Arbeitsgruppe IT-Recht

Transkript

1 Arbeitsgruppe IT-Recht Rechtsfragen bei Enterprise Mobility Eine Einführung in wichtige rechtliche Themen bei der Nutzung von mobilen Endgeräten im Unternehmen. Einleitung Die betriebliche Nutzung von Smartphones, Tablets und Laptops wirft eine Reihe von rechtlichen Fragen auf. Das gilt für insbesondere für den Einsatz privater Geräte im Unternehmen. Zur Vermeidung einer Haftung des Unternehmens und dessen Management müssen einige wichtige Punkte beachtet werden. Denn die Regelung der Gerätenutzung durch das Unternehmen ist Bestandteil des gesetzlich vorgeschriebenen IT-Risikomanagements und zwar unabhängig davon, ob die Mitarbeiter private oder betriebliche Geräte einsetzen.

2 Gesetzliches Risikomanagement Aus dem Gesetz zur Kontrolle im Unternehmensbereich (KonTraG) ergibt sich für die Geschäftsleitung die besondere Organisationspflicht, geeignete Maßnahmen zur Früherkennung solcher Entwicklungen zu treffen, die den Fortbestand des Unternehmens gefährden können. Hierzu gehört die Einrichtung und Überwachung eines "Risikomanagements" für die Erkennung, Kontrolle und Reduzierung von Geschäftsrisiken. Dabei müssen auch die IT-Systeme einschließlich der von den Mitarbeitern genutzten mobilen Endgeräte überwacht werden. Haftung und Verantwortlichkeit Für die Einrichtung und Funktionsfähigkeit des Risikomanagements ist die Geschäftsleitung persönlich verantwortlich. Auch leitende Angestellte, beispielsweise der Leiter der IT-Abteilung, können aufgrund ihrer Zuständigkeit verpflichtet sein, für ein angemessenes Risikomanagement zu sorgen. Bei einer Verletzung der vorgenannten Pflichten ist die Geschäftsleitung der Gesellschaft grundsätzlich zum Schadensersatz verpflichtet. Für leitende Angestellte folgt die Verpflichtung zu der ordentlichen und gewissenhaften Aufgabenerfüllung im Rahmen ihrer Zuständigkeit aus deren Dienstvertrag. Auch leitende Angestellte sind bei Pflichtverletzungen grundsätzlich zum Schadensersatz verpflichtet. Betriebliche Regelung der Gerätenutzung Zur Vermeidung von Nachteilen für Unternehmen, Mitarbeiter und Management sollte die betriebliche Nutzung der Geräte sorgfältig geregelt werden. Erforderlich sind zumeist technische und organisatorische Maßnahmen für eine ausreichende IT- und Datensicherheit, weiter die Etablierung von Verhaltens- und Sicherheitsrichtlinien für den Umgang mit den Geräten durch die Mitarbeiter. Diese Anforderungen bestehen nicht nur bei der betrieblichen Verwendung von privaten Geräten ( Bring your own Device, kurz BYOD ), sondern bereits dann, wenn die Mitarbeiter Geräte des Unternehmens einsetzen. Allerdings wirft BYOD weitergehende Aspekte auf, die ebenfalls Gegenstand des Risikomanagements und der Richtlinien sein müssen.

3 Risiko Urheberrecht Ein Risiko stellen durch Arbeitnehmer zumeist unwissentlich begangene Urheberrechtsverstöße dar. Ein Urheberrechtsverstoß kann etwa im Herunterladen von Fotos, Logos, Videodateien oder Texten liegen. Potenziell urheberrechtswidrige Handlungen sollten soweit als möglich bereits mittels technischer Maßnahmen unterbunden, im Übrigen mittels der Richtlinie reglementiert werden. Apps und andere Software Auch die Nutzung von Software außerhalb der hierfür geltenden Softwarenutzungsbedingungen ist in aller Regel urheberrechtswidrig. Dieser Umstand bedingt eine sorgfältige Kontrolle der auf den Geräten vorhandenen Software und zwar sowohl der vorinstallierten, als auch der von den Mitarbeitern etwaig installierten Software. Beispielsweise erlauben die Nutzungsbedingungen mancher Apps nur eine private bzw. "nicht gewerbliche" Nutzung der Apps, oder knüpfen an eine gewerbliche bzw. betriebliche Nutzung zusätzliche Bedingungen. Zur Vermeidung von Urheberrechtsverstößen sollte daher die betriebliche Nutzung der auf den Geräten vorhandenen Software sorgfältig geregelt werden. Vor Beginn der betrieblichen Geräte-Nutzung erfolgt jeweils eine Bestandsaufnahme der auf dem Gerät vorhandenen Software. Hierbei sollten die Nutzungsbedingungen insbesondere daraufhin geprüft werden, inwieweit die Software betrieblich genutzt werden darf; weil sich derartige Nutzungsbedingungen ändern können, sollte diese Prüfung in regelmäßigen Abständen wiederholt werden. Im Übrigen muss in der Geräterichtlinie klar und verbindlich geregelt werden, welche Apps und sonstige Software die Mitarbeiter im Rahmen ihrer betrieblichen Tätigkeit nutzen dürfen - und welche nicht. Grundsätzlich sollte nur solche Software betrieblich verwendet werden (dürfen), die hierfür durch das Unternehmen freigegeben wurde. Viele Unternehmen führen hierzu eine "Whitelist" für zugelassene Software, oder führen umgekehrt kritische Software in einer "Blacklist". Die rechtliche Brisanz der Softwarenutzung steigt bei BYOD nochmals deutlich, weil auf privat genutzten Geräten in der Regel erheblich mehr und andere Software installiert wird, als auf den Geräten des Unternehmens. Entsprechend sorgfältig muss eine BYOD-Richtlinie sich mit diesem Thema beschäftigen.

