BYOD Bring Your Own Device

Transkript

1 BYOD Bring Your Own Device - neue Ideen, alte Probleme - IT- Sicherheitstag NRW Köln Andreas Göbel Rechtsanwalt Fachanwalt für Informationstechnologierecht Fachanwalt für Arbeitsrecht Lehrbeauftragter für IT-Recht der FH Südwestfalen WOLFF GÖBEL WAGNER Rechtsanwälte Fachanwälte Grünstr. 16, Hagen Tel.: Fax: info@ra-goebel.eu Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 1

2 I. Allgemeines Arten Privat Unternehmen Unternehmen Privat Gründe Kostenersparnis Keine Anschaffung neuer Geräte Flexibilität der Arbeitnehmer Erhöhte Akzeptanz und Nutzung von IT Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 2

3 II. Problemkreise - Strafrecht - Schutz von Betriebs- und Geschäftsgeheimnissen - Lizenz-/Urheberrecht - Arbeitsrecht - Datenschutzrecht - Steuerrecht Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 3

4 III. Arbeitsrecht 1. Kein Zugriffsrecht des Arbeitgebers auf Privateigentum des Arbeitnehmers Zugriff aber notwendig für die Aktualisierung von Software und Daten, Ändern und Löschen Insbesondere bei Beendigung des Arbeitsverhältnisses 2. Kein Kontrollrecht des Arbeitgebers bei fremden Eigentum Auch keine Kontrolle im Homeoffice. 3. Schutz privater Daten bei Kontrolle, Admin-Zugriff und Löschen der Daten Kenntnisnahme wäre ein Verstoß gegen Datenschutzrecht 4. Mitbestimmungsrecht des Betriebsrats gem. 87 Abs. 1 Nr. 6 BetrVG Mobile Devices sind geeignet, Verhalten und Leistung von Arbeitnehmern zu überprüfen. Bei Betriebsrat deswegen Einführung erst nach Zustimmung des Betriebsrats. Ohne Betriebsrat: Trotzdem keine Auswertung, sofern nicht aus überwiegenden Interessen des Arbeitgebers notwendig (z. B. Akkordarbeit) Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 4

5 5. Nutzungsentschädigung durch den Arbeitgeber Mobile Device ist fremdes Eigentum, das für unternehmerische Zwecke genutzt wird. Arbeitgeber zahlt daher Instandhaltung, Instandsetzung und Neuanschaffung (analog zur Rechtsprechung zur dienstlichen Nutzung von PKW). Nur auszuschließen durch Versicherung, deren Kosten der Arbeitgeber trägt. 6. Haftung bei Ausfall des Mobile Device z. B. unterbliebener Geschäftsabschluss, Verlust privater Daten durch versehentliche Löschung durch den Administrator. Volle Haftung des Arbeitgebers. Kein Anspruch gegen den Arbeitnehmer bei Vorsatz und grober Fahrlässigkeit; bei leichter Fahrlässigkeit zahlt Arbeitnehmer, bei mittlerer Fahrlässigkeit wird der Schaden geteilt 7. Arbeitszeitgesetz Einsatz des Mobile Device jederzeit und überall, auch außerhalb der üblichen Arbeitszeit (8 Stunden/Tag) Überschreitung der Grenzen des Arbeitszeitzeitgesetzes führt zu Bußgeld! Erfassung und Bezahlung von Überstunden notwendig 8. Steuern Kosten für fremdes Eigentum (Mobile Device) als Betriebsausgabe? Wer bekommt die AfA? Geldwerter Vorteil? Umsatzsteuer bei Privatnutzung? Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 5

