Leitfaden. Mobile Device Management. Stand: Dezember 2012

Größe: px
Ab Seite anzeigen:

Download "Leitfaden. Mobile Device Management. Stand: Dezember 2012 www.baymevbm.de/mobiledevice"

Transkript

1 Leitfaden Mobile Device Management Stand: Dezember 2012

2 Vorwort X Vorwort Mobile Device Management rechtliche Anforderungen und betriebliche Umsetzung Mobile-Device-Management (MDM) steht für die zentralisierte Verwaltung von Mobilgeräten wie Smartphones oder Tabletcomputer mit Hilfe einer Software durch einen oder mehrere Administratoren. MDM beinhaltet sowohl die Inventarisierung von Hardware und Software in Organisationen als auch die Datenverteilung und den Schutz der Daten. Da viele mobile Endgeräte primär als Verbrauchergerät konzipiert wurden, sind ihre Betriebssysteme nicht auf das MDM ausgerichtet und entwickelt worden. Gleichzeitig steigt der Wunsch von Mitarbeitern, mit dem eigenen Endgerät auf Firmensoftware und arbeitsrelevante Firmendaten zugreifen zu können. Diese Form der Datenkommunikation ist unter dem Begriff "Bring Your Own Device (BYOD)" bereits allgemein bekannt und verbreitet sich zunehmend. Für die Unternehmen und ihre Mitarbeiter ergeben sich durch BYOD Vorteile wie flexiblere Arbeitszeiten, bessere Erreichbarkeit der Mitarbeiter und effizienteres Zusammenarbeiten in Teams - aber auch neue Herausforderungen. Unternehmen, die den Einsatz privater Geräte im Betrieb erlauben, benötigen Fachwissen über die rechtlichen Anforderungen und Richtlinien für die betriebliche Umsetzung. Das legitime Sicherheitsbedürfnis der Unternehmen muss berücksichtigt werden, Daten und Software auf den Geräten sind vor Verlust zu schützen. Auch das Löschen von Daten und Software bei Ausscheiden eines Mitarbeiters ist ein wichtiges sicherheitsrelevantes Thema, das berücksichtigt werden muss. Die bayerischen Metall- und Elektro-Arbeitgeber haben mit Experten diesen Praxisleitfaden erstellt, um die Mitgliedsunternehmen bei der Nutzung von privaten mobilen Geräten im Betrieb zu unterstützen und Möglichkeiten für eine Trennung zwischen privater und geschäftlicher Nutzung aufzuzeigen. Bertram Brossardt

3 Inhalt X Inhalt 1 Einleitung Datenschutzrechtliche Aspekte Anwendbarkeit des Datenschutzrechts Wer ist verantwortliche Stelle? Technisch-organisatorische Absicherung Technisch-organisatorische Maßnahmen ( 9 BDSG) Maßnahmen zur Datensicherheit und IT-Sicherheit und deren rechtlicher Hintergrund Kontrollrechte gegenüber Mitarbeitern Lesen von Daten auf dem privaten Endgerät des Mitarbeiters Löschung von Daten auf dem privaten Endgerät des Mitarbeiters Ändern von Daten auf dem privaten Endgerät Auftragsdatenverarbeitung nach 11 BDSG? Einbindung des betrieblichen Datenschutzbeauftragten Prüfungsrechte der Aufsichtsbehörde? Benachrichtigungspflichten der Mitarbeiter nach 42a BDSG Geheimnisschutz BYOD Nutzungsbedingungen Arbeitsrechtliche Aspekte Vergütungsanspruch des Mitarbeiters für die Nutzung des privaten Endgeräts Vertragliche Vereinbarung über die Nutzung und Wartung des privaten IT- Endgerätes Vertragliche Vereinbarung über gesetzliche Aufbewahrungspflichten Haftung Arbeitszeit... 13

4 Inhalt X 3.6 Notwendigkeit einer Betriebsvereinbarung und Einbindung des Betriebsrates bei Kontrolle und Überwachung des Endgerätes Lizenzrechtliche Aspekte Steuerrechtliche Aspekte IT-Sicherheit beim Einsatz von Mobile Devices Ausgangssituation Definition von mobilen Devices Herstellerseitige Sicherheitsfunktionen Weiterführende Maßnahmen mittels MDM-Systemen Problemstellen und Einschränkungen Zusammenfassung zum technologischen Umfeld Best Practices für ein Mobile Device Management Fazit zur Nutzung privater IT für dienstliche Zwecke Partner-Portraits bayme vbm SKW Schwarz Rechtsanwälte Protea Networks GmbH Die Autoren Ansprechpartner / Impressum... 34

5 Einleitung 1 1 Einleitung Mobile Endgeräte als Megatrend Alle Marktstudien sind sich in einem Punkt einig: Die Verwendung von mobilen Geräten, also Smartphones, Tablet-PCs, Laptops, ipads und ähnliche wird in nächster Zukunft zunehmen. Die Geräte werden immer handlicher und leistungsfähiger und ihr Preis-Leistungsverhältnis wird besser: Folglich können sie nicht nur von Unternehmen angeschafft werden, sondern sind inzwischen auch für Privatpersonen erschwinglich. Grundsätzlich sind in diesem Kontext drei wesentliche Eckwerte zu betrachten. Zum Ersten entwickelt sich die Verwendung von mobilen Geräten im Unternehmensalltag extrem stark. Die Gründe sind mannigfaltig und überzeugend: Die Verfügbarkeit von Mitarbeitern lässt sich stark steigern, Informationen fließen blitzartig hin und her, Ideen können schneller und direkter verwirklicht werden, der Austausch von Marktpartnern wird wesentlich erleichtert, die allgemeine Wettbewerbsfähigkeit des Unternehmens nimmt zu. Schließlich ist der Umgang mit der Technologie, wie sich bereits im Alltag und im allgemeinen Markterfolg sowie der Marktakzeptanz der Geräte zeigt, leicht, unkompliziert und für alle sehr attraktiv. Daraus folgt, kaum jemand kann sich diesem allgemeinen Trend verschließen. Zum Zweiten wollen viele Arbeitnehmer ihre privaten Mobilgeräte auch für dienstliche Zwecke einsetzen und mit ihnen Unternehmensdaten verarbeiten. Bring Your Own Device (abgekürzt BYOD) ist ein Schlagwort der Stunde. Denn aus der geschilderten Situation erwachsen Chancen, und es liegt daher nahe, die individuellen Wünsche von Mitarbeitern hinsichtlich der Geräteausstattung und Gerätenutzung sozusagen ins Unternehmen einzubringen. Betrachtet man die Problemfelder, die sich aus der BYOD- Thematik ergeben aus rechtlicher und technologischer Sicht, so ist auch die Gesamtthematik mobile Geräte im Unternehmen weitgehend abgedeckt. Daher reflektiert dieser Leitfaden überwiegend das BYOD-Thema und hebt von Fall zu Fall auf weitere wichtige Felder des Mobile Device Management (abgekürzt MDM) ab. Drittens ist ein weiterer Trend zu würdigen: Dies ist die Überlegung, dass Unternehmen Geräte ausgeben und sie den Mitarbeitern zur dienstlichen wie zur privaten Nutzung zur Verfügung stellen. Zu dieser Thematik erstellen bayme vbm einen eigenen Leitfaden, der ab Januar 2013 die relevanten Hintergründe darstellt und Handlungsempfehlungen gibt. Für den Arbeitgeber bringt eine (Mit-)Nutzung privater Hardware auf den ersten Blick einige Vorteile mit sich: Neben der Einsparung von Beschaffungskosten für die Hardware führt der Einsatz privater mobiler Endgeräte insbesondere auch zu einer höheren Produktivität der Arbeitnehmer.

6 Einleitung 2 Die Nutzung privater mobiler Endgeräte durch Mitarbeiter zu Unternehmenszwecken birgt jedoch für beide Parteien auch zahlreiche, auf den ersten Blick teilweise gar nicht ersichtliche Risiken. Dies betrifft sowohl die technisch zu treffenden Maßnahmen zur IT-Sicherheit beim Einsatz privater Endgeräte, als auch die Klärung der auftretenden Rechtsfragen und der damit verbundenen Rechtsrisiken. In einer Lösung mittels eines Mobile Device Managements muss diesen Aspekten Rechnung getragen werden. Der vorliegende Leitfaden gibt einen Überblick über die praxisrelevanten Probleme, die sich im Zusammenhang mit einem Bring Your Own Device Management ergeben. Dabei reicht die Vielfalt der rechtlichen Fragestellungen vom Datenschutzrecht (2), über das Arbeitsrecht (3) bis hin zum Lizenz- und Steuerrecht (4 und 5). Da ein Bring Your Own Device Management auch zahlreiche Maßnahmen zur IT-Sicherheit erfordert, werden im Leitfaden auch Hinweise zur technischen Umsetzung bzw. zu den technischen Möglichkeiten gegeben (6). Der Leitfaden schließt mit Best Practice- Empfehlungen für ein rechtskonformes Mobile Device Management (7) und einem Fazit (8).

7 Datenschutzrechtliche Aspekte 3 2 Datenschutzrechtliche Aspekte Rechtliche Prämissen für den Einsatz mobiler Geräte 2.1 Anwendbarkeit des Datenschutzrechts Nach 1 Abs. 2 Nr. 3 BDSG ist das Bundesdatenschutzgesetz nicht anwendbar, wenn die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt. Wenn Mitarbeiter ihr privates Endgerät zu dienstlichen Zwecken einsetzen, erfolgt aber die Erhebung, Verarbeitung und Nutzung der Daten gerade nicht ausschließlich für persönliche oder familiäre Tätigkeiten. Die Anwendbarkeit des Datenschutzrechts ist daher gegeben. 2.2 Wer ist verantwortliche Stelle? Weiterhin stellt sich die Frage, wer jeweils die verantwortliche Stelle und somit Adressat der Datenschutzvorschriften ist. Das Unternehmen ist sicher verantwortliche Stelle im Sinne von 3 Abs. 7 BDSG. Wie aber ist der Mitarbeiter datenschutzrechtlich einzuordnen? So könnte eine Anwendung des BDSG ausscheiden, wenn der Mitarbeiter keine nicht-öffentliche Stelle im Sinne von 1 Abs. 2 Nr. 3 BDSG wäre. Nach 2 Abs. 4 BDSG können aber nicht-öffentliche Stellen auch natürliche Personen sein. Die Datenverarbeitung durch den Mitarbeiter erfolgt auch nicht ausschließlich für persönliche oder familiäre Tätigkeiten, sondern gerade beruflich für den Arbeitgeber, so dass eine Anwendbarkeit des BDSG auch nicht daran scheitert. Aufgrund der eingangs beschriebenen Funktionalitäten moderner mobiler Endgeräte dürfte auch der Begriff der Datenverarbeitungsanlagen im Sinne von 1 Abs. 2 Nr. 3 in Verbindung mit 3 Abs. 2 BDSG erfüllt sein. Damit ist das BDSG grundsätzlich auf den hier beschriebenen Fall anwendbar. Damit bleibt aber die entscheidende Frage zu klären, ob es sich bei dem einzelnen Mitarbeiter (ebenfalls) um eine verantwortliche Stelle handelt, mit der Konsequenz, dass es für die Übertragung der Daten auf das Endgerät des Mitarbeiters einer Rechtsgrundlage bedarf, sofern dieser Vorgang nicht als Auftragsdatenverarbeitung zu qualifizieren ist. Verantwortliche Stelle im Sinne von 3 Abs. 7 BDSG ist jedoch die juristische Einheit (juristische Person, die Gesellschaft oder eine andere Personenvereinigung), nicht dagegen die einzelne Abteilung oder unselbstständige Zweigstelle eines Unternehmens. Daraus lässt sich ableiten, dass damit auch die kleinste Einheit einer Zweigstelle eines Unternehmens eben der Mitarbeiter keine (eigene) verantwortliche Stelle sein kann. Dies gilt insbesondere dann, wenn der Mitarbeiter zwar auf eigenen Endgeräten, aber für den Arbeitgeber tätig ist. Dementsprechend handelt es sich bei der Übertragung von Daten auf das Endgerät des Mitarbeiters um einen reinen Binnenvorgang, der keiner eigenen Rechtsgrundlage bedarf und keine Auftragsdatenverarbeitung darstellt. Dessen ungeachtet besteht aber gleichwohl das Bedürfnis, wenn nicht sogar die Verpflichtung durch entsprechende (arbeitsvertragliche) Neben-