4 Datenschutz Auch der Schutz personenbezogener Daten muss Gegenstand des Risikomanagements und der Richtlinie sein. Für die auf den Geräten gespeicherten personenbezogenen Daten gelten die gesetzlichen Anforderungen des Datenschutzes für deren Einhaltung das Unternehmen verantwortlich ist. Bei BYOD gilt der gesetzliche Datenschutz auch für etwaig auf den betrieblich genutzten Geräten vorhandene private Daten. Darüber hinaus besteht bei BYOD das erhöhte Risiko einer Vermischung privater Daten mit solchen des Unternehmens. Das Bekanntwerden privater Daten innerhalb des Unternehmens ist aber ebenso unerwünscht, wie das Gelangen von dienstlichen Daten in den privaten Bereich. Der erstere Fall stellt das Unternehmen vor erhebliche datenschutz- und arbeitsrechtliche Herausforderungen. Im letzteren Fall kann nicht mit einer Einhaltung der datenschutzrechtlichen Anforderungen durch den Mitarbeiter gerechnet werden. Bereits die Übertragung von Personendaten in den privaten Bereich des Mitarbeiters ist in der Regel datenschutzrechtlich unzulässig. Für einen rechtskonformen Datenschutz muss daher eine strikte Trennung der privaten Daten von den geschäftlichen Daten und Informationen erfolgen. Das gilt auch für die Datensicherung, wobei private Daten grundsätzlich nur privat gesichert werden sollen, und Unternehmensdaten nur innerhalb des Unternehmens. Weiter kann es erforderlich sein, die Nutzung bestimmter datenschutzrechtlich fragwürdiger Software zu untersagen oder wenigstens einzuschränken. Insbesondere viele Smartphone-Apps greifen auf die auf dem Gerät gespeicherten Daten zu und übertragen diese an Dritte beispielsweise an den Hersteller der App. Häufig erfolgt das ohne ausreichenden Blick auf die hiesigen gesetzlichen Anforderungen an den Datenschutz. Werden auf diese Weise Unternehmensdaten an Unbefugte übertragen, so kann neben dem Risiko datenschutzbehördlicher Sanktionen der wirtschaftliche Schaden für das Unternehmen beträchtlich sein. Vertraulichkeit Bei der betrieblichen Nutzung von mobilen Endgeräten besteht grundsätzlich das Risiko der Offenlegung von vertraulichen Informationen, beispielsweise durch den Verlust des Geräts oder durch den Abgriff von Daten über aktuelle Funktechnologien. Daher sollte von vornherein eine möglichst geringe Speicherung vertraulicher geschäftlicher Daten auf den Geräten erfolgen. Vorhandene Daten sollten verschlüsselt, wenigstens das Gerät mittels eines Passworts gegen unbefugte Nutzung geschützt werden. Insofern sind Maßnahmen für das Passwort- und Sicherheitsmanagement, die Etablierung eines Verfahrens bei Geräteverlust sowie Regelungen zur allgemeinen Vertraulichkeit ein wichtiger Bestandteil des Risikomanagements und der Richtlinie.