6 9. Herausgabe der Daten bei Beendigung des Arbeitsverhältnisses Im Streit verweigert der Arbeitnehmer Herausgabe oder löscht die Daten. Kein Herausgabeanspruch, da Mobile Device fremdes Eigentum. Aber die Daten gehören dem Unternehmen (BGH). Vertraglicher Ausschluss des Zurückbehaltungsrechts an den Daten. Praktisch aber keine Möglichkeit der Durchsetzung. Prozess dauert zu lange. Ausreden, wie habe die Daten nicht mehr; habe die gelöscht usw.. Daher keine Kontrolle über Weitergabe von Kundendaten bei Beendigung des Arbeitsverhältnisses. 10. Haftung für den Betrieb der Geräte a) Verlust Eigentum des Arbeitnehmers. Da Arbeitgeber aber dienstlich mitnutzen lässt, Ersatzpflicht gem. 675 BGB i. V. m. 670 BGB unfreiwillige Vermögenseinbußen. Nur vermeiden durch gesonderte Vergütung zum Ausgleich etwaiger Schäden (bei Privat-PKW z. B. Vollkaskoversicherung). b) Verlust des Mobile Device im Privatbereich des Arbeitnehmers Für die Haftung des Arbeitgebers reicht, dass der Arbeitgeber ein eigenes Mobile Device hätte zur Verfügung stellen müssen, wenn der Arbeitnehmer sein eigenes privates Mobile Device nicht eingesetzt hätte. Bereits dann Haftung des Arbeitgebers (Parallele zum Privat-PKW). c) Ausschluss der Arbeitgeberhaftung bei grober Fahrlässigkeit oder Vorsatz des Arbeitnehmers d) Vertragliche Abänderung Arbeitnehmerhaftung ist zwingendes Arbeitsrecht. Wenn überhaupt, dann nur Beteiligung des Arbeitnehmers in Höhe des Betrages, den er selbst als Ausgleichszahlung erhalten hat. Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 6

7 11. Regelungsmöglichkeiten Betriebsvereinbarung nicht möglich, weil Eingriff in Privateigentum. Individualvereinbarung muss vom Arbeitnehmer unterzeichnet sein. Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 7

8 IV. Lizenz- und Urheberrecht 1. Klassisches Lizenzmanagement Erfassung aller Software Keine Administratorrechte für Enduser Abgleich/Einheitlichkeit der Versionen 2. Kosten-Nutzen-Analyse für zusätzliche BYOD-Lizenzen 3. Neue Lizenzen wegen Named User? 4. Firmenlizenz auch für Privatgeräte? 5. CPU-Klausel 6. Client-Server Keine Aufspaltung von Lizenzen für BYOD. 7. ASP/SaaS Mobile Device ist ein neuer Mietgegenstand. 8. Lizenzbedingungen der Apps prüfen Auch geschäftliche Nutzung? 9. Rechtsverlust durch Verbindung mit Open Source Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 8

9 10. Urheberrechte an Datenbanken und Software bei Erstellung mit Hilfe von Apps 11. Haftung des Arbeitgebers für Urheberrechtsverletzungen, 99 UrhG Voraussetzung ist eine Tätigkeit im dienstlichen Bereich des Arbeitnehmers. Wird stark erweitert durch Einsatz des privaten Mobile Devices. Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 9

10 V. Technische Gefahren für die Unternehmen 1. Viren, Malware Durch Mobile Device zusätzliche Empfangsstellen für Malware, möglicherweise schwierigere Sicherung. 2. Zugriff Dritter auf Daten des Unternehmens Handy liegt in der Wohnung, Mitbenutzung durch Familienmitglieder, Verlust auf Dienstreisen, usw. 3. Besonderheiten von itunes Das Backup wird automatisch in der Cloud generiert, wenn man das nicht anders einstellt. Siri, Shazam und Angry Birds sowie die Notizen (Standard-App) kopieren automatisch das Adressbuch in die Cloud. Damit auch alle Passwörter aus den App-Notizen in der Cloud! 4. Fähigkeiten der Facebook-App Technische Möglichkeiten der Facebook-App unter Android (Quelle: Frankfurter Allgemeine Zeitung, , Seite T2) a) Konten Konten erstellen und Passwörter festlegen: Konten hinzufügen oder entfernen: kann selbsttätig Funktionen zum Erstellen von Konten abrufen und Festlegen von Passwörtern ausüben. ermöglicht der App, Konten hinzuzufügen oder zu entfernen oder deren Passwörter zu löschen Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 10

11 b) Standort Genaue oder je nach Einstellung ungefähre Ortung des Standortes. c) Netzkommunikation Erstellung von Netzwerk-Sockets und die Verwendung benutzerdefinierter Netzwerkprotokolle. d) Telefonanrufe Die App kann ohne Auslösen durch den Besitzer Telefonnummern wählen. e) Telefonstatus und Identität abrufen Die App greift auf die Telefonfunktionen des Gerätes zu. Telefonnummer und Geräte-ID werden erfasst, festgestellt, ob gerade ein Gespräch geführt wird und Rufnummer verbundener Anrufer wird gelesen. f) Speicher USB-Speicherinhalte ändern oder löschen. g) System-Tools Die App kann Verknüpfungen ohne Eingriff des Nutzers hinzufügen und den jeweiligen Akkustand erkennen. h) Informationen zu Apps Informationen zu aktuellen und kürzlich ausgeführten Aufgaben in Apps können abgerufen werden. Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 11

12 i) Kamera Die App kann Bilder und Videos mit der Kamera aufnehmen ohne Betätigung durch den Besitzer. j) Benutzeroberfläche anderer Apps Die App kann über andere Apps oder Teile der Benutzeroberfläche zeichnen. Das kann sich auf die Oberfläche in jeder App auswirken oder die erwartete Darstellung in anderen Apps verändern. k) Veränderung des Anrufprotokolls Das Anrufprotokoll des Gerätes kann geändert werden einschließlich der Daten über ein- und ausgehende Anrufe. l) Kontakte lesen Die App kann Daten zu den gespeicherten Kontakten lesen einschließlich der Häufigkeit von deren Aufruf, Häufigkeit des Sendens von s und andere Art von Kommunikation. Kontaktdaten können gespeichert werden. Kontakte können geändert werden m) Anrufliste lesen Die App kann das Anrufprotokoll des Gerätes lesen einschließlich ein- und ausgehender Anrufe. Diese Daten können auch gespeichert werden. Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 12

13 5. Jailbreaks Gefahr von Urheberrechtsverletzungen durch Versuch von Mitarbeitern oder Familienangehörigen, Nutzungsbeschränkungen zu umgehen. 6. Roaming ausschalten Bringt enorme Kosten. Will der Arbeitnehmer in der Regel nicht. Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 13

14 VI. Datenschutz Die Daten des Unternehmens gehören dem Unternehmen. Rechner des Unternehmens gehören zum Unternehmen, bleiben daher in der verantwortlichen Stelle und lösen deshalb keine zusätzlichen Probleme aus. Aber: Fremdgeräte des Mitarbeiters als Dritter i. S. d. 11 BDSG? Wenn ja: Dann z. B. Ausschluss der Übermittlung bei Einsatz in Drittländer ohne ausreichendes Datenschutzniveau. Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 14

15 VII. Strafrecht In Betracht kommen 202 a StGB Ausspähen von Daten 202 b StGB Abfangen von Daten 202 c StGB Vorbereiten des Ausspähens und Abfangens von Daten Ausnahmsweise keine Probleme. Zur Sicherheit aber Vereinbarung schließen. Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 15

16 VIII. Mögliche Inhalte einer Vereinbarung Betriebsvereinbarung geht nicht, weil hier Eigentumsfragen der Arbeitnehmer geregelt werden. Darüber kann BR nicht bestimmen 1. Nutzung a) Freiwillige Leistung des Arbeitgebers Darauf achten, dass nicht stillschweigend geduldet wird, sonst betriebliche Übung b) Ausschließliche Nutzung durch den Arbeitnehmer Sonst liegt eine verbotene Übermittlung von personenbezogenen Daten an die anderen Nutzer des Mobile Device vor. Ferner Gefahr, dass Betriebs- und Geschäftsgeheimnisse in die Hände Dritter, auch Familienangehöriger, geraten. c) Recht zum Einsatz von Sicherheitstools Recht des Arbeitgebers zur Installation (Herausgabe des Gerätes zum Zwecke der Installation) Nutzungspflicht des Arbeitnehmers Recht zu jederzeitigen Aktualisierung durch den Arbeitgeber Dienstliche Daten nur im gesicherten Tool (Container) Einrichtung und Nutzung der Verschlüsselung Schutz vor unbefugtem Zugriff (Passwort, sorgfältige Verwahrung, kein Verlust) Recht des Arbeitgebers zum Remote-Zugriff Recht des Arbeitgebers zum Veränderung und Löschen der Daten im Container Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 16

17 d) Art und Umfang der Nutzung Roaming ausschließen Passwortschutz Abruffrequenz von s Keine dienstliche Tätigkeiten außerhalb der Arbeitszeit (Arbeitszeitgesetz!) e) Beendigung der Nutzung Befristung (bei Erprobungsphase) Widerrufs-/Kündigungsrecht: Widerrufsrecht: Kündigungsrecht: gefährlich. Problem: Teilkündbarkeit von Arbeitsverträgen? Außerordentliche Kündigung bei Verstoß gegen Inhalt der Vereinbarung oder Widerruf der Einwilligung in die Einsicht in die personenbezogenen Daten des Arbeitnehmers (Wenn kein Container) f) Transition Jederzeitige Herausgabe nach Kündigung, auch vor Ablauf der Kündigungsfrist Mitwirkungspflichten des Arbeitnehmers Ausschluss des Zurückbehaltungsrechts Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 17