8 Datenschutzrechtliche Aspekte 4 abreden die auf den Geräten des Mitarbeiters erfolgende Datenverarbeitung gesondert abzusichern (siehe hierzu Ziffer 3). 2.3 Technisch-organisatorische Absicherung Technisch-organisatorische Maßnahmen ( 9 BDSG) Das BDSG verpflichtet in 9 Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, die erforderlichen technische und organisatorischen Maßnahmen zu treffen, damit die Einhaltung des BDSG durch die jeweilige Stelle sichergestellt ist. Dazu gehören auch Vorgaben, die das Gesetz in der Anlage zu 9 BDSG macht. Folgende Maßnahmen werden dort angesprochen. Technisch-organisatorische Maßnahmen 1. Zutrittskontrolle 2. Zugangskontrolle 3. Zugriffskontrolle 4. Weitergabekontrolle 5. Eingabekontrolle 6. Auftragskontrolle 7. Verfügbarkeitskontrolle 8. Getrennte Verarbeitung von Daten nach Erhebungszwecken Zu weiteren Einzelheiten zu den technisch-organisatorischen Maßnahmen siehe Leitfaden IT-Compliance und Security für die Praxis (Stand: März 2010) Maßnahmen zur Datensicherheit und IT-Sicherheit und deren rechtlicher Hintergrund Handelt es sich bei der Datenverarbeitung und Nutzung auf vom Mitarbeiter gestellten Mobilfunkendgeräten um einen reinen Binnenvorgang (siehe oben), darf dieser nicht dazu führen, dass das Datensicherheitsniveau des Arbeitgebers absinkt. Die für das Unternehmen geltenden technischen-organisatorischen Maßnahmen bzw. das sich selbst gegebenenfalls gegebene IT-Sicherheitskonzept sind durch den Mitarbeiter unabhängig davon anzuwenden, ob der Mitarbeiter auf vom Arbeitgeber gestellten Endgeräten arbeitet oder seine eigene Hardware dafür nutzt. Die sogenannten acht Gebote der Anlage zu 9 BDSG bleiben auch beim BYOD uneingeschränkt anwendbar. Mehr noch: Gerade das BYOD muss im Lichte der für das Unternehmen geltenden technisch-organisatorischen Maßnahmen besonders abgesichert werden. Das gilt schon deshalb, da mobile Endgeräte generell noch nicht ausreichend gegen Angriffe

9 Datenschutzrechtliche Aspekte 5 von außen geschützt sind und der Mitarbeiter das private mobile Endgerät permanent bei sich trägt. Deren Einsatz birgt per se eine erhöhte Gefahr dafür, dass ein unberechtigter Zugriff auf personenbezogene Daten oder Betriebs- und Geschäftsgeheimnisse des Arbeitgebers erfolgt, sei es durch Diebstahl, Missbrauch oder schlichtweg die unterschiedliche und teilweise unzureichende Software des privaten Eigentümers. Diese Gefahr intensiviert sich, wenn Mitarbeiter die über das private mobile Endgerät generierten Daten in der Public Cloud speichern. Es gibt verschiedene Ansatzpunkte aus dem Bereich der IT-Sicherheit, um die Risiken, die sich bei der Verwendung privater mobiler Endgeräte im Zusammenhang mit Betriebs- und Geschäftsgeheimnissen ergeben, einzudämmen: So müssen die allgemeinen aus der Anlage zu 9 BDSG abgeleiteten Anforderungen des Unternehmens an Datenschutz und Datensicherheit beim BYOD erst Recht angewandt werden. Regeln zum Zugriffsschutz wie allgemeine Passwortrichtlinien oder Datenträgerverschlüsselungen sind mithin gleichermaßen anzuwenden. Empfehlenswert ist darüber hinaus, die Verpflichtung des Mitarbeiters zur Einrichtung eines Codes, über dessen Eingabe die Nutzung des Endgerätes erst nutzbar ist. Auch die Einrichtung eines Benutzeraccounts, der einen Zugang zum Unternehmensserver erst nach Eingabe von Zugangsdaten ermöglicht und im Falle der Nichtnutzung über einen gewissen Zeitraum den Nutzer automatisch wieder ausloggt, eignet sich als zusätzliche Sicherheitsmaßnahme. Ganz gleich, ob auf die Daten über das mobile Endgerät selbst oder direkt über den Unternehmensserver zugegriffen wird, sollten weitere Sicherheitsmaßnahmen getroffen werden, die insbesondere einen unerwünschten Zugriff auf die Daten (zum Beispiel im Fall des Diebstahls) unmöglich machen. Hier ist zunächst an die gängigen Möglichkeiten des sogenannten Access Control zu denken, wie die Einrichtung einer Firewall, eines Virenscanners oder eines Berechtigungssystems. Zum Schutz von und vor Inhalten kann weitere Sicherheit beispielsweise über eine verschlüsselte Kommunikation erreicht werden (Weitergabekontrolle). Von herausragender Bedeutung ist beim BYOD allerdings das Trennungsgebot nach Nr. 8 der Anlage zu 9 BDSG. Zur Realisierung dessen sind verschiedene Maßnahmen denkbar. In Umsetzung von Nr. 8 der Anlage zu 9 BDSG sollte eine getrennte Verarbeitung und Nutzung von privaten und geschäftlichen Daten zwingend erfolgen. Dabei ist eine Trennung von privaten und geschäftlichen Daten für beide Seiten wichtig: Sie ist zum einen notwendig, da die privaten Daten auf der dem Mitarbeiter gehörenden IT unverändert der Privatsphäre des Mitarbeiters zuzuordnen sind und als personenbezogene Daten geschützt sind; zum anderen ist sie notwendig, damit der Arbeitgeber die Daten

10 Datenschutzrechtliche Aspekte 6 nach Beendigung des Arbeitsverhältnisses einfach bekommen kann und revisionssicher oder zur Einhaltung sonstiger gesetzlicher Aufbewahrungspflichten aufbewahren kann. Darüber hinaus ist die Trennung von privaten und beruflichen Daten ferner aufgrund des Fernmeldegeheimnisses in Bezug auf private unbedingt erforderlich. Schließlich ist die Datentrennung schon deshalb geboten, weil nicht nur Aufbewahrungs-, sondern auch Löschungspflichten bestehen. Werden aber im Zuge von idealerweise technisch hinterlegten Löschroutinen mangels strikter Trennung auch private Daten gelöscht, kann sich der Arbeitgeber unter Umständen schadensersatzpflichtig machen. Eine physische Trennung zwischen privaten und geschäftlichen Daten ist zum einen denkbar, indem die Bearbeitung, Bereitstellung oder Speicherung von geschäftlichen Daten oder Anwendungen auf dem Endgerät in einem abgetrennten geschlossenen Bereich erfolgt. Es gibt inzwischen einige Anbieter, die hierfür sogenannte Container- Apps anbieten. Zum anderen ist eine physische Trennung zwischen privaten und geschäftlichen Daten denkbar, indem man den Zugriff auf die Unternehmensdaten von vorneherein nur über einen Zugriff zum Unternehmensserver zulässt. Das Endgerät dient in diesem Fall nur als Thin Client. Der Vorteil hieran ist, dass keine Speicherung der Daten auf dem Endgerät selbst stattfindet, sondern die Daten während der Nutzung weiter auf dem Unternehmensserver bleiben. Zudem sollte darauf geachtet werden, dass (auch) die privaten Endgeräte zentral vom Arbeitgeber bzw. dessen IT verwaltet und konfiguriert werden, um zum Beispiel durch den Einsatz der erforderlichen Firewalls und Virenscanner ein möglichst einheitliches und hohes IT-Sicherheitsniveau zu erreichen. Durch eine zentrale IT-Verwaltung hat der Arbeitgeber Kontrolle über die auf den Geräten gespeicherte Software und kann die Nutzung illegaler Software die Hacker- und Virenangriffe in der Regel leichter zulässt möglichst ausschließen. Darüber hinaus ist denkbar, den Einsatz virenlastiger Applikationen oder den Abruf unerwünschter Internetseiten auszuschließen bzw. zu verbieten. Hierzu bieten bereits einige Firmen entsprechende Sicherheitsprogramme an: Sie werden teilweise als App auf dem mobilen Endgerät installiert und definieren, welche Anwendungen geschäftlich erlaubt sind; dies erfolgt, ohne die private Nutzung einzuschränken, und es wird dafür Sorge getragen, dass geschäftliche s sich nicht mit privaten Anwendungen öffnen lassen. Zur weiteren Ausgestaltung der Maßnahmen zur Datensicherheit und IT- Sicherheit siehe unten Ziffer Kontrollrechte gegenüber Mitarbeitern Lesen von Daten auf dem privaten Endgerät des Mitarbeiters Soweit Unternehmen bestimmte auf den privaten Endgeräten ihrer Mitarbeiter gespeicherte Daten lesen wollen, ist zunächst zu unterscheiden, ob die dienstlichen Daten, auf die das Unternehmen lesenden Zugriff nehmen will, in einem speziellen Container

11 Datenschutzrechtliche Aspekte 7 wie vorstehend unter Ziffer 2.3 beschrieben gespeichert sind. In diesem Fall gleicht der Zugriff auf diesen Container dem lesenden Zugriff eines Unternehmens auf dienstliche Daten, die auf der Festplatte des Arbeitsplatzrechners und dem Netzlaufwerk eines Mitarbeiters im Unternehmen gespeichert sind. Sollte es sich bei den im Container gespeicherten Daten um personenbezogene Daten im Sinne des 3 Abs. 1 BDSG handeln, ist der lesende Zugriff eines Unternehmens auf die in diesem Container gespeicherten personenbezogenen Daten grundsätzlich nach 32 Abs. 1 BDSG datenschutzrechtlich zulässig. Einer gesonderten datenschutzrechtlichen Einwilligung des Mitarbeiters bedarf es somit nicht. Anders liegt der Fall, wenn die Daten nicht in einem Container gespeichert sind. In diesem Fall müssen Unternehmen zum Auffinden der dienstlichen Daten gegebenenfalls auf private in dem Endgerät gespeicherte Daten des Mitarbeiters zugreifen, um feststellen zu können, um was für Daten es sich handelt. Da es sich bei dem auf dem jeweiligen Endgerät gespeicherten privaten Daten des Mitarbeiters regelmäßig um personenbezogene Daten handeln dürfte, stellt sich die Frage, ob ein Zugriff des Unternehmens auf diese privaten Daten noch nach 32 Abs. 1 BDSG oder nach 28 Abs. 1 Satz 1 Nr. 2 BDSG zulässig ist. Wenn überhaupt mag allenfalls eine Erlaubnis für den Zweck bestehen, die privaten von den dienstlichen Daten zu unterscheiden um sie aussondern zu können. Die Einholung einer Einwilligung ist zwar aus Gründen der Rechtssicherheit denkbar. Jedoch werden an eine wirksame Einwilligung des Mitarbeiters aufgrund des Arbeitskontexts hohe Anforderungen bezüglich der Freiwilligkeit gestellt. Stellt das Unternehmen dem Mitarbeiter eine SIM-Karte für dienstliche Zwecke zur Verfügung und erlaubt es die private Nutzung des dienstlichen -Accounts ist das Unternehmen wohl regelmäßig als Telekommunikationsdienstanbieter zu qualifizieren. Das Fernmeldegeheimnis nach 88 Abs. 1 TKG findet aber dann keine Anwendung, wenn die im privaten Endgerät gespeicherten s sich in der Inbox befinden. Praxishinweis Möchte ein Unternehmen jegliche Rechtsunsicherheit bei einem Zugriff auf dienstliche Daten, die auf einem privaten Endgerät des Mitarbeiters gespeichert sind, vermeiden, ist eine getrennte Speicherung von Daten auf dem Endgerät des Mitarbeiters geboten. 2.5 Löschung von Daten auf dem privaten Endgerät des Mitarbeiters Besonders problematisch ist das Löschen von Daten, die auf dem privaten Endgerät des Mitarbeiters gespeichert sind. Denn nach 35 Abs. 2 BDSG ist ein Unternehmen verpflichtet, personenbezogene Daten auf dem privaten Endgerät des Mitarbeiters zu löschen, wenn ihre Speicherung unzulässig ist oder sie für den Zweck des Unternehmens verarbeitet werden und ihre Kenntnis für die Erfüllung des Zwecks der Speiche-

12 Datenschutzrechtliche Aspekte 8 rung nicht mehr erforderlich ist. Eine Verpflichtung zur Löschung von Daten auf dem privaten Endgerät kann sich auch aus 9 Abs. 1 BDSG in Verbindung mit Satz 1 Nr. 7 der Anlage zu 9 BDSG ergeben. Im Rahmen der Verfügbarkeitskontrolle ist es nämlich erforderlich, Daten auf dem mobilen Endgerät des Mitarbeiters zu löschen, um dort gespeicherte personenbezogene Daten vor Schadsoftware oder sogenannten Schnüffel-Apps zu schützen. Praxishinweis Für die Löschung von Daten ist daher eine vertragliche Regelung im Sinne einer Nutzungsvereinbarung zu BYOD geboten. Ohne eine solche Regelung zur Datenlöschung macht sich die Geschäftsleitung des Unternehmens gegebenenfalls strafbar: Nach 303a StGB macht sich strafbar, wer rechtswidrig Daten im Sinne des 202a Abs. 2 StGB löscht, unterdrückt, unbrauchbar macht oder verändert. 2.6 Ändern von Daten auf dem privaten Endgerät Werden personenbezogene Daten im privaten Endgerät des Mitarbeiters geändert, gelten die vorstehenden Ausführungen zur Löschung von Daten entsprechend. Eine Änderung von Daten liegt beispielsweise vor, wenn das Unternehmen zentrale Einstellungen in der Konfiguration des mobilen Endgeräts ändern möchte. Möchte daher das Unternehmen auf dem privaten Endgerät gespeicherte Daten ändern, so ist hierfür ebenfalls eine Regelung in einer Nutzungsvereinbarung erforderlich, sofern private Daten des Mitarbeiters von der Änderung betroffen sind. 2.7 Auftragsdatenverarbeitung nach 11 BDSG? Teilweise wird in der Literatur eine Auftragsdatenverarbeitung zwischen Arbeitgeber und Mitarbeitern gesehen, wenn Mitarbeiter geschäftliche personenbezogene Daten auf ihrem privaten Endgerät verarbeiten. Dies hätte zur Folge, dass ein Vertrag zur Auftragsdatenverarbeitung mit den zehn Pflichtinhalten des 11 BDSG zwischen dem Unternehmen und dem Mitarbeiter zu schließen wäre. Dem ist jedoch Folgendes entgegen zu halten: Nutzt ein Mitarbeiter selbstständig dienstliche Daten auf privater IT zu dienstlichen Zwecken, ohne dass der Auftraggeber diese Form der Auslagerung beherrscht, weil zum Beispiel jegliche Regelungen sowie technische und organisatorische Maßnahmen zum Umgang mit privater IT fehlen, liegt nach der herrschenden Meinung in der Literatur keine Auftragsdatenverarbeitung vor. Der interne Mitarbeiter kann keine verantwortliche Stelle sein (vergleiche vorstehend unter Ziffer 2.2). BYOD kann daher allenfalls bei freien Mitarbeitern eine Auftragsdatenverarbeitung nach 11 BDSG darstellen.

13 Datenschutzrechtliche Aspekte Einbindung des betrieblichen Datenschutzbeauftragten Aufgabe des Datenschutzbeauftragten ist auf die Einhaltung des Datenschutzes hinzuwirken und die Ordnungsgemäßheit der Anwendungen zu überwachen. Eine Aufgabe des Datenschutzbeauftragten ist es daher zu prüfen, ob und wie die Verarbeitung und Nutzung von dienstlichen Daten auf den privaten Endgeräten des Mitarbeiters datenschutzrechtlich gewährleistet werden kann. Ein MDM hat sich an dem Datenschutzkonzept des Unternehmens auszurichten (vergleiche hierzu Leitfaden IT-Compliance und Security für die Praxis). 2.9 Prüfungsrechte der Aufsichtsbehörde? Noch völlig ungeklärt ist die Frage, ob und inwieweit eine Datenschutzaufsichtsbehörde im Falle einer Betriebsprüfung beim Arbeitgeber auch private Endgeräte von Mitarbeitern oder private Endgeräte von Familienangehörigen, die Mitarbeiter dienstlich nutzen dürfen, prüfen darf. Hier ist die Rechtsentwicklung abzuwarten Benachrichtigungspflichten der Mitarbeiter nach 42a BDSG Zur vertraglichen Absicherung von BYOD sollte der Mitarbeiter verpflichtet werden, das Unternehmen unverzüglich zu benachrichtigen, wenn das private Endgerät, auf dem Daten des Unternehmens gespeichert sind, gestohlen, verloren oder sonst wie abhandengekommen ist. Nach 42a BDSG ist das Unternehmen als verantwortliche Stelle im Sinne des BDSG unter den in 42a BDSG genannten Tatbestandsvoraussetzungen verpflichtet, die Betroffenen und/oder die Aufsichtsbehörden zu informieren, falls personenbezogene Daten einem Dritten unrechtmäßig zur Kenntnis gelangt sind. Die Nichteinhaltung der Pflichten nach 42a BDSG ist für das Unternehmen bußgeldbewehrt Geheimnisschutz Sind auf dem privaten Endgerät geschützte Geheimnisse oder vergleichbar sensible Daten gespeichert oder mit dem privaten Endgerät abrufbar, so darf der Mitarbeiter das Endgerät keinem Fremden überlassen. Der Mitarbeiter ist daher in der Nutzungsvereinbarung darauf zu verpflichten, das Endgerät nur persönlich im Rahmen des BYOD zu nutzen. Weiterhin zu empfehlen sind begleitende technische Schutzmaßnahmen, die eine unbefugte Kenntnisnahme von geschützten Geheimnissen ausschließen BYOD Nutzungsbedingungen Generell empfiehlt es sich für ein Unternehmen, vor der Einführung von BYOD zunächst BYOD-Nutzungsbedingungen für die geschäftliche Nutzung privater IT zu entwickeln und mit den Mitarbeitern individuell oder mit dem Betriebsrat kollektivrechtlich

14 Datenschutzrechtliche Aspekte 10 zu vereinbaren, um die Mitarbeiter unter anderem für die Probleme, die sich im Zusammenhang mit BYOD ergeben, zu sensibilisieren und ihnen aufzuzeigen, welche Ziele das Unternehmen mit der Einführung von BYOD verfolgt und was beachtet werden muss. Beispiele - Umgang mit personenbezogenen Daten - Unterlassen der Speicherung geschäftlicher Daten in Public Clouds, wie der T Cloud - Kosten und Wartung - Verbot geschäftlicher Nutzung kritischer Apps und Funktionen; aber auch, wie mit Verstößen gegen eine ordnungsgemäße Nutzung seitens des Unternehmens umgegangen werden soll. Teilweise wird vorgeschlagen, den einzelnen Mitarbeiter im Rahmen der Durchführung von Online-Schulungen auch entsprechend auf die Einhaltung der Policy zu verpflichten. Gibt es im Unternehmen eine IT-Sicherheitsvereinbarung, so wäre diese schließlich um die entsprechenden Maßnahmen zu erweitern. Nach alledem erscheint es zumindest technisch möglich, das Risiko einer ungewollten Verwendung von Geschäftsdaten stark zu minimieren; dies erfolgt durch die Anwendung der unbedingt notwendigen IT-Sicherheitsmaßnahmen.

15 Arbeitsrechtliche Aspekte 11 3 Arbeitsrechtliche Aspekte Zusatz zum Arbeitsvertrag oder Regelungen in Betriebsvereinbarungen 3.1 Vergütungsanspruch des Mitarbeiters für die Nutzung des privaten Endgeräts Zunächst sollte mit dem Mitarbeiter eine Regelung darüber getroffen werden, welche Partei die mit der Nutzung des privaten Endgerätes entstehenden regelmäßigen Kosten, wie zum Beispiel die monatlichen Entgelte, trägt. Je nachdem, wie sich die private und die betriebliche Nutzung verteilt, empfiehlt sich hier eine anteilige Aufteilung. Für Änderungen der Verteilung kann die zusätzliche Berücksichtigung einer Anpassungsklausel sinnvoll sein. Sofern der Mitarbeiter verbunden mit der Hardware was der Regelfall sein dürfte auch einen über eine SIM-Karte abgewickelten Kommunikationsvertrag einbringt, dürfte nach den Grundsätzen von 670 BGB zu verfahren sein: Dem Mitarbeiter sind die Aufwendungen an den eingebrachten Sachen zu erstatten. Das bedeutet, dass berufliche Kommunikation vom Unternehmen zu erstatten ist. Bei den in aller Regel zugrunde liegenden Flatratetarifen wäre hier eine angemessene Quotelung vorzusehen. Ein völliger Ausschluss einer etwaigen Kostentragungslast würde demgegenüber vermutlich an dem auch im Arbeitsverhältnis grundsätzlich geltenden 307 BGB scheitern zumal dann, wenn mit mehreren Mitarbeitern gleichartige Bedingungen abgeschlossen werden sollen. 3.2 Vertragliche Vereinbarung über die Nutzung und Wartung des privaten IT- Endgerätes Generell ist der Arbeitsgeber dazu verpflichtet, die erforderlichen Arbeitsmittel bereitzustellen und auch zu erhalten. Sofern nun das private Endgerät als Arbeitsmittel vom Mitarbeiter bereitgestellt wird, sollte hierüber eine entsprechende Vereinbarung getroffen werden. Dabei ist auch darauf zu achten, dass diese Vereinbarung Regelungen darüber trifft, welche Software eingesetzt werden darf, wer wann für Wartungen und Reparaturen verantwortlich ist und wer im Defekt- oder Verlustfall für die Anschaffung eines Ersatzbzw. Neugerätes verantwortlich ist. Möglicherweise ist es sinnvoll, dass der Arbeitgeber sich für den Reparatur- oder Wartungsfall vom Mitarbeiter seine Gewährleistungsansprüche gegen den Verkäufer oder Provider abtreten lässt. Bereits im Rahmen der unter Ziffer 3.1 angesprochenen Vergütung, aber spätestens hier im Kontext der Haftung und der Verfügbarkeit stellt sich die Frage der vertragstypologischen Einordnung einer das BYOD regelnden Vereinbarung zwischen Mitarbeiter und Unternehmen. Sofern was wegen Ziffer 3.1 der Regelfall sein dürfte eine wie auch immer geartete Vergütung gezahlt wird, finden die Grundsätze des Mietrechts am ehesten Anwendung. Diese Grundsätze überlagern dann das arbeitsvertragliche Ver-

