BYOD RISIKEN + VORBEUGUNG

Größe: px

Ab Seite anzeigen:

Download "BYOD RISIKEN + VORBEUGUNG"

Eleonora Sachs
vor 8 Jahren
Abrufe

1 BYOD RISIKEN + VORBEUGUNG RA Dr. Markus Frank office@frank-law.at

2 1. DEFINITION BYOD Bring Your Own Device (kurz: BYOD) = Bring Dein Eigenes Arbeitsmittel Mitarbeiter nutzen private Lap Tops, Smart Phones, Tablet-PCs geschäftlich, also für den Arbeitgeber und innerhalb seiner IT-Infrastruktur. => technische, organisatorische und rechtliche Risiken

Phones, Tablet-PCs geschäftlich, also für den Arbeitgeber und

3 2. ABGRENZUNG ZU BYOD Nicht mobiles Device des Unternehmens Unterschied: Fremdes Eigentum! Nicht projektbezogener Zugriff für externe Dritte (Lieferanten, Konsulenten, etc.) Unterschied: Arbeitnehmer-Schutz + -Haftung

Nicht projektbezogener Zugriff für externe Dritte

4 3. BYOD-PROZESS 1. Bedürfnisse: Mitarbeiter, Unternehmen, Dritte? 2. Risiken? 3. Ziel-Definition! 4. Ausgestaltung: technisch/organisatorisch/rechtlich 5. Einführung des Prozesses 6. Kontrolle + Korrekturmaßnahmen

5 Beteiligte: Mitarbeiter Unternehmen 4. RISIKEN Serviceprovider von Unternehmen / Mitarbeiter Sonstige Dritte Daten: Trennung von privaten /geschäftlichen Daten Mobile-Device-Management-Software (= MDM) sensible Daten: verstärktes Geheimhaltungsinteresse Risiken: technisch / organisatorisch / rechtlich

Daten: Trennung von privaten /geschäftlichen Daten

6 5. RISIKEN - TECHNIK Unlock-Umgehung: ca Sekunden jailbreaking = rooting: Überwinden von Funktionseinschränkungen Veränderung von Sicherheits-Konfigurationen sicherheitskritische apps Sicherheits-Updates Synchronisation mit anderen privaten Geräten (PC etc.) Online-Dienste Datenweitergabe ins EWR-Ausland! etc.

Veränderung von Sicherheits-Konfigurationen sicherheitskritische apps

7 6. RISIKEN - ORGANISATION Mitarbeiter Geräte-Verlust Geräte-Missbrauch, z.b. Datendiebstahl (Steuer-CDs) Device-Nutzung durch Ehefrau, Kinder etc. Während + nach Ende der Zusammenarbeit

8 7. RISIKEN - RECHT Mitarbeiter: Eigentümer des Gerätes private Daten + Nebenjobs Datenschutz + IP-Addresse zuordenbar? Persönlichkeitsrechtsschutz Arbeitnehmerschutz Zustimmung zu Kontrolle/Einsicht Veränderung/Löschen von Daten Software-/Si-Einstellungen Betriebsvereinbarung Service-Provider: Lizenz: Geschäftlich / Privat Unternehmen: Geheimhaltungspflichten Geheimhaltungsrechte Meldepflichten nach DSG 14 DSG: IT-Si-System Warnpflicht gegenüber Geschädigten bei Datenverletzung Schadenersatz Strafen Lieferant/Kunde/Sonstiger: Geheimhaltungsrechte

Betriebsvereinbarung Service-Provider: Lizenz: Geschäftlich / Privat Unternehmen: Geheimhaltungspflichten Geheimhaltungsrechte

9 8. SCHÄDEN IM UNTERNEHMEN Soft-Schäden: Rufschädigung, Wettbewerbsnachteil, Mitarbeiterverlust, Motivationsschäden etc. Finanzielle Schäden: => Mehraufwand, Produktionsausfall, Produktionsfehler, Know-How- Verlust, Schäden an Mensch und Maschine Schadenersatz: Mitarbeiter, Kunden, Lieferanten; sonstige Dritte ohne vertragliche Bindung 33 DSG: Ersatz für erlittene Kränkung mit Beweislast-Umkehr für Verschulden! Strafen: Geldstrafen, Verfall, Verlust der Gewerbeberechtigung

Maschine Schadenersatz: Mitarbeiter, Kunden, Lieferanten; sonstige Dritte ohne vertragliche Bindung 33 DSG: Ersatz für

10 9. SCHÄDEN FÜR MANAGER + VERANTWORTLICHE / BEAUFTRAGTE Karriere-Knick: Kündigung/Entlassung, Einflussbeschränkung, Verlust von Ansehen, etc. Finanzielle Haftung gegenüber Unternehmen für Hard- und Soft-Schäden Ausnahme: direkt gegenüber Dritten Strafen: Geldstrafen, Haftstrafen, Einschränkung von Funktionen wegen Vertrauensverlust, etc.

Finanzielle Haftung gegenüber Unternehmen für Hard- und Soft-Schäden Ausnahme:

11 Urheberrechtsgesetz: 10. STRAFEN Geldstrafen und Freiheitsstrafen bis zu 6 Monaten, bei Gewerbsmäßigkeit bis 2 Jahre für kommerzielles Vervielfältigen von Computerprogrammen Datenschutzgesetz Freiheitsstrafe bis 1 Jahr bei Datenmissbrauch mit Bereicherungsvorsatz oder mit Schädigungsabsicht Geldstrafen bis zu Euro für Außerachtlassen der erforderlichen Sicherheitsmaßnahmen, für Datenmissbrauch etc. Strafgesetzbuch 118 a ff, 126 a ff, 148 a: Freiheitsstrafen bis zu 10 Jahren für Hacken, Datenbeschädigung, Datenverarbeitungsmissbrauch mit Bereicherungsvorsatz etc.

Computerprogrammen Datenschutzgesetz 51 + 52 Freiheitsstrafe bis 1 Jahr bei Datenmissbrauch mit Bereicherungsvorsatz oder mit Schädigungsabsicht

12 11. VERSCHULDEN ALS HAFTUNGSVORAUSSETZUNG ausreichende Sicherheitsmaßnahmen gemäß 14 DSG Sorgfalt des ordentlichen Kaufmanns auch bei IT-Sicherheit Sorgfaltsmaßstab = Stand der Technik : z.b.: IT-Sicherheitsmanagement-NORMEN Spezial-Vorschriften für Banken, Gesundheitswesen, etc. Unternehmensinterne Vorschriften

13 12. BEWEISLAST-REGELN Beweislast im Schadenersatz-Verfahren: Grundsatz: Geschädigter muss Schaden + Verursachung + Verschulden behaupten und beweisen ABER: Gesetzliche Schutzpflicht (zb. 14 DSG) Beweislast-Umkehr für Schadensverursachung in Vertragsbeziehung Umkehr der Beweislast für Verschulden bei Verletzung von Datenschutz ( 33 DSG) Beweislast im Strafverfahren: Grundsatz: In dubio pro reo! Ankläger muss beweisen! ABER: Beweis für angemessene Betriebs-(Schutz-)Organisation (z.b. 14 DSG)

14 DSG) Beweislast-Umkehr für Schadensverursachung in Vertragsbeziehung Umkehr der Beweislast für Verschulden bei

14 13. BEWEIS-PROBLEME IN DER PRAXIS Bereiche: Außergerichtliche Verhandlungen Gerichtliche Schadenersatzverfahren + Strafprozesse Alltägliches Problem: Fehlen von Informationen Fehlen von Beweisen für Schadenursachen + für Nicht- Verschulden Abhilfe: Vorsorge durch Management-System: Risikobewertung => Maßnahmen / Kontrolle / Korrektur / Schulung / Dokumentation Schadensbegrenzung durch rasche Aufklärung im Nachhinein

Beweisen für Schadenursachen + für Nicht- Verschulden Abhilfe: Vorsorge durch Management-System:

15 14. VERMEIDUNG + VORBEUGUNG Ein ISMS nach ISO oder ISO trägt wesentlich bei zur Vermeidung von Schadensfällen. Die Dokumentation und die Aufzeichnungen nach ISO oder ISO liefern wesentliche Beweismittel zur Aufklärung von Schadensursachen gegen Vermutung des Verschuldens gegen die Beweislast-Umkehr Vorbeugung gegen Haftung für Schäden und Strafen

Die Dokumentation und die Aufzeichnungen nach ISO 27001 oder ISO 20000 liefern wesentliche

16 15. VORBEUGUNG I Datenschutz bei BYOD für Daten von Mitarbeitern / Unternehmen / Dritter Mobile Devices-Management-Software trennt Privat- / Firmendaten Zustimmung von Mitarbeiter = Geräte-Eigentümer! Meldung bei Datenschutzkommission

Devices-Management-Software trennt Privat- / Firmendaten

17 + 16. VORBEUGUNG II IT-Sicherheit bei BYOD: Zustimmung + Verpflichtung der Mitarbeiter zu technischen + organisatorischen Maßnahmen Verschlüsselung + sichere Übertragung (Ausland!) Backups und Löschen von Daten, zulässige Dienste und Apps Kontrollrechte auf fremden Gerät!

Maßnahmen Verschlüsselung + sichere Übertragung (Ausland!

18 17. VORBEUGUNG III Compliance Vorschriften einhalten: Amts-/Berufs-Geheimnisse Geheimhaltungsvereinbarungen (z.b. bei M&A-Transaktionen) Archivierungspflichten -> Zustimmung des Mitarbeiters für Umsetzung? Lizenzrechtliche Einhaltung? Mitarbeiter-Support bei technischen Problemen Begrenzung von Betriebssystemen und Software Haftungsfragen? Beendigung der Zusammenarbeit? => individuelle Mitarbeiter- oder Betriebsvereinbarungen!

Ähnliche Dokumente

1. COMPLIANCE: DOKUMENTATION NACH ISO 27001 + ISO 20000 ALS BEWEISMITTEL VOR GERICHT

1. COMPLIANCE: DOKUMENTATION NACH ISO 27001 + ISO 20000 ALS BEWEISMITTEL VOR GERICHT Dr. Markus Frank, Rechtswalt office@frank-law.at INHALT: IT-Risiko-Potenziale Schäden + Strafen Verschulden + Haftungsschutz