18 2. Kosten der Nutzung a) Keine Flatrate Erstattung gegen Einzelnachweis b) Mit Flatrate Angemessene Pauschale 3. Speicherung von Daten und Programmen a) Definition, welche Daten gespeichert werden. b) Speicherung der Container-App c) Installation durch den Unternehmer d) Pflicht zur Herausgabe des Gerätes zur Speicherung e) Einhaltung des Datenschutzes durch den Unternehmer Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 18

19 4. Kontrolle über die Daten auf dem Mobile Device (Mobile-Device-Management) Ein Mobile-Device-Management ist notwendig wegen der Gefahr, dass Dritte auf das Gerät zugreifen können und Daten ausgelesen, verändert oder gelöscht werden können. Das ist relevant sowohl für Betriebs- und Geschäftsgeheimnisse als auch für personenbezogene Daten und damit den Datenschutz. a) Mit Container Zugriff zulässig, weil keine private Nutzung auf in Bezug auf den Container b) Ohne Container (SIM vom Unternehmen gestellt) Dann ist man wegen der gesamten Nutzung des Mobile Device Telekommunikationsanbieter Gegebenenfalls nimmt man Kenntnis von personenbezogenen Daten Also notwendig: Einwilligung. Einwilligung aber auch der Dritten, deren Daten auf dem Mobile Device sind, z. B. Fotos. Und die bekommt man nicht. Das Gleiche gilt für s. Wenn Einwilligung gegeben, trotzdem problematisch wegen der Freiwilligkeit (streitig, ob im Arbeitsverhältnis überhaupt freiwillige Einwilligung vorliegen kann.) Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 19

20 c) Herausgabe der Daten Jederzeit Zurückbehaltungsrecht ausschließen d) Löschen und Ändern von Daten aa) 35 Abs. 2 BDSG, Daten sind zu löschen, wenn sie nicht mehr erforderlich sind. Also regeln: Remote-Löschung oder Löschung nach Herausgabe des Gerätes bb) Berechtigung des Arbeitgebers zur Löschung der dienstlichen Daten (vermeidet Strafbarkeit gem. 202 a, b und c StGB) cc) Berechtigung des Arbeitgebers zur Löschung aller Daten in Notfällen Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 20

21 5. Benachrichtigungspflichten des Arbeitnehmers 5.1 Bei Verlust und Störung Recht zur Löschung der Daten bei Verlust Gefahr des 42 a BDSG, Veröffentlichung des Datenlecks und von Vermeidungsmöglichkeiten 5.2 Technisch-Organisatorische Maßnahmen a) Zentrale Einstellung der Konfiguration Darf vom Arbeitnehmer nicht geändert werden Verpflichtung des Arbeitnehmers zur Herausgabe zur Überprüfung und gegebenenfalls Neueinstellung der Konfiguration b) Verwendung sicherer Passwörter c) Untersagung von Cloud-Diensten d) Recht zur Einrichtung und Pflicht zur Nutzung der Verschlüsselung e) Zertifikatsverwaltung: Wie Verschlüsselung Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 21

22 f) Apps aa) Definition, welche Apps erlaubt und welche nicht; White-/ Blacklist bb) Regelmäßige Kontrolle cc) Entfernungsrecht von schädlichen Apps remote dd) Verbot von Jailbreaks, Einfallstor für Malware g) Datentrennung und -löschung Zentrale Sperrung und Löschung 7. Haftung a) Verlust bei betrieblichem Anlass: Ersatzpflicht des Arbeitgebers b) Gegebenenfalls finanzieller Ausgleich für die Gefahr des Verlusts (monatliche Pauschale 20?) 8. Laufzeit, Kündigung Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 22

23 Vielen Dank für Ihre Aufmerksamkeit WOLFF GÖBEL WAGNER Rechtsanwälte Fachanwälte Grünstraße 16 D Hagen Tel. +49 (0) 2331/ Fax +49 (0) 2331/ /41 info@ra-goebel.eu Kartellrechtsschulung/Juni 2013/Dr. Frank Kimpler 23