16 Arbeitsrechtliche Aspekte 12 hältnis, insbesondere die dort geltenden besonderen Haftungsreglungen. Das hat für den Mitarbeiter die belastende Kehrseite, dass (auch) im Falle eines betrieblich veranlassten Verlustes oder Untergangs er für die Wiederbeschaffung oder Wiederherstellung des mobilen Endgerätes verantwortlich ist. Wegen dieser Konsequenz ist eine bereits nach Ziffer 3.1. vereinbarte Vergütung adäquat auszugestalten. Erfolgt dies dagegen nicht, kann für den Unternehmer mangels einer etwaigen Haftung des Mitarbeiters ein Beschaffungs- oder Verfügbarkeitsproblem entstehen, zumal entsprechende Vereinbarungen an den 307 ff BGB zu messen sind. Um eine einheitliche Administration aller sich im Einsatz befindlichen privaten Endgeräte gewährleisten zu können und dem Arbeitgeber einen Überblick über die eingesetzten privaten Endgeräte geben zu können, sollte diese Vereinbarung auch eine genaue Typbezeichnung des jeweiligen Endgerätes beinhalten. Wird hingegen nichts geregelt, so darf der Arbeitgeber nur ganz allgemein die Nutzung erwarten und es liegt eine Besitzstörung gemäß 858 Abs.1 BGB vor, sofern vorab keine Regelung über etwaige Zugriffs-, Protokoll- und Änderungsrechte getroffen wurde und der Arbeitgeber Reparatur- oder Wartungsmaßnahmen veranlasst. Zudem wäre der Mitarbeiter im Defekt- oder Verlustfall nicht zur Anschaffung des Ersatzgerätes verpflichtet. Beides ist im Zweifel nicht im Interesse des Arbeitgebers. 3.3 Vertragliche Vereinbarung über gesetzliche Aufbewahrungspflichten Unabhängig von der Frage, welche Daten wie und in welchen Umfang auf das private Endgerät ausgelagert werden dürfen, ist mit dem Mitarbeiter eine Vereinbarung zu treffen mit der sichergestellt ist, dass der Arbeitgeber seinen gesetzlichen Aufbewahrungspflichten nachkommen kann. Solche Aufbewahrungspflichten ergeben sich insbesondere aus den 257 HGB und 147 AO. Danach sind bestimmte Arten von Geschäftsunterlagen 6 bzw. 10 Jahre aufzubewahren. Solche Geschäftsunterlagen können auch elektronisch sprich von (privaten) Endgeräten aus produziert werden. Schon deshalb ist es notwendig, die privaten Endgeräte mit der stationären EDV des Arbeitgebers zu synchronisieren. Sofern nicht eine strikte Trennung zwischen privater und beruflicher Sphäre erfolgt, wird zwangsläufig private Korrespondenz mitprotokolliert mit Folgen, die im Bereich der Nutzung betrieblicher Kommunikationsmittel für private Zwecke hinlänglich diskutiert sind. Gegebenenfalls droht dann wegen 88 TKG auch eine Haftung nach 206 StGB. Neben dieser Pflicht des Arbeitgebers, betriebliche Dokumente revisionssicher aufzubewahren, ist in diesem Zusammenhang beispielsweise auch an die Regeln zur Aufbewahrung digitaler Unterlagen und zur Mitwirkungspflicht der Steuerpflichtigen bei Betriebsprüfungen (GDPdU) zu denken.

17 Arbeitsrechtliche Aspekte Haftung Bei durch die Nutzung privater Geräte entstandenen Schäden beim Arbeitgeber (z. B. Virenbefall etc.) gelten die allgemeinen Grundsätze der Arbeitnehmerhaftung. Der Arbeitnehmer haftet daher für Vorsatz und grobe Fahrlässigkeit voll, für leichteste Fahrlässigkeit nicht und anteilig bei normaler Fahrlässigkeit. 3.5 Arbeitszeit Unter arbeitszeitrechtlichen Gesichtspunkten ist zu berücksichtigen, dass das Arbeitszeitgesetz bestimmte Höchstgrenzen an pro Tag an zu leistender Arbeitszeit bzw. bestimmte Ruhezeiten vorschreiben. Die Nutzung privater Endgeräte für dienstliche Zwecke kann dazu führen, dass sich der Mitarbeiter mittelbar oder unterschwellig stets dazu veranlasst sieht, beispielsweise auf s zu reagieren oder sie zumindest zur Kenntnis zu nehmen. Dies gilt umso mehr, wenn das private Endgerät und das dürfte beim BYOD der Regelfall sein mit der stationären Bürokommunikation synchronisiert ist. Erschwerend kommt hinzu, dass der Mitarbeiter sein (privates) Endgerät ja auch angeschaltet lässt, denn er befindet sich ja außerhalb seines Arbeitsplatzes grundsätzlich im privaten Bereich. Der Mitarbeiter ist quasi zwangsläufig verfügbar und online und es droht die Gefahr von Arbeitszeitverstößen (vgl. 5 Abs. 1; 10 Abs. 1 ArbZG). Rechtlich könnte es sich um eine Rufbereitschaft handeln Arbeitszeit entsteht hieraus jedoch nur, wenn der Arbeitnehmer tatsächlich anfängt zu arbeiten und dieses Tätigwerden vom Arbeitgeber angeordnet wurde oder die Arbeitsergebnisse ohne Anordnung vom Arbeitgeber verwendet werden. Auch zur Vermeidung dieser Probleme bedarf es individuelle oder gegebenenfalls kollektivrechtliche Regelungen. Hinweis Das Arbeitszeitgesetz findet keine Anwendung auf leitende Angestellte im Sinne von 5 Abs. 3 BetrVG (vergleiche 18 Abs. 1 Nr. 1 ArbZG). 3.6 Notwendigkeit einer Betriebsvereinbarung und Einbindung des Betriebsrates bei Kontrolle und Überwachung des Endgerätes Ob aus datenschutzrechtlichen Aspekten (zwecks Kontrolle der Einhaltung der sich aus 9, 11 BDSG ergebenden Gebote), aus lizenzrechtlichen Gründen (zwecks Überprüfung des privaten Endgerätes auf den Einsatz von illegaler Software) oder aus Gründen der IT-Sicherheit (zwecks Sicherstellung der Einhaltung der im Rahmen von Bring Your Own Device erforderlichen Sicherheitsmaßnahmen): Eine Kontrolle und

18 Arbeitsrechtliche Aspekte 14 Überwachung des privaten Endgerätes scheint bei der Einführung von Bring Your Own Device unumgänglich. Eine aus welchen Gründen auch immer erforderliche Überwachung oder Kontrolle der Nutzung des privaten Endgerätes durch das Unternehmen kann eine mitbestimmungspflichtige Überwachung des Mitarbeiters im Sinne von 87 Abs.1 Nr.6 BetrVG darstellen. Entscheidend ist dabei nicht, ob die Leistung des Arbeitgebers oder sein Nutzungsverhalten tatsächlich überwacht werden, sondern dass die Möglichkeit dieser Überwachung nicht ausgeschlossen werden kann. Eine solche Überwachung bedarf dann einer vorherigen Mitbestimmung des Betriebsrates. Mitbestimmungspflichtig können darüber hinaus auch andere Regelungen wie zum Beispiel über die Unterteilung der Nutzung in private und betriebliche Nutzung sein. Praxishinweis Die Einbindung des Betriebsrates hat dabei vor der Einführung von Bring Your Own Device zu erfolgen. Dazu gehören Modalitäten über die Zweckbestimmung, die Art und Anzahl einzelner Endgeräte, der Zeitpunkt der Einführung, der Ort der Verwendung, die Art der Installation, der Zeitraum der Verwendung sowie unmittelbar auf die Einführung bezogene Vorbereitungsmaßnahmen. Im Rahmen des Mitbestimmungsrechts hat der Betriebsrat auch bei der Festlegung des Verwendungszwecks gespeicherter Leistungs- und Verhaltensdaten mitzubestimmen.

19 Lizenzrechtliche Aspekte 15 4 Lizenzrechtliche Aspekte Verantwortlichkeit des Unternehmens für eingesetzte Software Damit das Unternehmen bzw. der Arbeitgeber sich im Falle einer Lizenzprüfung nicht aufgrund eines Urheberrechtsverstoßes haftbar macht, ist die Überprüfung der sich auf dem privaten Endgerät befindlichen Software (Betriebssystem, Apps und Anwendersoftware) und der hierzu eingeräumten Lizenzen erforderlich. Denn kommt es zu einer Urheberrechtsverletzung, so kann eine Haftung des Arbeitgebers wie folgt hergeleitet werden: Gemäß 99 UrhG kann der Urheberrechtsverletzte seine gemäß 97 Abs.1, 98 UrhG bestehenden Rechte auch gegen den Inhaber eines Unternehmens geltend machen, wenn ein Arbeitnehmer oder Beauftragter dieses Unternehmens eine Urheberrechtsverletzung begangen hat. Dabei ist unerheblich, ob der Inhaber des Unternehmens von der Urheberrechtsverletzung wusste oder diese gar gegen seinen Willen erfolgte. Entscheidend ist vielmehr, dass das Ergebnis der rechtswidrigen Nutzung dem Unternehmen zugutegekommen ist. Darüber hinaus ist unerheblich, ob der Arbeitnehmer oder Beauftragte die Urheberrechtsverletzung in den Räumlichkeiten des Unternehmens selbst begangen hat oder dazu lediglich die Betriebsmittel des Unternehmens verwendet hat. Der Anspruch besteht neben dem Anspruch gegen den Arbeitnehmer oder Beauftragten. In Bezug auf den Einsatz des privaten Endgerätes ist davon auszugehen, dass der Mitarbeiter nur ein einfaches, nicht übertragbares Recht zur eventuell sogar ausdrücklich nur privaten Nutzung erworben hat, das aufgrund des fehlenden Weiterübertragungsrechts für eine betriebliche Nutzung nicht ausreicht. Je nachdem, welche Nutzungsrechtseinräumung sich aus den einzelnen Lizenzvereinbarungen ergibt, kann die Software zur betrieblichen Nutzung nicht verwendet werden. In diesem Fall muss mit dem Softwarehersteller eine entsprechende Lizenzerweiterung getroffen werden. Darüber hinaus ist jedoch auch denkbar, dass der Mitarbeiter eine unlizenzierte Kopie einer Software nutzt. In diesem Fall müsste dafür Sorge getragen werden, dass die Software deinstalliert wird und nicht zur Anwendung gelangt. Zu empfehlen ist daher die Überprüfung der Software im Rahmen von Software-Audits.

20 Steuerrechtliche Aspekte 16 5 Steuerrechtliche Aspekte Geldwerter Vorteil, Kostenübernahme gesonderte Prüfung notwendig! Je nachdem, welche Regelungen hinsichtlich der Kostenaufteilung in Bezug auf die Nutzung des privaten Endgeräts getroffen werden, sind vom Arbeitgeber und vom Arbeitnehmer steuerrechtliche Aspekte zu berücksichtigen. Sofern der Arbeitgeber sich im Rahmen einer Nutzungsvereinbarung an den Kosten für das private Endgerät beteiligt, hat der Mitarbeiter hierfür eine Rechnung zu stellen. Da der Mitarbeiter als Privatperson tätig wird und aller Wahrscheinlichkeit nach auch der entsprechende Schwellenwert nicht erreicht wird, ist diese Rechnung ohne Umsatzsteuer auszuweisen. Dies hat für das Unternehmen zur Folge, dass es keine Umsatzsteuer als Vorsteuer dem Fiskus in Rechnung stellen kann (vergleiche 15 Abs. 1 UStG). Das wiederum kann für den Arbeitgeber steuerlich gesehen einen Nachteil im Vergleich zur Anschaffung und zum Einsatz betrieblicher Endgeräte darstellen. Insoweit ist anzuraten, bei der Erarbeitung eines Mobile Device Managements die steuerrechtlichen Auswirkungen stets zu berücksichtigen und steuerrechtliche Expertise einzuholen. Sofern der Arbeitgeber über die verauslagten Kosten hinausgehende Kosten für das private Endgerät übernimmt zu denken ist an die Kosten für einen Router, um dem Mitarbeiter von zu Hause aus einen Zugang zum Firmennetz zu verschaffen kann hierin ein geldwerter Vorteil liegen, sofern der Mitarbeiter die mit den Kosten verbundene Leistung auch privat nutzen kann. Dieser geldwerte Vorteil wäre dann als Einnahme nach 8 Abs. 1 EStG zu versteuern. Das Vorliegen eines geldwerten Vorteils zugunsten des Mitarbeiters ist daher jeweils bei einem Mobile Device Management zu prüfen.

21 IT-Sicherheit beim Einsatz von Mobile Devices 17 6 IT-Sicherheit beim Einsatz von Mobile Devices Spagat zwischen Produktivität und Sicherheit 6.1 Ausgangssituation Zur Sicherheit mobiler Geräte und zur Sicherheit im Umgang mit den Daten auf solchen Geräten gibt es viele berechtigte Bedenken von Experten. Dennoch werden solche Bedenken mit höchster Wahrscheinlichkeit die rasante Verbreitung und den Einsatz der Geräte kaum bremsen. Zu stark sind die Fakten, die für die Verwendung solcher Geräte sprechen, denn die Chancen und Möglichkeiten sind groß: Das heißt, mobile Geräte werden ab sofort nicht nur zur IT-Landschaft gehören, sondern sie werden sie maßgeblich mit bestimmen. Ein Zurück ist undenkbar: Die Geräte sind bereits jetzt nicht mehr aus dem Unternehmensalltag wegzudenken. Bring Your Own Device (BYOD) ist ein Trend, der von kaum einem Unternehmen mehr ohne Prüfung übergangen werden kann. Daher müssen die entsprechenden technologischen Überlegungen und Möglichkeiten ab sofort intensiv diskutiert werden. Solche Entwicklungen bewirken, dass in der IT-Umgebung des Unternehmens keineswegs nur mehr, wie bisher gewohnt, Geräte anzutreffen sind, die vom Unternehmen ausgegeben werden und vorher entsprechenden Tests unterzogen worden sind. Das Nebeneinander von Unternehmensgeräten und privaten Geräten, die mit Duldung oder aktiv gefördert vom Unternehmen dienstlich genutzt werden, wird selbstverständlich. Damit verknüpft sind vielerlei neue Anforderungen: Unter anderem gilt es wie bereits in Ziffer 2 ff. geschildert die entsprechenden rechtlichen Probleme zu lösen. Ergänzend stellen sich technische Herausforderungen: Wie schafft es eine IT-Abteilung, einerseits die rechtlichen Rahmenbedingungen zu berücksichtigen, andererseits die technischen Notwendigkeiten im Griff zu haben? Und wie kann gewährleistet werden, dass die erwünschten umfangreichen Funktionen, die das Unternehmen braucht, ständig bereit stehen? Und das jederzeit, störungsfrei und sicher. 6.2 Definition von mobilen Devices Als mobile Geräte sind Laptops bereits seit langem im Unternehmenseinsatz. Für Laptops sind weitreichende Managements- und Sicherheitsmechanismen sowohl vorhanden als auch flächendeckend im Einsatz. Hinzu kommen jedoch schnell und in großer Zahl Smartphones und Tablets: Sie sind vergleichsweise neu im Unternehmenseinsatz. Daher werden im Folgenden diese Geräte im Vordergrund der Betrachtung stehen. Hinsichtlich der Betriebssysteme werden vor allem Google Android und Apple ios in der jeweilig aktuellen Version betrachtet.

22 IT-Sicherheit beim Einsatz von Mobile Devices Herstellerseitige Sicherheitsfunktionen Grundsätzlich kann man hinsichtlich der angebotenen Betriebssysteme zurzeit davon ausgehen, dass ios vergleichsweise am sichersten ist. Schließlich wird ios am engsten durch Vorkehrungen des Herstellers Apple kontrolliert. Jedoch bedeutet dies natürlich nicht, dass man das Betriebssystem generell als sicher betrachten kann insbesondere ist zu bedenken, dass alle Betriebssysteme vordergründig für den Einsatz im privaten Bereich gedacht waren. Die Herstellersysteme bieten bestimmte Grundfunktionen hinsichtlich Management und Sicherheit diese können durch ein MDM-System erweitert werden Passwortschutz Die erste Sicherheitsvorkehrung ist, das Gerät per Passwort bzw. Passcode (Zahlencode oder Kombination aus Zahlen, Buchstaben und Sonderzeichen, ähnlich der Zugangskontrolle am PC) zu schützen. Im privaten Bereich verzichten viele Benutzer auf diese elementare Sicherheitsfunktion. Sofern jedoch berufliche Nutzung, sei es auch nur in geringem Ausmaß, vorliegt, ist vom Unternehmen unbedingt darauf zu achten, dass ein Passcode eingerichtet wird. Genauso wichtig ist, dass der Benutzer keine Möglichkeit hat, den erzwungenen Abruf des Passwortes zu umgehen oder zu deaktivieren. Für die Praxis kann es keinen Grund geben, diese Haltung auch nur im Entferntesten aufzuweichen! Schließlich hat das Unternehmen nicht nur das Recht, sondern auch die Pflicht, die Unternehmensdaten vor dem Zugriff Externer bzw. Unbefugter zu schützen. Klarerweise müssen sich diesen Überlegungen alle Bequemlichkeitsfragen oder ähnliches unterordnen Gerätesperre Unabhängig von den Betriebssystemen kann für alle Endgeräte definiert werden, dass diese sich nach Ablauf eines definierbaren Zeitraums sperren und eine erneute Eingabe des Passcodes erforderlich wird Automatische Datenlöschung Sofern die Anzahl der fehlerhaften Anmeldeversuche einen definierten Schwellenwert überschreitet, kann man einstellen, dass alle Daten automatisch gelöscht werden. Der Schwellenwert sollte klarerweise nicht zu klein gewählt werden, dennoch sollte er auch nicht utopisch groß sein. Es ist immer sicherer und auch billiger, eine Löschung herbeizuführen, als das Risiko von unkontrolliertem Fremdzugang in Kauf zu nehmen.

23 IT-Sicherheit beim Einsatz von Mobile Devices 19 Im Hinblick auf Löschungen aus diesem oder ähnlichen Gründen ist es auch wichtig, dass der Stellenwert von Datensicherung sowohl dem Unternehmen als auch dem Benutzer bewusst ist Verschlüsselung der Daten im Gerätespeicher Ein wichtiges Sicherheitsfeature ist die Verschlüsselung der Daten im Gerätespeicher. In der Regel basiert die verwendete Verschlüsselung auf dem bekannten und gängigen Algorithmus AES 256. Je nach Betriebssystem muss die Verschlüsselung eigens aktiviert werden oder sie erfolgt automatisch. Android bietet im Übrigen die Möglichkeit, sofern geräteseitig vorgesehen, auch externe Speichermedien wie SD-Karten zu verschlüsseln Device Administrator Mittels eines Device Administrator kann einzelnen Applikationen explizit das Recht gegeben werden, Gerätekonfigurationen zu ändern bzw. die Konfiguration gegen Veränderung zu sperren. Dies ist eine wesentliche Funktion beim Einsatz von MDM-Lösungen. Daher sollte große Sorgfalt darauf gelegt werden, hier die entsprechende Politik des Unternehmens zu entwickeln und diese dann umzusetzen Applikationsschutz, Sandboxing Auf dem mobilen Gerät laufen viele Applikationen. Insbesondere ist sicherzustellen, dass Applikationen nicht auf den Datenspeicher anderer Applikationen zugreifen können, sondern sozusagen nur in ihrem eigenen Speicherbereich arbeiten. Diese Speichersandbox für den internen Speicher halten ios und Android auch für Dateien bereit. Damit wird verhindert, dass Applikationen auf bestimmte Dateien anderer Applikationen oder allgemein Dateien des Benutzers zugreifen können. 6.4 Weiterführende Maßnahmen mittels MDM-Systemen Inventarisierung und Integration von privaten Geräten in bestehende Managementstrukturen Eine Verwaltungslösung für Mobilgeräte muss die dazugehörigen Daten für eine Inventarisierung zur Verfügung stellen. Dies sollte möglichst automatisierbar erfolgen bzw. mit möglichst geringem Aufwand.

24 IT-Sicherheit beim Einsatz von Mobile Devices 20 Hierbei muss die Möglichkeit bestehen, den Eigentümer des jeweiligen Gerätes zu markieren. Grundanforderung ist, mindestens die Unterscheidung zwischen Firmengerät und privates Gerät treffen zu können. Bei doppelter Nutzung ist das Gerät als Firmengerät zu verwalten Bereitstellung, Installation und Management von Apps Die große Verbreitung und die unstrukturierte Installation von Apps auf den gängigen Mobilgeräten führen zu einem riesigen Angebot von Programmen, die auf den Geräten laufen. Apps können jederzeit auch unterwegs vom Anwender auf den Geräten installiert werden. Allerdings sind bei weitem nicht alle Apps vertrauenswürdig. Daher ist eine Inventarisierung der installierten Apps ebenso notwendig, wie die Möglichkeit, die weitere Installation von Apps zu verhindern. Im dienstlichen Bereich muss das Unternehmen festlegen ob Apps genutzt werden sollen, welche dies sind und in welcher Art sie genutzt werden dürfen oder sollen. Mobile Device Management-Lösungen erlauben diese geforderte Inventarisierung der installierten Apps. Zunehmend greift man auch auf Blacklisting von verbotenen Apps oder und Whitelisting empfohlener oder verpflichtend installierter Apps zurück. Blacklists werden auch über Reputationsmechanismen oder Cloud-Datenbanken erweitert. Dies sind automatisierte Abfragen: Welche Funktionen nehmen Apps von sich aus vor (z. B. Ausführen von Schadcode, weiterführende, vom Nutzer nicht autorisierte Abfragen, Datenabfluss) und generell, sind die Apps vertrauenswürdig? Dabei ist nicht zu vergessen: Die Masse der unkontrolliert auf den Markt drängenden Apps für Android ist kaum mehr zu durchschauen; damit verbunden ergeben sich möglicherweise erhebliche Sicherheitsprobleme. Bei Apple ios-geräten ist demgegenüber generell eine Installation von Apps nur aus dem Appstore möglich. Einzige Ausnahme hiervon ist die Installation von eigenen, selbstentwickelten Apps: Mit Hilfe eines MDM- Systems kann hierfür ein so genannter Enterprise App-Store, also ein unternehmenseigener Pool, für solche Apps bereitgestellt werden. Grundsätzlich bleibt es eine wesentliche Aufgabe, über ein geeignetes MDM-System den Umgang mit Apps zu regeln und zu überwachen Schutz von dienstlichen Daten (DLP) Ein weiterer wesentlicher Sicherheitsaspekt ist der Schutz vor Datenmissbrauch. Insbesondere die unautorisierte, aber auch die unabsichtliche Weitergabe von Daten stellt eine große Gefahr dar. Diesen Gefahren kann durch den Einsatz von sog. Data Leakage Prevention Lösungen (abgekürzt DLP) vorgebeugt werden. DLP analysiert die Verwendung von Daten und

25 IT-Sicherheit beim Einsatz von Mobile Devices 21 prüft die Zulässigkeit einer Daten-Operation gegen ein Regelwerk, das zentral verwaltet und verteilt wird. Da Mailverkehr erheblichen Datentransfer bewirken kann, muss sichergestellt sein, dass (für den dienstlichen Bereich) nur die dienstlich freigegebene Mail-Applikation benützt werden kann. Bei Apple Endgeräten kann darüber hinaus verhindert werden, dass alternative Mail-Applikationen unterstützt werden. Somit ist sichergestellt, dass sämtlicher Mailversand durch zentrale DLP Mechanismen analysiert wird und sensible Daten nicht ungewollt versandt werden können Verschlüsselung von Daten innerhalb von cloudbasierten Diensten Sofern Cloud-Storage verwendet wird, muss durch geeignete Mechanismen sichergestellt werden, dass die betreffenden Daten nur verschlüsselt in die Cloud gelangen. Weiterhin empfiehlt es sich aus vielen Gründen, darauf zu achten, dass die eigenen Daten bei Clouddiensten nur verschlüsselt vorliegen und entsprechend sichere Passcodes etabliert sind Bereitstellung einer dedizierten Arbeitsumgebung für den dienstlichen Gebrauch (Container) Je nach MDM-Lösung müssen zur Einhaltung der datenschutzrechtlichen Vorgaben nach dem BDSG abgeschlossene und vom Betriebssystem getrennte Arbeitsumgebungen für private und geschäftliche Daten eingerichtet werden. Dies betrifft insbesondere den BYOD-Fall. Eine effektive Möglichkeit dieser Trennung ist die Kapselung von Anwendungen und Daten in Form sicherer App-Container (Containerization). Diese Container werden automatisch erzeugt, wenn der Mitarbeiter sich mit dem Gerät das erste Mal mit der Unternehmensinfrastruktur verbindet. Innerhalb der abgeschlossenen Containerstruktur werden Daten zwischen Endgerät und Unternehmensserver ausschließlich verschlüsselt ausgetauscht, und es kann dank DLP darüber hinaus kontrolliert werden, welche Daten wie verwendet werden. In der jeweiligen Arbeitsumgebung können Unternehmensdaten sicher und geschützt vor dem Zugriff anderer Applikationen bearbeitet werden. Kein unautorisiertes App kann in dieser Umgebung auf Daten zugreifen. Dank dieser effektiven Trennung von geschäftlichen Daten und privaten Daten kann der Nutzer sein Gerät im privaten Umfeld nutzen, ohne Gefahr zu laufen, dass wichtige Unternehmensdaten verloren gehen oder mitgelesen werden können. Allerdings muss der Anwender ein separates Passwort zur Verwendung des Containers eingeben. Außerdem kann der Anwender s und deren Anhänge nicht in den Standard-Apps oder Dateipfaden ablegen. Um diese Einschränkungen zu umgehen,