5 Private und betriebliche Geräte-Nutzung differenzieren Häufig gestatten Unternehmen ihren Mitarbeitern teilweise mit Einschränkungen die auch private Nutzung der betrieblich eingesetzten Geräte. Jedenfalls bei BYOD ist das kaum vermeidbar, weil die Geräte ja ohnehin, mindestens außerhalb der Arbeitszeit, privat genutzt werden. Allerdings resultiert aus einer solchen Mischnutzung der Unternehmens-IT ein erhöhtes Sicherheitsund Haftungsrisiko für das Unternehmen. Beispielsweise ist das Risiko von Urheberrechtsverletzungen bei einer auch privaten Nutzung tendenziell höher, als bei einer rein dienstlichen Nutzung. Gleichzeitig sind bei einer auch privaten Nutzung die Rechte des Unternehmens gegenüber seinen Arbeitnehmern, insbesondere Überwachungs- und Kontrollrechte, deutlich eingeschränkt. Aus rechtlicher Sicht liegt es daher eine vollständige Untersagung der privaten Geräte-Nutzung nahe. Für betriebliche Geräte ist dies mittels einseitiger Weisung des Arbeitgebers grundsätzlich möglich. Möchte das Unternehmen ein solches Verbot nicht, oder ist eine private Nutzung aufgrund BYOD "vorprogrammiert", muss in der Richtlinie zwischen der dienstlichen und der privaten Nutzung sorgfältig differenziert werden. Während der Arbeitgeber die dienstliche Nutzung der IT weitgehend reglementieren kann, sind Vorgaben im privaten Bereich arbeitsrechtlich kaum einseitig durchsetzbar. (Betriebs-)Vereinbarung als Ideallösung Insbesondere bei BYOD liegt der optimale Ansatz häufig in einer vertraglichen Vereinbarung mit den Mitarbeitern. Denn hierdurch werden die Regelungsmöglichkeiten für das Unternehmen erheblich erweitert und arbeits- bzw. betriebsverfassungsrechtliche Unstimmigkeiten vermieden. Da die Mitarbeiter durch die Einbringung ihrer eigenen Geräte in das Unternehmen in aller Regel auch Vorteile erhalten, besteht häufig die Bereitschaft, hierfür im Gegenzug angemessene Reglementierungen vertraglich zu akzeptieren. Ist ein Betriebsrat vorhanden, erfolgt die Einigung mittels einer Betriebsvereinbarung. Nicht wenige Unternehmen entscheiden sich für eine zweistufige Lösung: Für die Nutzung der betrieblichen IT werden verbindliche Richtlinien etabliert. Mitarbeiter, die an BYOD teilnehmen möchten, schließen mit dem Unternehmen darüber hinaus eine entsprechende Zusatzvereinbarung (entweder individuell, oder mittels der Teilnahme an einer Betriebsvereinbarung). Mit einem solchen, die individuellen Bedürfnisse des Unternehmens und seiner Mitarbeiter berücksichtigenden Vorgehen und dessen Umsetzung in sorgfältig gestalteten Geräterichtlinien und BYOD-Vereinbarungen lassen

6 sich die rechtlichen Risiken wirksam minimieren und für Unternehmen und Mitarbeiter ein attraktiver Mehrwert erzielen. Über SKW Schwarz SKW Schwarz ist eine unabhängige deutsche Anwaltskanzlei. Wir beraten Unternehmen von inhabergeführten Firmen bis zu börsennotierten Aktiengesellschaften auf allen wesentlichen Gebieten des nationalen und internationalen Wirtschaftsrechts. Mit Büros in Berlin, Düsseldorf, Frankfurt am Main, Hamburg und München sind wir deutschlandweit an den wichtigsten Wirtschaftsstandorten vertreten. Die Rechtspraxis von SKW Schwarz gehört zu den führenden in Deutschland. Die Rechtsanwälte von SKW Schwarz verfügen über umfassende Erfahrung in der Lösung hochspezialisierter rechtlicher Fragestellungen und haben sich durch viele Publikationen und Referententätigkeiten einen Namen im Markt geschaffen.

7 Über die Arbeitsgruppe IT-Recht Die AG IT-Recht von nrw-units bietet Anbietern und Anwendern Beratung und Unterstützung in allen Teilbereichen des IT-Rechts. Sie informiert und berät sowohl über aktuelle IT-rechtliche Themen wie das Cloud Computing und Enterprise Mobility, als auch in Bezug auf die rechtliche Strukturierung und Betreuung klassischer IT-Projekte wie Systemintegrationen und Outsourcing. Im Online-Recht bietet die AG IT-Recht u. a. rechtliche Beratung und Unterstützung bei der Entwicklung und Umsetzung von Geschäftsmodellen, Produkten und Diensten des E- und M-Business. Ein weiterer wichtiger Schwerpunkt der Tätigkeit der AG IT-Recht sind der Datenschutz und die IT-Compliance. Unternehmen jeder Größenordnung sowie Branchen und Branchenverbände erhalten Rat und Unterstützung bei der Entwicklung von Datenschutzkonzepten und bei der Herstellung eines ausreichenden Datenschutzniveaus. Autor RA Jan Schneider Fachanwalt für Informationstechnologierecht Web: