Dr. Wolfgang Schnabl

Transkript

1 Bring Your Own Device BRING YOUR OWN DEVICE ZWISCHEN RECHT UND SICHERHEIT Dr. Wolfgang Schnabl Bring Your Own Device (BYOD) ist die vereinbarungsmäßige Nutzung von privaten mobilen Geräten Laptops, Tablets und vor allen Smartphones durch Mitarbeiter für dienstliche Zwecke. Mit diesen Geräten wird auf Grundlage von vorgegebenen Unternehmensrichtlinien auf das Netzwerk des Unternehmens zugegriffen, es werden Anwendungen ausgeführt und Daten verarbeitet und gespeichert. Die Nutzung solcher privater Geräte ist im Steigen. Eine Umfrage des deutschen BITKOM-Verbandes vom Frühjahr 2013 zeigt 1, dass bereits 71 Prozent der Erwerbstätigen in Deutschland privat angeschaffte Handys und Computer für den Beruf nutzen. Laut einer PAC-Studie 2 vom September 2013 wird BYOD derzeit in drei Vierteln der Unternehmen zumindest toleriert, in jedem fünften sogar gefördert. Die Zahlen und Einschätzungen führender Analysten zeigen, dass BYOD kein Randphänomen darstellt, sondern bereits in den Unternehmensalltag Einzug genommen hat. Die rechtlichen Fragestellungen die sich daraus ergeben, sind mannigfaltig. Vom Modell BYOD zu unterscheiden ist das bereits seit längerem bestehende Modell Choose Your Own Device. Hier können Mitarbeiter aus einer definierten Produktpallete, die das Unternehmen vorgibt, ein beliebiges Gerät auswählen. Der große Unterschied zu BYOD besteht darin, dass diese Geräte im Eigentum des Unternehmens, und nicht des Mitarbeiters, stehen. Die rechtliche Fragestellung hierbei ist jene der Privatnutzung von unternehmenseigenen Arbeitsmitteln. Dies wurde, etwa im Zusammenhang mit der Privatnutzung von Firmenwagen in der Literatur bereits ausführlich diskutiert. Des Weiteren ist anzumerken, dass BYOD die bewusste Einführung von Regelungen für die Nutzung von Privatgeräten der Mitarbeiter im Unternehmensumfeld darstellt. Eine derartige Nutzung ohne Vereinbarung birgt Risiken sowohl für Unternehmen, als auch für Mitarbeiter und wird oft auch Schatten-IT genannt. Wirtschaftliche Grundlagen Die Einbeziehung von privaten mobilen Geräten in ein Unternehmensnetz bringt sowohl für den Unternehmer als auch für den Mitarbeiter Vorteile. Aus diesem Grund sind beide Seiten an einer Integration interessiert. Vorteile für das Unternehmen sind einerseits eine größere Flexibilität hinsichtlich Arbeitszeit und -ort, als auch hinsichtlich des Geräts. Kosteneinsparungen entstehen bei der Anschaffung neuer Hardware. Meist sind Privatgeräte leistungsfähiger als alte Firmenhardware. Der Mitarbeiter ist mit seinem privaten Smartphone auch außerhalb der Arbeitszeiten erreichbar, weniger Schulungen sind für die Mitarbeiter notwendig. Durch die Verwendung von Wunschgeräten entsteht eine positive Einstellung zur Arbeitsumgebung und somit eine höhere Unternehmensbindung. Durch den schonenderen Umgang mit eigenen Geräten erhöht sich die Lebensdauer dieser Geräte. Mitarbeiter sehen Vorteile darin, dass sie nicht mehrere Geräte mit ähnlicher Funktionalität (mehrere Smartphones) mitnehmen müssen, sowie dass sie ihr Lieblingsgerät auch zum Arbeiten verwenden und die vertraute Smartphone-Umgebung (Apps) nutzen können. Nachteile sind sicherlich die höhere Komplexität für die IT-Abteilung durch die heterogene Hard- und Software, ein erhöhtes Risiko, dass Mitarbeiter während der Arbeit private Angelegenheiten tätigen. Falls das Unternehmen keinen Einfluss auf die Sicherheit der privaten Geräte nimmt, drohen Verlust von Unternehmensdaten, ungepatchte Sicherheitslücken, sowie Schadsoftware. Die privaten Geräte erfüllen üblicherweise nicht die vom Unternehmen vorgegebenen Sicherheitsstandards. Kontrollverlust des 1 BITKOM (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.v.), Mitarbeiter verwenden ihre privaten Geräte für den Job, 11. April 2013, ( ) 2 PAC (Pierre Audoin Consultants), Mobile Device & Application Management in Deutschland, Frankreich, Großbritannien und der Schweiz, September 2013, ( ) BYOD zw. Recht und Sicherheit Dr. Wolfgang Schnabl Seite 1 von 7

2 Unternehmens über die eigene Client-Landschaft verhindert einheitliche, strukturierte Arbeitsprozesse. Die Grenze zwischen Privatem und Beruflichem vermischt sich immer mehr. Dies führt dazu, dass die Mitarbeiter sich nicht mehr entsprechend erholen können. Auch die rechtlichen Aspekte sind mannigfach und betreffen unterschiedlichste Rechtsgebiete. Rechtliche Grundlagen Die rechtliche Hauptschwierigkeit entsteht durch die eingeschränkte Dispositionsmöglichkeit des Arbeitgebers über das im Eigentum des Mitarbeiters stehende Gerät. Rechtliche Fragen umfassen dabei ein weites Spektrum: Datenschutz, Arbeitsrecht, Kontrollmöglichkeit des Arbeitgebers, Haftung bei Verlust oder Beschädigung des Geräts, Eigentumsrecht an den Daten, Lizenzen für Software, unabsichtliche staatliche Überwachung des Unternehmens bei Ermittlung gegen den Mitarbeiter, Verantwortung bei Urheberrechtsverletzung, Schadenersatz nach Vorfällen bei Kunden (z.b. Virenvorfall). Datenschutz Das Recht auf informationelle Selbstbestimmung ist das Recht des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. Personenbezogene Daten im Sinne des österreichischen Datenschutzgesetzes (DSG 2000) sind Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist. Diese Daten, die üblicherweise bei Unternehmen anfallen und von diesen für ihre Geschäftstätigkeit verwendet werden, sind sowohl im Bereich Kundendaten, als auch Mitarbeiterdaten zu finden. Unter diese Kategorie fallen Name, Adresse, Identifikationsdaten, aber auch Bild- und Tondaten, biometrische Daten, technische Kennzahlen (z.b. Stromverbrauch). Sogar -Adresse als auch IP-Adresse sind unter Umständen personenbezogene Daten, die unter den Schutz dieses Gesetzes fallen. Rechtmäßige Verarbeitung von personenbezogenen Daten Daten dürfen grundsätzlich nur dann verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung rechtlich gedeckt ist und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzt sind. Maßnahmen zur Datensicherheit Bei Verwendung von BYOD-Geräten handelt es sich um eine Datenverwendung ( 4 Z 8 DSG 2000), da Daten auf den Geräten etwa gespeichert, aufbewahrt, verändert, abgefragt oder gelöscht werden. Aber auch die Weitergabe von Daten an andere kann nicht ausgeschlossen werden, da das Gerät nicht unter vollständiger Kontrolle des Arbeitgebers steht. Eine vollständige Kontrolle des Gerätes durch den Arbeitgeber würde der Definition und dem Konzept von BYOD weitgehend widersprechen. Ein Problem bezüglich Sicherheit besteht darin, dass auf den privaten Geräten meist nicht das gleich hohe Maß an Datensicherheit erreicht werden kann, wie im Unternehmensumfeld. 14 DSG 2000 bestimmt die Maßnahmen, die zur Gewährleistung der Datensicherheit zu treffen sind. Dabei handelt es sich sowohl um technische, als auch organisatorische Maßnahmen. Gerade die Zugriffsberechtigung auf Daten und Programme, aber auch der Schutz der Datenträger vor der Einsicht und Verwendung durch Unbefugte wird auf privaten Geräten de-facto nicht zu realisieren sein. Übermittlung von Daten an Unbefugte kann unbeabsichtigt und unwissentlich geschehen. Sowohl staatliche, als auch nicht-staatliche Stellen sind an solchen Daten interessiert. Der TÜV Rheinland 3 stellt fest: Etwa 40 Prozent aller Apps lesen [...] die Daten von mobilen Endgeräten aus, ohne dass der User bewusst zustimmt oder es überhaupt erfährt. Betroffen sind zum Beispiel Standortdaten, Passwörter, Kontaktdaten, Bilder. Protokoll zu führen, damit tatsächlich durchgeführte Verwendungsvorgänge im Hinblick auf ihre Zulässigkeit nachvollzogen werden können, wie dies 14 Abs. 2 Z 7 DSG 2000 vorschreibt, ist daher nicht möglich. Aus diesem Grund können auch Nicht registrierte Übermittlungen aus Datenanwendungen ( 14 Abs. 3 ebd.) nicht wie gefordert protokolliert werden. Das Unternehmen kann daher Betroffenen beim Recht auf Auskunft nur unvollständige Daten liefern. Dies betrifft ebenfalls das Recht auf Richtigstellung und Löschung. 3 TÜV Rheinland Datenschutzprüfung Check your App, September 2013, ( ) BYOD zw. Recht und Sicherheit Dr. Wolfgang Schnabl Seite 2 von 7

3 Zutrittsberechtigung zu den Räumlichkeiten, wie dies 14 Abs. 2 Z 4 DSG 2000 fordert, ist ein grundsätzliches Problem bei mobilen Endgeräten, und die Einhaltung nicht nur für BYOD problematisch. Die Verwendung von Apps durch die Mitarbeiter ist daher ein in der Realität nur schwer beherrschbares Thema in Hinblick auf Datenschutz und Datensicherheit. Dadurch haben Betroffene potentiell Anspruch auf Schadenersatz und das Unternehmen muss mit Verwaltungsstrafen bis EUR rechnen. Übermittlung von Daten ins Ausland Bei Reisen ins Ausland (z.b. Urlaub des Mitarbeiters) können unterschiedliche Probleme auftreten. Beim Roaming etwa werden Gespräche und Daten über ausländische Provider geführt. Beispiel Russland: Telefongesellschaften sind verpflichtet, dem FSB (Inlandsgeheimdienst) einen permanenten Zugang zu Informationen über Ferngespräche und Internetdaten zu gewähren. Bei Diebstahl des Gerätes sind auch datenschutzrelevante Unternehmensdaten betroffen. Diese sind somit im Ausland und in den Händen von Unbekannten. Bei behördlichen Ermittlungen gegen den Mitarbeiter als Privatperson gelangen Unternehmensdaten an ausländische Behörden. Dies kann neben rechtlichen Problemen, auch wirtschaftliche Schwierigkeiten für das Unternehmen nach sich ziehen. Datenschutz in der Europäischen Gemeinschaft Als Grundprinzip gilt europaweit das Territorialitätsprinzip. Die Bestimmungen des DSG 2000 sind daher auf die Verwendung personenbezogener Daten im Inland anzuwenden. Jeder, der in Österreich eine Datenanwendung vornimmt, sowohl Inländer als auch Ausländer, unterliegt dem österreichischen Datenschutzrecht. Ein Unternehmen, das ausschließlich im Inland tätig ist und auch seine Daten hier verarbeitet, kann durch eine BYOD-Strategie in die Situation kommen, dass die Datenverarbeitung nun auch im Ausland stattfindet. Mitarbeiter reisen etwa im Urlaub in andere Länder und nehmen ihre privaten Geräte (etwa Smartphone) mit. Grundsätzlich sind die Rechtverhältnisse bezüglich Datenschutz im EU/EWR-Raum einander ähnlich und bieten daher ein uniformes Umfeld. Auf Grund der Entscheidung der EU-Kommission sind auch weitere Nicht-EU Länder als gleichwertig zu betrachten. Darunter fällt etwa das Safe Harbor Abkommen mit den U.S.A. Für alle anderen Fälle hat der Unternehmer eine Genehmigung der Datenschutzbehörde einzuholen. Datenschutz bezüglich Mitarbeiter Nicht nur Kundendaten, auch personenbezogene Daten der Mitarbeiter unterliegen dem Datenschutz. Die Kontrollen des Unternehmens müssen daher auf ein Mindestmaß reduziert werden. Gerade technische Systeme zum Managen von mobilen Endgeräte (MDM Mobile Device Management) ermöglichen die Erhebung, Löschung, Sperrung und Veränderung auch von privaten Informationen. Ist zusätzlich ein Diebstahlschutz eingerichtet, so werden mittels der aufgezeichneten GPS-Daten Bewegungsprofile der Mitarbeiter auch für deren Aufenthalt während der Freizeit erstellt. All diese Umstände bedürfen einer unternehmensweiten Regelung. Im Rahmen einer solchen Regelung sind vor allem auch arbeitsrechtliche Aspekte zu berücksichtigen. Arbeitsrechtliche Aspekte Das BYOD-Konzept bringt eine scheinbare Abkehr vom Grundsatz, dass der Arbeitgeber dem Mitarbeiter die Arbeitsmittel zur Verfügung zu stellen hat ( 1157 Abs. 1 ABGB bzw. 18 AngG). Spannungsverhältnis Private Nutzung versus Sicherheitsvorgaben Die private Nutzung des eigenen mobilen Gerätes durch den Mitarbeiter steht ohne entsprechende Regelungen oft im Widerspruch zu den Vorgaben aus Gesetz (etwa Datenschutzgesetz), aus vertraglichen Verpflichtungen (etwa Schutz von Geschäftsgeheimnissen) oder unternehmensseitigen Regelungen (etwa zur Informationssicherheit). Aber auch laufende Kosten wie Telefongebühren und Internetkosten zahlt der Mitarbeiter oft selbst, obwohl er das Gerät auch für berufliche Tätigkeiten verwendet. Ein weiteres Problem stellt eine Beschädigung des privaten Gerätes dar. BYOD zw. Recht und Sicherheit Dr. Wolfgang Schnabl Seite 3 von 7

4 Der Arbeitgeber hat dem Mitarbeiter die mit der konkreten Arbeitsleistung typischerweise verbundenen Sachschäden ( Betriebsgefahr ) zu ersetzen. Es muss jedoch ein Zusammenhang zwischen Geschäftsbesorgung und Schadenseintritt bestehen. Der Mitarbeiter hat weiters Anspruch auf Ersatz aller notwendigen und nützlichen Aufwendungen. ( 1014 ABGB). Nicht ersetzt werden daher Aufwendungen, die lediglich privaten Zwecken dienen (etwa Verlust des Handys am Arbeitsplatz). Es ist also nicht trivial, eine geregelte Einführung von BYOD durchzuführen, da vom Unternehmen neue Regelungen erstellt werden müssen, die die Mitarbeiter in der freien Verwendung ihrer eigenen Geräte teilweise massiv einschränken. Diese deutliche Benachteiligung kann daher bedeuten, dass solche Regelungen im Streitfall nur durch eine Änderungskündigung durchgesetzt werden können. Überwachung privater Geräte auf Grund von Dokumentationspflichten Das Datenschutzgesetz verlangt die Nachvollziehbarkeit der Verwendung von personenbezogenen Daten. Aber auch um die Rechte der Betroffenen gewährleistet zu können, muss die Verwendung dokumentiert werden. Weitere Dokumentationspflichten ergeben sich aus Unternehmens- und Steuerrecht hinsichtlich der Aufbewahrung von Geschäftsunterlagen (vgl. 212 UGB, 132 BAO). Der Unternehmer muss daher sowohl auf organisatorischer als auch auf technischer Ebene sicherstellen, dass solche Dokumente ebenfalls auf den Firmenservern zur Verfügung stehen um dort revisionssicher archiviert werden zu können. Um Verstöße gegen externe oder interne Vorgaben des Unternehmens wirksam erkennen zu können, haben Vorstand bzw. Geschäftsführung dafür sorgen, dass ein internes Kontrollsystem geführt wird, das den Anforderungen des Unternehmens entspricht ( 82 AktG, 22 GmbHG). Um dieses Haftungsrisiko der Unternehmensführung zu minimieren, müssen die geschäftlichen Handlungen der Mitarbeiter kontrolliert werden. Dies setzt ebenfalls eine umfangreiche Dokumentation voraus. Auch das Auftreten von Schadsoftware auf den privaten Endgeräten muss erkannt werden, um eine Infektion des Unternehmensnetzwerkes zu verhindern. Dies erfordert ebenfalls eine Überwachung dieser Geräte. Diese mannigfachen Dokumentations- und Überwachungsverpflichtungen des Unternehmers, die auf den privaten Geräten der Mitarbeiter durchgeführt werden müssen, bedürfen umfangreicher Regelungen. Betriebsvereinbarung Betriebsvereinbarungen sind schriftliche Vereinbarungen, die zwischen Unternehmen und Betriebsrat abgeschlossen werden ( 29 ArbVG). 97 Abs. 1 Z 17 ArbVG ermöglicht es, Betriebsvereinbarungen über von den Arbeitnehmern eingebrachten Gegenstände abzuschließen, also über Geräte im Rahmen von BYOD. Eine freiwillige Betriebsvereinbarung kommt nur zustande, wenn Betriebsrat und Arbeitgeber sich einigen und kann nicht erzwungen werden. Ist im Unternehmen kein Betriebsrat vorhanden, kann grundsätzlich keine Betriebsvereinbarung abgeschlossen werden. In diesem Fall, aber auch bei Nicht-Einigung der Vertragspartner, haben Arbeitgeber und Arbeitnehmer die Möglichkeit, eine Vereinbarung im Einzelarbeitsvertrag zu treffen. Berührt die Einführung der Kontrollmaßnahmen jedoch die Menschenwürde und dies ist aus den oben genannten Vorgaben als gegeben anzusehen so handelt es sich um zustimmungspflichtige Maßnahmen nach 96 Abs. 1 Z 3 ArbVG, also um eine notwendige, nicht erzwingbare Betriebsvereinbarung. In Betrieben ohne Betriebsrat kann dies mit Zustimmung des Arbeitnehmers erfolgen ( 10 AVRAG). Zu beachten ist auch, dass bei Einführung von Systemen, die personenbezogene Daten verarbeiten und übermitteln, eine Regelung mit dem Betriebsrat zwingend ist ( 96a Abs. 1 ArbVG). Diese Zustimmung kann jedoch durch die Entscheidung der Schlichtungsstelle ersetzt werden. Haftung Gegenstand einer Regelung zwischen Unternehmer und Mitarbeiter sollte auch das Thema Haftung sein. Beschädigung oder Verlust des privaten Gerätes sind Punkte, die abgestimmt werden müssen. Ist eine Beschädigung der Sphäre des Unternehmers zuzuordnen, so ist dieser zum Ersatz des entstandenen Schadens verpflichtet. Stammt der entstandene Schaden jedoch aus der Sphäre des Mitarbeiters, so haftet der Unternehmer nur dann, wenn ein Zusammenhang mit der Arbeitsleistung gegeben ist. Gerade im BYOD- Bereich sind diese Grenzen jedoch fließend. Einige Unternehmen entscheiden sich daher dafür, Reparaturarbeiten grundsätzlich zu übernehmen und somit Streitigkeiten und Beweislast zu vermeiden. BYOD zw. Recht und Sicherheit Dr. Wolfgang Schnabl Seite 4 von 7

5 Neben der Haftung für das Gerät ist auch die Haftung für die darauf befindlichen Daten und die Software zu beachten. Dies ist jedoch nicht BYOD-spezifisch, es gelten die allgemeinen arbeitsrechtlichen Grundsätze. Arbeitszeit Im Gegensatz zu einem Firmenhandy kann der Mitarbeiter das private Gerät nach Ende seiner Arbeitszeit nicht ausschalten, er wäre ja dann auch privat nicht mehr erreichbar. Somit besteht die Gefahr eines Überschreitens der zulässigen Arbeitszeit nach AZG. Das Thema wird in der Rechts-Literatur kontrovers behandelt. Grundsätzlich werden punktuelle Unterbrechungen der Ruhezeit toleriert. Die diesbezüglichen Strafbestimmungen finden sich in 28 AZG. Cloud-Dienste Cloud Computing umschreibt den Ansatz, IT-Infrastrukturen (Rechenkapazität, Datenspeicher oder auch komplette Software) über ein Netzwerk zur Verfügung zu stellen. Eine Nutzung dieser Dienstleistungen erfolgt hierbei über definierte technische Schnittstellen und Protokolle. Eine Übermittlung von personenbezogenen Daten an den Cloud-Anbieter ist meist verboten, da dieser keine rechtliche Befugnis zum Empfang der Daten hat. Oft ist dem privaten Nutzer eines Smartphones aber gar nicht bewusst, dass er auf Cloud-Dienste zugreift und die Daten seines Gerätes auf externen Servern gespeichert werden (Bsp.: komplettes Backup des iphones lagert in der icloud auf den Servern von Apple Inc.). Solche Server stehen meist im EU-Ausland. Zu datenschutzrechtlichen Vorgaben diesbezüglich siehe oben. Informationssicherheit Unternehmen erstellen auf Grund der Risiken, die in ihrem Tätigkeitsumfeld bestehen, ein Sicherheitskonzept für den Umgang mit Informationen. BYOD verringert dieses erstellte, notwendige Sicherheitsniveau jedoch erheblich. Daten werden am privaten Gerät meist nicht verschlüsselt, es findet oft keine Authentifizierung der Nutzer statt und das Gerät unterliegt auch keinem Patchmanagement, das Sicherheitslücken schließt. Virenschutz und Firewall sind meist auf privaten Geräten ebenfalls nicht vorhanden. Daraus ergibt sich, dass das Sicherheitsniveau der privaten Geräte häufig nicht angemessen ist ( 14 DSG 2000; 25 GmbHG; 84 AktG). Können bestimmte vorgesehene Maßnahmen nicht oder nicht vollständig umgesetzt werden, so ist es im Security-Bereich üblich, kompensierende Maßnahmen zu implementieren, um auf diese Weise ein adäquates Schutzniveau zu erzielen. Maßnahmen zur Überwachung Um eine frühzeitige Missbrauchserkennung von kritischen Daten zu ermöglichen, kann die Geräteverwendung überwacht werden. Möglichkeiten sind etwa: GPS Tracking Überwachung des Datenverkehrs im Netzwerk Überwachung der Verwendung lokaler Apps Da durch diese Maßnahmen die Menschenwürde berührt wird, ist die Zustimmung des Betriebsrats erforderlich ( 96 ArbVG) bzw. eine Individualvereinbarungen mit jedem Mitarbeiter nötig ( 10 AVRAG) (vgl. oben). Geht ein Gerät verloren oder wird es gestohlen, so besteht die technische Möglichkeit, von der Ferne alle am Gerät vorhandenen Daten zu löschen. Führt ein Unternehmen eine Löschung aller Daten am Privatgerät des Mitarbeiters durch, so werden nicht nur die Geschäftsgeheimnisse und Kundendaten vernichtet, sondern auch alle privaten Daten, wie Urlaubsfotos, private s und Chats. Eine Löschung darf jedoch ohne Zustimmung des Eigentümers nicht durchgeführt werden. Ein solches Vorgehen würde unter den Tatbestand der Datenbeschädigung des 126a StGB fallen. Das Löschen des Geräts aus der Ferne erfordert daher die Zustimmung des Eigentümers. Diese sollte schriftlich und, wenn möglich, vorab eingeholt werden. In einer solchen Vereinbarung sollte dem Mitarbeiter auch eine Meldepflicht an den Dienstgeber auferlegt werden im Falle, dass das Gerät verloren oder gestohlen wird. Ohne eine derartige Meldung kann der Dienstgeber nämlich nicht reagieren und somit bestünde eine massive Sicherheitslücke und damit Gefahr für das Unternehmen. BYOD zw. Recht und Sicherheit Dr. Wolfgang Schnabl Seite 5 von 7

6 Maßnahmen nach Verlust personenbezogener Daten Befinden sich auf dem verloren gegangenen Gerät auch personenbezogene Daten, so ist auch die Data Breach Notification zu beachten ( 24 Abs 2a DSG 2000). Eine Benachrichtigung hat ebenfalls zu erfolgen, wenn dem Vertragspartner aus einer Sicherheitsverletzung ein Schaden droht. Dies ergibt sich aus den nebenvertraglichen Schutzpflichten. Auflösung des Dienstverhältnisses Bei der Auflösung des Dienstverhältnisses müssen die betrieblichen Daten an das Unternehmen zurückgegeben werden. Diese Datenübernahme bedarf einer Vorab-Regelung, wie dabei vorzugehen ist und wie sichergestellt wird, dass alle relevanten Daten am privaten Gerät (und auf Backups) gelöscht werden. Eigentümer des Gerätes bleibt schließlich der Mitarbeiter. Lizenzen und Nutzungsrechte Grundsätzlich erfordert die Verwendung jeder Software eine gültige Lizenz. Gerade im Consumer-Bereich gibt es jedoch viele Anwendungen, die von den jeweiligen Herstellern für den Privatgebrauch kostenlos angeboten werden. Wird dieselbe Software jedoch im Unternehmensumfeld eingesetzt, so ist dafür eine Lizenzgebühr zu entrichten (etwa Microsoft Office für Android). Verwendet nun ein Mitarbeiter eine für Privatgebrauch kostenlose Software für dienstliche Aufgaben, so verstößt er damit gegen die Lizenzbedingungen. Der Unternehmer haftet für seinen Mitarbeiter ( 1313a ABGB). Neben dem Schadenersatz sind auch urheberrechtliche Aspekte zu beachten. Der Unternehmer haftet für Urheberrechtsverletzungen, wenn solche im Betrieb seines Unternehmens von einem Mitarbeiter begangen worden sind oder drohen ( 81, 88 UrhG). Dies kann bereits durch die Verwendung herkömmlicher Apps (etwa Taschenrechner-App) geschehen. Der Arbeitgeber muss also sicherstellen, dass die genutzte Unternehmenssoftware ausreichend lizensiert ist. Dabei muss darauf geachtet werden, dass die private Nutzung ebenfalls erlaubt ist. Mobile Device Management Mobile Device Management (MDM) ist ein wichtiger Schritt in der Unterstützung mobiler Endgeräte. Wie bereits ausgeführt, entwickeln sich dienstlich genutzte private Smartphones zum Sicherheitsrisiko. Das zentrale Management der mobilen Endgeräte erhöht die Sicherheit, da einige Problemfelder mit einem MDM adressiert werden können. Solche Programme können etwa: auf dem Gerät enthaltene Daten sichern und wieder aufspielen ("Backup & Restore"). Software-Updates zentralisiert aufspielen, um Sicherheitslücken zu schließen ("Update Over The Air"). ein gestohlenes Gerät aus der Ferne sperren und seine Daten löschen ("Remote Lock & Wipe") sowie per GPS verfolgen ("Mobile Tracking"). einzelnen Nutzern differenzierte Rechte zuteilen vom Internet-Zugang bis zur Installation von Programmen ("Policy & Provisioning"). Statistiken erstellen, wie das Gerät genutzt wird und welche Kosten anfallen ("Logging & Accounting"). Die Einführung eines MDM ist vor allem eine technische Maßnahme, um die Sicherheit der Geräte zu erhöhen. Ein extensiver Einfluss auf die Gerätekonfiguration und die installierten Apps widerspricht jedoch dem BYOD- Konzept, da der Nutzer dadurch in seiner freien Verwendung des Gerätes massiv eingeschränkt wird. Lösungsansätze Da BYOD vom Unternehmer als auch vom Mitarbeiter gewünscht wird, gibt es für die dabei auftretenden rechtlichen Probleme, sowie für die entstehenden Sicherheitsanforderungen, unterschiedliche Lösungsansätze. Grundsätzlich kann festgehalten werden, dass ohne Vorgaben in Form von Richtlinien eine Einführung von BYOD in Unternehmen gesetzeskonform nicht möglich ist. Zu den aufzustellenden Richtlinien gehören: Acceptable Use Policy Sicherheitsrichtlinie (z.b. Verschlüsselung, Antivirussoftware) Kontroll- und Zugriffrechte des Arbeitgebers (z.b. regelmäßig; nur im Verdachtsfall; in welcher Form) Benachrichtigungs- und Verhaltensregeln (z.b. Verlusts/Diebstahls des Geräts) BYOD zw. Recht und Sicherheit Dr. Wolfgang Schnabl Seite 6 von 7

7 Eine technische Maßnahme, die eine BYOD Einführung erleichtert, stellt die Kompartimentierung dar. Hierbei werden unterschiedliche Arbeitsumgebungen auf einem einzigen Gerät eingerichtet, also eine Umgebung für Geschäftsdaten und -applikationen, sowie eine Umgebung für den Privatbereich. Im Idealfall können und dürfen diese beiden Bereiche nicht miteinander kommunizieren, ein Datenaustausch wird somit unterbunden. Durch diese Container-Isolierung kommt es zur strikten Trennung von Geschäfts- und Privatdaten, wodurch das Unternehmen die Verfügungsgewalt über die eigenen Daten wieder zurückbekommt. Diese Daten können daher ohne Benutzereinwilligung gelesen, verändert und auch gelöscht werden. Unterschiedliche Implementierungen solcher Konzepte werden inzwischen am Markt angeboten. Samsung KNOX Klassische Container-Lösung BizzTrust for Android (Fraunhofer SIT) Klassische Container-Lösung BlackBerry Balance Führt jedoch manche private und geschäftliche Information zusammen (etwa Kalender), was rechtliche Auswirkungen hat (siehe oben). Trend Micro verwendet mit Safe Mobile Worksuite eine Art remote Desktop, ein anderes Konzept der Container-Lösung. Es befinden sich dadurch am Gerät des Mitarbeiters nie Unternehmensdaten. Check Point bietet mit der Capsule zusätzliche Funktionalität an, etwa Daten nur bestimmten Benutzern zugänglich zu machen (transparent für den Benutzer), Unberechtigte können keine Einsicht nehmen. Solche Lösungen (willkürliche Auswahl) stehen technisch gesehen am Beginn einer neuen Entwicklung und sind daher teilweise erst eingeschränkt verwendbar. Ob sich solche Lösungen durchsetzen, wird schlussendlich von der Akzeptanz durch die Benutzer abhängen. Nachteil aus Benutzersicht ist sicherlich, dass Daten (z.b. Kontakte) strikt auf die jeweilige Umgebung beschränkt sein müssen (rechtlich) und in der anderen Umgebung nicht verwendet werden können. Solche Container-Systeme stellen jedoch eine gangbare Lösung für viele der oben angesprochenen Probleme dar. Zusammenfassung Bring Your Own Device ist ein neues Konzept, das sowohl Unternehmen als auch Mitarbeitern Vorteile bringt. Der rechtliche Rahmen ist umfangreich und muss mit den Mitarbeitern detailliert geregelt werden: Arbeitsrechtlicher Rahmen durch Zusatzvereinbarungen, Richtlinien, Betriebsvereinbarungen Einbindung des Betriebsrates (falls vorhanden) Regelung im Bereich Datenschutz Zulässigkeit technischer Überwachungstools / Mitarbeiterüberwachung Lizensierung von eingesetzter Anwendersoftware Vereinbarungen zu Nutzung und Wartung Kostenregelung Container-Lösungen sind ein Ansatz, der vor allem aus rechtlicher Sicht zielführend erscheint. Dr. Wolfgang Schnabl, CISSP, CISA ISO27001 Lead Auditor Business Protection e.u. Nelkenweg 9, A-2000 Stockerau Tel: wolfgang.schnabl@business-protection.at Dr. Wolfgang Schnabl (CISSP, CISA, ISO27001 Lead Auditor), beschäftigt sich seit über 15 Jahren intensiv mit Informationssicherheit. Als Gründer und Inhaber der Firma Business Protection bietet er seinen Kunden die Implementierung einer umfassenden unternehmensweiten Informationssicherheit. Hierbei liegt der Schwerpunkt auf der Analyse von Geschäftsprozessen, sowie deren Absicherung durch die Verknüpfung von technischen, organisatorischen und persönlichen Maßnahmen. Neben seiner Tätigkeit als Consultant und Auditor im Bereich Informationssicherheit begann W. Schnabl 2010 das Studium der Rechtswissenschaften an der Universität Wien. Er beschäftigt sich seitdem intensiv mit dem Zusammenwirken von Recht, Technik und Informationssicherheit. Die Auswirkungen auf Unternehmen von Unternehmensführung bis IT-Abteilung stehen hierbei im Fokus. BYOD zw. Recht und Sicherheit Dr. Wolfgang Schnabl Seite 7 von 7