26 IT-Sicherheit beim Einsatz von Mobile Devices 22 besteht die Möglichkeit, sowohl selbstentwickelte Apps des Unternehmens oder allgemeine Apps aus dem App-Store mit dem Container zu verbinden. Somit können Daten aus dem Container mit diesen Apps verwendet werden, um dann wieder im Container gespeichert zu werden. Im Bedarfsfall kann der Container von der zentralen Administration gesperrt oder komplett gelöscht werden; dies erfolgt, ohne die privaten Daten auf dem (privaten) Gerät zu verändern. Die Lösung eigener Arbeitsumgebungen ist insbesondere für Betriebssysteme wichtig, die keine Vollverschlüsselung unterstützen, wie z.b. ältere Android-Versionen. In solchen Fällen sollten die entsprechenden Daten durch eine eigene Verschlüsselung gesichert sein Verteilung von Regelsätzen Ein wesentlicher Vorteil von zentralen Management-Systemen ist die Möglichkeit, gewünschte bzw. erforderliche Konfigurationseinstellungen in Profilen zusammenzufassen und diese gezielt an mobile Endgeräte zu verteilen Überwachung des Gerätezustandes Der Status der aktiven Einstellungen auf einem mobilen Gerät kann mit Hilfe von dedizierten Apps (Agent) überprüft und kontrolliert werden. Beim Verbindungsaufbau im Rahmen der Datensynchronisierung meldet der Agent den Status an den zwischengeschalteten MDM-Proxyserver. Je nach Status wird der weiterführende Zugriff erlaubt oder verhindert. Bei Verletzung der Policy kann der Benutzer darauf hingewiesen werden und gegebenenfalls Informationen erhalten, was zu tun ist. Alternativ kann das Gerät selektiv oder vollständig gelöscht werden. Im Zuge der selektiven Datenlöschung werden alle unternehmensrelevanten Daten ( s, Kontakte und Termine) sowie die dazugehörigen Konfigurationsdaten gelöscht Verlust von Devices Ein wesentliches Augenmerk von zentralen Managementlösungen liegt auf der Bereitstellung von unterschiedlichen Maßnahmen im Falle eines Geräteverlustes. Hierbei ist zwischen den Maßnahmen hinsichtlich der abhanden gekommenen Hardware inklusive einer eventuell enthaltenen SIM-Karte und den Maßnahmen betreffend der auf dem Gerät gespeicherten Daten zu unterscheiden. Grundsätzlich besteht die Möglichkeit, die Endgeräte, dank der enthaltenen GPS- Technologie, zu orten. Dies kann das Wiederauffinden des Geräts ermöglichen. Die

27 IT-Sicherheit beim Einsatz von Mobile Devices 23 zugehörige SIM-Karte ist aufgrund der Inventarisierung im zentralen Management eindeutig identifizierbar und somit umgehend im Dialog mit dem Netzbetreiber deaktivierbar. Dies kann weiterem Missbrauch vorbeugen. Betreffend die Behandlung von Daten auf abhanden gekommenen Geräten sind die privaten und die dienstlichen Daten zu unterscheiden. So ist es möglich, die Löschung von dienstlichen Daten aus dem zentralen Management heraus zu veranlassen. Die privaten Daten verbleiben auf dem Gerät, falls von Seiten des ursprünglichen Besitzers keine Einwilligung zur Löschung bestehen sollte. Dies ist insbesondere dann wichtig, wenn private Endgeräte im Unternehmen verwendet werden (BYOD) Kontrolle von Roamingkosten Der Mehrwert von mobilen Geräten liegt insbesondere darin, dass sie stets versuchen, aktuelle Informationen bereitzustellen. Dies erfolgt einerseits durch die aktive Verbindungsaufnahme von Seiten des Endgeräts auf einen Online-Service und andererseits dadurch, dass dem Endgerät aktuelle Daten gesandt werden (sog. Push-Dienste). Dieses Verhalten kann einen nicht unbeträchtlichen Datenstrom erzeugen. Somit ist es erforderlich, dieses Verhalten kontrollieren und steuern zu können, insbesondere dann, wenn der Benutzer sich nicht im eigenen Datennetz befindet und immense Roaming- Kosten entstehen können. Die Betriebssysteme bieten grundsätzlich die Möglichkeit, die Synchronisierung und den damit verbundenen Datenverkehr während des Roamings in fremden Netzen zu unterbinden. Basierend auf dem Regelwerk eines zentralen Management-Systems kann dieses Verhalten dauerhaft und unveränderbar festgelegt werden Webfiltering und Antivirus Grundsätzlich ist das Unternehmen dafür verantwortlich, geeignete Vorkehrungen zu treffen, dass von mobilen Geräten der Zugriff auf das Internet gesetzeskonform erfolgt. Zumindest im dienstlich genutzten Bereich ist daher der Einsatz eines Webfilters ähnlich der Filterungsmechanismen, die man aus dem stationären Bereich kennt, dringend anzuraten bzw. unumgänglich. Damit sind zwar nicht alle möglichen Problemstellen beseitigt, eine geeignete Filterung bietet jedoch bereits einen hohen Schutz vor verschiedensten Gefahren. Es sei jedoch nochmals erwähnt und auf den rechtlichen Teil dieser Arbeit hingewiesen, dass die technische Filterung von Internetzugriffen nicht alle Problemstellen, z. B. Urheberrechtsverletzungen, Minderheitenschutz o. ä., abstellen oder beherrschen kann. Geeignete Filtermechanismen (URL-Filter) sind notwendig und sinnvoll, es müssen jedoch von rechtlicher und organisatorischer Seite weitere Maßnahmen hinzukommen.

28 IT-Sicherheit beim Einsatz von Mobile Devices Problemstellen und Einschränkungen Kein Schutz für externe Daten unter Android Das Android Betriebssystem in Verbindung mit den zugehörigen Endgeräten ermöglicht im Gegensatz zum Betriebssystem von Apple die Verwendung von externen Speichermedien (SD-Karten). Dies birgt jedoch ein nicht geringes Risiko des Datenverlustes, da für SD-Karten im Gegensatz zum internen Speicher keine Schutzmechanismen greifen. Das von den Karten verwendete Dateisystem bietet keine Zugriffskontrolle über Access Control-Mechanismen Apple Anwender können Profile löschen Auf Apple Endgeräten können die von einem zentralen Management-System verteilten Profile vom angemeldeten Benutzer gelöscht werden. Dies hängt damit zusammen, dass Apple die mobilen Geräte vordergründig als Personal Device betrachtet. Die Löschung des Profils hebt einerseits alle Einschränkungen auf, löscht jedoch andererseits alle unternehmensrelevanten Daten auf dem Endgerät. Es handelt sich hierbei somit weniger um ein Sicherheitsrisiko im eigentlichen Sinn, allerdings kann die Profillöschung erhebliche organisatorische Probleme erzeugen: Dem Anwender ist der Zugriff auf wichtige Informationen nicht mehr möglich Risiken im Management von Apps Eine wesentliche Problemstelle ist, dass das Management von Apps nur begrenzt möglich ist. Zudem ist in der Regel die Installation von Apps dem Benutzer nur ganzheitlich verbietbar. Hier kann sich Konfliktstoff von jeder Seite ergeben: Eine restriktive Verbotspolitik kann zu innerbetrieblichen Diskussionen mit unerwünschten Effekten führen, eine Politik der Offenheit ebenso. Hinzu kommt: Je offener ein System für die nicht oder wenig kontrollierte Installation von Apps ist, desto anfälliger ist es. Insbesondere bei Android-Geräten ist es möglich, dass Apps aus verschiedenen, mitunter kaum kontrollierbaren Quellen installiert werden können. Jedes Unternehmen muss sich bewusst sein, inwieweit solche Möglichkeiten erwünscht sind oder toleriert werden sollen. Grundsätzlich ist es jedoch empfehlenswert, dass hinsichtlich der Apps, die für Android zur Verfügung stehen, dringend darauf geachtet werden sollte, dass ausschließlich Apps aus dem Google Play- oder Hersteller-AppStore geladen werden können. Bei anderen Apps kann es rechtliche, technische oder Sicherheitsprobleme geben. Unter Android kann der Anwender die Installation aus nicht-google-quellen zulassen, was häufig unerwünscht sein wird. Ein MDM-System kann dies verhindern.

29 IT-Sicherheit beim Einsatz von Mobile Devices 25 Generell ist nicht zu vergessen: Die Masse der unkontrolliert auf den Markt drängenden Apps für Android ist kaum mehr zu durchschauen; damit verbunden ergeben sich möglicherweise erhebliche Sicherheitsprobleme. 6.6 Zusammenfassung zum technologischen Umfeld Das Management von mobilen Geräten stellt einerseits die Technik vor viele Herausforderungen. Andererseits spielen die Wünsche der anwendenden Unternehmen, aber auch jene der individuellen Anwender eine große Rolle. Primär sollte festgelegt werden, wie die Unternehmenspolitik zum Einsatz mobiler Geräte ausgestaltet ist. Dabei muss auch geklärt sein, wie die Herausforderungen einer eventuellen BYOD-Politik gelöst werden. Darauf aufbauend lassen sich viele Probleme anpacken. Die großen Hersteller bieten bereits entsprechende MDM-Lösungen, die jedoch nicht alle von den Anwendern bzw. Unternehmen gewünschten Nutzungsszenarien mit den damit verbundenen Problemstellen ohne weiteres abdecken können. Die Problematik des flächendeckenden Einsatzes von mobilen Geräten im Unternehmen ist relativ neu und hat enorme Dynamik: Es entstehen schnell heterogene Landschaften an mobilen Geräten, Anwenderwünsche spielen eine große Rolle, Fragen der Unternehmenssicherheit müssen beachtet werden und natürlich sollen die Geräte möglichst sinnvoll für den Unternehmenserfolg einsetzbar sein etc. Dies sind wichtige, aktuelle und sich ständig wandelnde Themen. In diesem Umfeld arbeiten alle Anbieter von entsprechenden Managementlösungen ständig weiter. Zu berücksichtigen ist jedoch, dass die Lösungsanbieter auf die Entwicklungen, die von den Geräteherstellern vorgegeben werden, angewiesen sind. Es ist also ein ständiges Weiterentwickeln, Nachbessern und Umdenken notwendig. IT-Verantwortliche bewegen sich damit in einem sich dynamisch ändernden Gebilde aus Wünschen, Anforderungen, technischen Möglichkeiten und Restriktionen. So zeigt sich das gesamte Umfeld in Bewegung: der Markt der Geräte, die Möglichkeiten ihres Einsatzes, die damit verknüpften Unternehmenswünsche und die technischen Möglichkeiten der Steuerung bzw. des Managements. Daraus entstehen immer wieder neue Herausforderungen. Die Gesamtentwicklung lässt sich jedoch nicht mehr aufhalten. Zu groß sind die Chancen und Begehrlichkeiten. Was gestern noch Zukunftsmusik war, ist heute Standard. Dem müssen alle Beteiligten, vor allem die Anbieter von entsprechenden Verwaltungsund Sicherheitslösungen, folgen. Der Umgang mit mobilen Geräten und ihr sinnvoller Einsatz stellt also allen Seiten Aufgaben. Diese Aufgaben müssen lösbar sein, sie werden aber auch oder insbesondere! in nächster Zeit erhebliche Aufmerksamkeit verlangen.

