT-Sicherheit Datenschutz 4 Abs. 1 BDSG: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Was sind personenbezogenen Daten? alle Informationen, die über eine bezogene Person etwas aussagen, oder mit verhältnismäßigen Mitteln zu ihr zurückverfolgt werden können.

39 Datenschutz und IT-Sicherheit Datenschutz 4 Abs. 1 BDSG: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.

40 Datenschutz und IT-Sicherheit Datenschutz 4 Abs. 1 BDSG: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Erlaubnistatbestand

41 Datenschutz und IT-Sicherheit Datenschutz 32 BDSG (Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses) Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.

42 Datenschutz und IT-Sicherheit Datenschutz 32 BDSG (Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses) Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.

43 Datenschutz und IT-Sicherheit Datenschutz 32 BDSG (Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses) Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

44 Datenschutz und IT-Sicherheit Datenschutz 32 BDSG (Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses) Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

45 Datenschutz und IT-Sicherheit Datenschutz 4 Abs. 1 BDSG: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Einwilligung

46 Einwilligung ( 4a BDSG): Datenschutz und IT-Sicherheit Datenschutz Aufklärung über Datennutzung Schriftlich (auch elektronisch möglich) Freie Entscheidung (ohne Zwang) Pflicht zur Aufklärung vor Beginn der Datenverarbeitung Aufklärung über Widerrufsmöglichkeiten

47 Datenschutz und IT-Sicherheit Datenschutz Verantwortliche Stelle = Arbeitgeber Betroffener = Arbeitnehmer Zweck Art/ Umfang Widerruf Zweck Art/ Umfang Widerruf Problem 1: Einbindung in Arbeitsvertrag Arbeitsvertrag = AGB Besondere Hervorhebung notwendig!

48 Datenschutz und IT-Sicherheit Datenschutz Verantwortliche Stelle = Arbeitgeber Betroffener = Arbeitnehmer Problem 2: Freiwillig???

49 Datenschutz und IT-Sicherheit Strafrecht 202a StGB (Ausspähen von Daten) 1. Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. 2. Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden. Kein Zugriff auf private Daten unter Überwindung von Sicherheitsmechanismen (Passwort) des Arbeitnehmers 49

50 Datenschutz und IT-Sicherheit Computer-Grundrecht Computer-Grundrecht des BVerfG: Das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 ivm Art. 1 Abs. 1 GG) umfasst das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Umfassender Schutz vor heimlicher Infiltration durch staatliche Stellen Vermittlung zivilrechtlicher Abwehr- und Kompensationsansprüche ( 823, 1004 BGB) 50

51 Datenschutz und IT-Sicherheit Allgem. Persönlichkeitsrecht Persönlichkeitsrecht des Users - Schutzpflicht des Arbeitgebers Ergänzung der geschriebenen Verbotstatbestände Insbesondere: Verbot lückenloser Überwachung von Arbeitnehmern (Bsp.: Bewegungsprofile) Rechtsunsicherheit durch Interessenabwägung 51

52 Datenschutz und IT-Sicherheit Telekommunikationsrecht 88 TKG (Fernmeldegeheimnis): untersagt, sich ( ) über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen. Schutz von Kommunikationsinhalten und Verbindungsdaten: Kein Eingriff auf Grundlage von Dienst- oder Betriebsvereinbarungen Freiwillige und AGB-feste Einwilligung erforderlich (vgl. o. Datenschutzrecht ) Strafbewehrung von Verstößen 52

53 Datenschutz und IT-Sicherheit Fazit und Folgen Fazit: 1. Zugriff auf dienstliche Daten ist jederzeit zulässig 2. Zugriff auf private oder gemischte Daten grds. unzulässig Rechtsfolge von Verstößen: Unterlassungs- und Schadensersatzansprüche des Arbeitnehmers Beweisverwertungsverbote z.t. Strafrechtliche Sanktionen 53

54 Technische Umsetzung

55 Daten Privat Unternehmen

56 Mobile Devices Secure Device Virtualisierung Container Desktop- Virtualisierung Plattform- Virtualisierung

57 Fazit und Lösungsmöglichkeiten

58 Fazit» Keine bloße ungeregelte Duldung» Kein Mobile Device Management ohne» technisches Konzept und» arbeitsrechtlich belastbare Regelung» Trennung von privaten und geschäftlichen Daten» Verschlüsselung» Terminal-Lösungen» Virtualisierung

59 Notwendiger Regelungsinhalt» Sorgfaltspflichten» Passwortschutz (Passwort-Richtlinie)» Ausschluss der Nutzung durch Dritte» Aufbewahrungs- und Sicherungspflichten» Nutzungsbeschränkungen» Nutzung bei Krankheit und Urlaub» Arbeitszeit» Privatnutzung» Sicherungspflichten» Einsatz von Malware- und Virenscannern zum Schutz vor Schadsoftware» White-/ Blacklist zur Regelung von Software und Apps» Verbot der Speicherung dienstlicher Daten auf eigenen Geräten

60 » Kontrollrechte» Zugriffsrechte des Unternehmens» Sperrung» Löschung (insb. Remote-Wipe)» Überwachung» Datenschutzerklärung und Schulung» Herausgabepflichten Notwendiger Regelungsinhalt

61 Schluss

62

63 Fragen Bartsch Rechtsanwälte Jenny Hubertus Rechtsanwältin Stafflenbergstraße Stuttgart Telefon: +49 (0) Telefax: +49 (0)