30 Best Practices für ein Mobile Device Management 26 7 Best Practices für ein Mobile Device Management Was muss man beachten kompakt erklärt! Aus den vorstehend dargestellten rechtlichen und IT-sicherheitsrelevanten Rahmenbedingungen für ein Mobile Device Management ergeben sich Regelungspunkte, die bei der Einführung privater Endgeräte in einem Unternehmen beachtet werden sollten. Wie immer bei Rechtsfragen und Fragen zur IT-Sicherheit gilt Folgendes: Kein Fall ist mit dem anderen vergleichbar, so dass die juristische Einzelfallprüfung stets unerlässlich ist. Gleichwohl lassen sich einige Best Practices für ein Mobile Device Management empfehlen. Nachfolgend die wichtigsten Überlegungen, die sich aus der rechtlichen und technologischen Perspektive ergeben. Abbildung 1 Rechtliche und technologische Perspektiven Quelle: SKW Schwarz Rechtsanwälte/Protea Networks

Leitfaden. Mobile Device Management. Stand: Dezember 2012 www.baymevbm.de/mobiledevice

Leitfaden. Mobile Device Management. Stand: Dezember 2012 www.baymevbm.de/mobiledevice Leitfaden Mobile Device Management Stand: Dezember 2012 www.baymevbm.de/mobiledevice Inhalt X Inhalt 1 Einleitung... 1 2 Datenschutzrechtliche Aspekte... 3 2.1 Anwendbarkeit des Datenschutzrechts... 3

Mehr

BYOD Bring Your Own Device

BYOD Bring Your Own Device BYOD Bring Your Own Device Was ist das Problem? So könnt ihr es regeln. Bruno Schierbaum Berater bei der BTQ Niedersachsen GmbH BTQ Niedersachsen GmbH Donnerschweer Straße 84; 26123 Oldenburg Fon 0441/8

Mehr

Datenschutz und rechtliche Rahmenbedingungen beim Einsatz mobiler Endgeräte im Unternehmen

Datenschutz und rechtliche Rahmenbedingungen beim Einsatz mobiler Endgeräte im Unternehmen Rechtsanwalt Martin Boden, LL.M., Fachanwalt für Gewerblichen Rechtsschutz: Datenschutz und rechtliche Rahmenbedingungen beim Einsatz mobiler Endgeräte im Unternehmen 3. Mittelstandskonferenz Fachhochschule

Mehr

»Bring Your Own Device«(BYOD)

»Bring Your Own Device«(BYOD) »Bring Your Own Device«(BYOD) Rechtliche Aspekte und praktische Tipps Tagung der Working Group 2 Bonn den 26.11.2013 Dennis Heinemeyer Institut für Rechtsinformatik Leibniz Universität Hannover AGENDA

Mehr

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports 1. Anwendungsbereich Im Rahmen des Supports für das JURION Portal, die jdesk-software einschließlich

Mehr

Bring Your Own Device (BYOD) - Rechtliche Aspekte

Bring Your Own Device (BYOD) - Rechtliche Aspekte Bring Your Own Device (BYOD) - Rechtliche Aspekte von Rechtsanwältin Dr. Jana Jentzsch 11.09.2012, Hotel Hafen Hamburg Vorab Dr. Jana Jentzsch Fachanwältin für IT-Recht in Hamburg Beratung u.a. im Bereich

Mehr

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos Bring Your Own Device Roman Schlenker Senior Sales Engineer Sophos Der Smartphone Markt Marktanteil 2011 Marktanteil 2015 Quelle: IDC http://www.idc.com Tablets auf Höhenflug 3 Bring Your Own Device Definition

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

Arbeitsgruppe IT-Recht

Arbeitsgruppe IT-Recht Arbeitsgruppe IT-Recht Rechtsfragen bei Enterprise Mobility Eine Einführung in wichtige rechtliche Themen bei der Nutzung von mobilen Endgeräten im Unternehmen. Einleitung Die betriebliche Nutzung von

Mehr

Die Enterprise Mobility-Strategie Mobile Endgeräte rechts- und datenschutzkonform einsetzen

Die Enterprise Mobility-Strategie Mobile Endgeräte rechts- und datenschutzkonform einsetzen Die Enterprise Mobility-Strategie Mobile Endgeräte rechts- und datenschutzkonform einsetzen RA Jan Schneider Fachanwalt für Informationstechnologierecht IT Trends Sicherheit, Bochum, 24. April 2013 Strategie

Mehr

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet? Datum:... - 1 Uhrzeit:... Betrieb:... AP:... Fragenkatalog für Kontrollen TLfDI - nichtöffentlicher Bereich - Allgemeine Fragen 1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

Mehr

Datenschutz und Datensicherheit

Datenschutz und Datensicherheit Datenschutz und Datensicherheit Gliederung 1. Datenschutz 2. Datensicherheit 3. Datenschutz und sicherheit in der Verbandsarbeit 12.01.14 Raphael Boezio 2 Datenschutz Was ist Datenschutz? Datenschutz ist

Mehr

Basiswissen. Verschlüsselung und Bildschirmsperre

Basiswissen. Verschlüsselung und Bildschirmsperre Basiswissen Verschlüsselung und Bildschirmsperre Der Speicher des Smartphones/Tablets ist vor unbefugtem Zugriff zu schützen. Dies kann durch Verschlüsselung oder äquivalente Verfahren realisiert werden.

Mehr

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im Betriebsratsbüro Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im BR-Büro Seite 2 Ausgangssituation Ausgangssituation Kurz gefasst ist es Euer Job

Mehr

BRING YOUR OWN DEVICE. Zwischen Innovation und Kontrollverlust

BRING YOUR OWN DEVICE. Zwischen Innovation und Kontrollverlust BRING YOUR OWN DEVICE Zwischen Innovation und Kontrollverlust Überblick I. Was ist BYOD (Bring Your Own Device)? 1. Alter Wein in neuen Schläuchen? 2. Warum BYOD? Die Vorteile II. Rechtlicher Rahmen und

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

Bring Your Own Device

Bring Your Own Device Bring Your Own Device Was Sie über die Sicherung mobiler Geräte wissen sollten Roman Schlenker Senior Sales Engineer 1 Alles Arbeit, kein Spiel Smartphones & Tablets erweitern einen Arbeitstag um bis zu

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4

Mehr

Mobile Anwendungen (Bring Your Own Device) RA Dr. Jan K. Köcher Syndikus, Datenschutzbeauftragter, Datenschutzauditor (TÜV)

Mobile Anwendungen (Bring Your Own Device) RA Dr. Jan K. Köcher Syndikus, Datenschutzbeauftragter, Datenschutzauditor (TÜV) Mobile Anwendungen (Bring Your Own Device) RA Dr. Jan K. Köcher Syndikus, Datenschutzbeauftragter, Datenschutzauditor (TÜV) Zu unterscheiden... Bring Your Own Device (BYOD) Arbeitsmittel im Eigentum des

Mehr

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT Jahresbericht 2015 über den Stand der Umsetzung Datenschutz Grundschutzes gemäß definiertem Schutzzweck bei der ecs electronic cash syländer gmbh Aichet 5 83137 Schonstett erstellt durch Lothar Becker

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

Die rechtlichen Herausforderungen von Bring Your Own Device

Die rechtlichen Herausforderungen von Bring Your Own Device Die rechtlichen Herausforderungen von Bring Your Own Device - Lifestyle contra Sicherheit - Dipl. jur. Florian Klein Institut für Informations-, Telekommunikations- und Medienrecht, Lehrstuhl Prof. Dr.

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 9. Übungsblattes Praktischer Datenschutz

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 9. Übungsblattes Praktischer Datenschutz und der IT-Sicherheit Lösungen des 9. Übungsblattes Praktischer Datenschutz 9.1 Gegensätze von Datenschutz und IT-Sicherheit Datenschutz: Grundsatz der Datensparsamkeit IT-Sicherheit: Datensicherung durch

Mehr

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG:

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG: Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG: Geprüftes Unternehmen: Firmenname: oberste Leitung; EDV-Abteilung: Datenschutzbeauftragter: Firmensitz: Niederlassungen: Prüfdaten: Prüfung

Mehr

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 -

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 - INNENMINISTERIUM AUFSICHTSBEHÖRDE FÜR DEN DATENSCHUTZ IM NICHTÖFFENTLICHEN BEREICH Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1 - Stand: 1. Juli 2010 -

Mehr

Die Kunst, sicher die Effizienz zu steigern: Integration von smarten Endgeräten

Die Kunst, sicher die Effizienz zu steigern: Integration von smarten Endgeräten Die Kunst, sicher die Effizienz zu steigern: i GmbH Vorstellung des Unternehmens unabhängiges, privates Beratungsunternehmen seit 2002 Spezialisierung auf: Sicherheitsberatung Konzepterstellung und überprüfung

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Tablets im Business: Gadget oder sicheres Werkzeug?

Tablets im Business: Gadget oder sicheres Werkzeug? Tablets im Business: Gadget oder sicheres Werkzeug? Daten- und Policy-Management Renato Zanetti CSI Consulting AG, Partner 12.09.2012 Agenda Einleitung, Trends Einsatzkonzepte Anforderungen Lösungsvorschläge

Mehr

IT-Sicherheit: So schützen Sie sich vor Angriffen

IT-Sicherheit: So schützen Sie sich vor Angriffen IT-Sicherheit: So schützen Sie sich vor Angriffen Rechtliche Aspekte der IT-Sicherheit und des Datenschutzes Kathrin Schürmann, Rechtsanwältin 01 Datensicherheit und Datenschutz Die Datensicherheit schützt

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

Vortrag Rechtliche Aspekte Nutzung von mobilen Endgeräten (BYOD)

Vortrag Rechtliche Aspekte Nutzung von mobilen Endgeräten (BYOD) Veranstaltung Trustday: 11. Stuttgarter Informationssicherheitstag 16. Juli 2013 IHK Region Stuttgart Vortrag Rechtliche Aspekte Nutzung von mobilen Endgeräten (BYOD) Referent Markus Schließ Rechtsanwalt

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Bring your own Device

Bring your own Device Bring your own Device Name, Vorname: Rogler, Dominic Geburtstag: 18.04.1988 Studiengang: Angewandte Informatik 3. FS Beruf: IT-Systemelektroniker Abgabedatum: 15.01.2015 Inhaltsverzeichnis Inhaltsverzeichnis...

Mehr

Alles sicher? Backup und Archivierung aus rechtlicher Sicht. Gelsenkirchen, 25. März 2014. Rechtsberatung. Steuerberatung. Luther.

Alles sicher? Backup und Archivierung aus rechtlicher Sicht. Gelsenkirchen, 25. März 2014. Rechtsberatung. Steuerberatung. Luther. Alles sicher? Backup und Archivierung aus rechtlicher Sicht Dr. Maximilian Dorndorf Johanna Langer, LL.M. Gelsenkirchen, 25. März 2014 Rechtsberatung. Steuerberatung. Luther. Agenda I. Begriffsbestimmungen

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

ITKwebcollege.DATENSCHUTZ

ITKwebcollege.DATENSCHUTZ ITKwebcollege.DATENSCHUTZ Inhaltsverzeichnis ITKwebcollege.DATENSCHUTZ Themenübersicht Der Datenschutzbeauftragte... 2 Verarbeitungsübersicht Meldepflicht... 2 Auftragsdatenverarbeitung... 2 Kontrollen

Mehr

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen......... - Auftraggeber - und yq-it GmbH Aschaffenburger Str. 94 D 63500 Seligenstadt - Auftragnehmer

Mehr

Mobilgeräte an der WWU

Mobilgeräte an der WWU Mobilgeräte an der WWU Denkanstöße & Probleme Brauchen wir eine Richtlinie? Z I V T. Küfer IV - Sicherheitsteam Mobilgeräte Was ist daran neu? Laptops gibt es schon lange Smartphones/Tablets Geräte werden

Mehr

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht Datenschutz und Datensicherung (BDSG) Inhaltsübersicht Datenschutzziel Datenschutz und Datensicherung Personenbezogene Daten Datenverarbeitung Zulässigkeit personenbezogener Datenverarbeitung Zulässigkeit

Mehr

Haftungsrisiko Bring Your Own Device

Haftungsrisiko Bring Your Own Device Haftungsrisiko Bring Your Own Device 25. Informationsveranstaltung Netzwerke 31.05.2012 Barleben Rechtsanwalt Thomas Feil Fachanwalt für Informationstechnologierecht und Arbeitsrecht Datenschutzbeauftragter

Mehr

Position. Arbeitnehmerdatenschutz rechtssicher gestalten. Stand: März 2014 www.vbw-bayern.de

Position. Arbeitnehmerdatenschutz rechtssicher gestalten. Stand: März 2014 www.vbw-bayern.de Position Arbeitnehmerdatenschutz rechtssicher gestalten Stand: März 2014 www.vbw-bayern.de Vorwort X Vorwort Zehn Forderungen für einen praxisgerechten Beschäftigtendatenschutz Die vbw Vereinigung der

Mehr

Was Sie über Datenschutz wissen sollten!

Was Sie über Datenschutz wissen sollten! Was Sie über Datenschutz wissen sollten! Präsentation: 10.10.2014 1 Zu meiner Person: Lars Querbach Geschäftsführer Das LohnTEAM GmbH externer Datenschutzbeauftragter TÜV Datenschutz-Auditor TÜV Personalfachkaufmann

Mehr

Beispielrichtlinie zur Sicherheit mobiler Geräte

Beispielrichtlinie zur Sicherheit mobiler Geräte Beispielrichtlinie zur Sicherheit mobiler Geräte Anwenden der Richtlinie Eine besondere Herausforderung für IT-Abteilungen ist heute die Sicherung von mobilen Geräten, wie Smartphones oder Tablets. Diese

Mehr

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG Datensicherheit bei gem. 9 BDSG Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung nachfolgender technischer und organisatorischer Maßnahmen, die zur Einhaltung der anzuwendenden

Mehr

Leseprobe zum Download

Leseprobe zum Download Leseprobe zum Download Eisenhans / fotolia.com Sven Vietense / fotlia.com Picture-Factory / fotolia.com Liebe Besucherinnen und Besucher unserer Homepage, tagtäglich müssen Sie wichtige Entscheidungen

Mehr

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Rechtsgrundlagen der IT-Sicherheit Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Einführungsbeispiel OLG Hamm MMR 2004, 487 Problem: Existiert ein Regelwerk, dessen Beachtung die zivil-

Mehr

Datenschutz in Rechnernetzen

Datenschutz in Rechnernetzen Datenschutz in Rechnernetzen Regierungsdirektor W. Ernestus Bundesbeauftragter für den Datenschutz Referat VI (Technologischer Datenschutz) Motivation Auf meine Daten darf im Netzwerk nur ich Hacking zugreifen

Mehr

osborneclarke.de Social Media, Mobile Devices und BYOD arbeitsrechtlich ein Spagat zwischen Können Dürfen Wollen

osborneclarke.de Social Media, Mobile Devices und BYOD arbeitsrechtlich ein Spagat zwischen Können Dürfen Wollen Social Media, Mobile Devices und BYOD arbeitsrechtlich ein Spagat zwischen Können Dürfen Wollen Katharina Müller, LL.M. oec. KnowTech 9. Oktober 2013 1 Social Media, Mobile Devices and BYOD Die Nutzung

Mehr

Checkliste zum Umgang mit Personalakten

Checkliste zum Umgang mit Personalakten Checkliste zum Umgang mit Personalakten 1.1 Was müssen Sie über den rechtskonformen Umgang mit Personalakten wissen? Personalakten, ob digital oder analog, beinhalten personenbezogene und damit schützenswerte

Mehr

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten?

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Rechtsanwalt Dr. Oliver Hornung Rechtsanwalt Dr. Matthias Nordmann

Mehr

Rechtliche Anforderungen - Mobile Device Management

Rechtliche Anforderungen - Mobile Device Management Rechtliche Anforderungen - Mobile Device Management Rechtsanwalt Dr. Oliver Hornung Partner bei SKW Schwarz Rechtsanwälte Inhalt 01 Neue Mobile Devices 02 Company owned Device / User owned Device 03 Rechtliche

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

Was ein Administrator über Datenschutz wissen muss

Was ein Administrator über Datenschutz wissen muss Was ein Administrator über Datenschutz wissen muss Berlin, 14.05.2014 Rechtsanwalt Thomas Feil Fachanwalt für IT-Recht und Arbeitsrecht Datenschutzbeauftragter TÜV 1 "Jeder Mensch soll grundsätzlich selbst

Mehr

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de 1 1. Datenschutzrechtliche Anforderungen an die IT-Sicherheit 2. Gesetzliche Anforderungen an Auswahl

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

EIN C.A.F.E. FÜR DEN DATENSCHUTZ EIN C.A.F.E. FÜR DEN DATENSCHUTZ Organisatorische Datenschutzbeauftragter Martin Esken Datenschutzbeauftragter (TÜV) Organisatorische Technische gemäß 9 Satz 1 Punkte 1-8 BUNDESDATENSCHUTZGESETZ Organisatorische

Mehr

Verfahrensverzeichnis nach 4g BDSG (Bundesdatenschutzgesetz) zum Verfahrensregister bei dem/der betrieblichen Beauftragten für den Datenschutz

Verfahrensverzeichnis nach 4g BDSG (Bundesdatenschutzgesetz) zum Verfahrensregister bei dem/der betrieblichen Beauftragten für den Datenschutz Musterfirma Musterstraße 123 09876 Musterort Ralf Bergmeir Verfahrensverzeichnis nach 4g BDSG (Bundesdatenschutzgesetz) zum Verfahrensregister bei dem/der betrieblichen Beauftragten für den Datenschutz

Mehr

Datenschutz im Client-Management Warum Made in Germany

Datenschutz im Client-Management Warum Made in Germany Datenschutz im Client-Management Warum Made in Germany Wolfgang Schmid 2013 baramundi software AG IT einfach clever managen Wolfgang Schmid, Rechtsanwalt und Fachanwalt IT-Recht Bundesdatenschutzgesetz

Mehr

Vereinbarung zum Datenschutz und Datensicherheit im Auftragsverhältnis nach 11 BDSG

Vereinbarung zum Datenschutz und Datensicherheit im Auftragsverhältnis nach 11 BDSG Vereinbarung zum Datenschutz und Datensicherheit im Auftragsverhältnis nach 11 BDSG zwischen dem Auftraggeber (AG) und WVD Dialog Marketing GmbH onlinepost24 Heinrich-Lorenz-Straße 2-4 09120 Chemnitz -

Mehr

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken _ Datenschutz im nicht-öffentlichen Bereich Informationen für die verantwortliche Stelle Stand: November 2009 Impressum:

Mehr

Praktische Rechtsprobleme der Auftragsdatenverarbeitung

Praktische Rechtsprobleme der Auftragsdatenverarbeitung Praktische Rechtsprobleme der Auftragsdatenverarbeitung Linux Tag 2012, 23.05.2012 Sebastian Creutz 1 Schwerpunkte Was ist Auftragsdatenverarbeitung Einführung ins Datenschutzrecht ADV in der EU/EWR ADV

Mehr

Datenschutz im Arbeitsverhältnis

Datenschutz im Arbeitsverhältnis Datenschutz im Arbeitsverhältnis Cloud Computing versus Datenschutz, RAin Karoline Brunnhübner Folie 0 / Präsentationstitel / Max Mustermann TT. Monat 2010 Allgemeine Grundlagen des Datenschutzes Rechtsquellen

Mehr

Company Owned Device Management - Rechtliche Anforderungen

Company Owned Device Management - Rechtliche Anforderungen Company Owned Device Management - Rechtliche Anforderungen Rechtsanwalt Dr. Oliver Hornung Partner bei SKW Schwarz Rechtsanwälte Inhalt 01 Neue Mobile Devices 02 Company owned Device / User owned Device

Mehr

Ständige Erreichbarkeit und mobile IT -

Ständige Erreichbarkeit und mobile IT - Ständige Erreichbarkeit und mobile IT - Herausforderungen im Arbeitsrecht und Datenschutz Dresden, 18.10.12 Begriffe, Ursachen und Lösungen 36% Ich nutze die Technologien, die für meine Arbeit notwendig

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN. Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht

Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN. Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN Stand: Juli 2007 Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht Paluka Sobola & Partner Neupfarrplatz 10 93047

Mehr

> Empfehlungen zum dienstlichen Umgang mit Mobilgeräten

> Empfehlungen zum dienstlichen Umgang mit Mobilgeräten > Empfehlungen zum dienstlichen Umgang mit Mobilgeräten Laptop, Smartphone, Tablet & Co. IV-Sicherheitsteam November 2014 Einleitung 1 > Inhalt 1 Einleitung... 2 2 Geltungsbereich... 3 2.1 Dienstliche

Mehr

ITKwebcollege.DATENSCHUTZ

ITKwebcollege.DATENSCHUTZ ITKwebcollege.DATENSCHUTZ Inhaltsverzeichnis ITKwebcollege.DATENSCHUTZ Themenübersicht Der Datenschutzbeauftragte 2 Verarbeitungsübersicht Meldepflicht 2 Auftragsdatenverarbeitung 2 Kontrollen durch die

Mehr

Vertrauensarbeitszeit aus der Perspektive des Arbeitsrechts

Vertrauensarbeitszeit aus der Perspektive des Arbeitsrechts Vertrauensarbeitszeit aus der Perspektive des Arbeitsrechts 1 Der Begriff der Vertrauensarbeitszeit Vertrauensarbeitszeit ist gesetzlich nicht definiert oder geregelt! Allgemein versteht man unter Vertrauensarbeitszeit

Mehr

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster)

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Anlage 5: Mitarbeiter-Merkblatt zum Datenschutz Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Bei Ihrer Tätigkeit in unserem Unternehmen werden Sie zwangsläufig mit personenbezogenen Daten

Mehr

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Senior Sales Engineer 1 Das Szenario 2 Früher Auf USB-Sticks Auf Netzlaufwerken Auf CDs/DVDs Auf Laptops & PCs 3 Jetzt Im Cloud Storage

Mehr

Android, ios und Windows Phone dominieren zurzeit den Markt für mobile Firmware, wesentlich kleiner ist der Marktanteil von Blackberry OS10.

Android, ios und Windows Phone dominieren zurzeit den Markt für mobile Firmware, wesentlich kleiner ist der Marktanteil von Blackberry OS10. Zahlen und Fakten. Firmware Mit Firmware wird bei mobilen Endgeräten der Anteil des Betriebssystems bezeichnet, der auf die Hardware in dem Gerät angepasst ist und mit dem Gerät durch Laden in einen Flash-Speicher

Mehr

Reglement über die dienstliche Benutzung von srs 183.3 Informatikmitteln vom 2. Juli 2013 1

Reglement über die dienstliche Benutzung von srs 183.3 Informatikmitteln vom 2. Juli 2013 1 Reglement über die dienstliche Benutzung von srs 183.3 Informatikmitteln vom 2. Juli 2013 1 Der Stadtrat erlässt gestützt auf Art. 6 des Personalreglements vom 21. Februar 2012 2 : I. Allgemeine Bestimmungen

Mehr

Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung

Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung Matthias Bergt Rechtsanwälte v. Boetticher Hasse Lohmann www.dsri.de Begriff der Auftragsdatenverarbeitung, 11 BDSG Auslagerung von Verarbeitungsvorgängen

Mehr

Datenschutz und Datensicherheit im Handwerksbetrieb

Datenschutz und Datensicherheit im Handwerksbetrieb N. HOZMANN BUCHVERLAG Werner Hülsmann Datenschutz und Datensicherheit im Handwerksbetrieb Inhaltsverzeichnis Vorwort 13 1 Datenschutz und Datensicherheit 15 1.1 Grundlagen und Grundsätze 15 1.1.1 Was ist

Mehr

>Mobile Device Management Möglichkeiten und Grenzen unter Compliance Anforderungen

>Mobile Device Management Möglichkeiten und Grenzen unter Compliance Anforderungen >Mobile Device Management Möglichkeiten und Grenzen unter Compliance Anforderungen >Agenda Eigenschaften und Besonderheiten Sicherheitsrisiken und Bedrohungen Lösungsvarianten Grenzen des Mobile Device

Mehr

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht 2 Datenschutz im Unternehmen Umgang mit Mitarbeiterdaten Neuregelung, Folgen, Praxisrelevante Fälle 1 3 Personenbezogene Daten Einzelangaben über persönliche

Mehr

Datenschutz ist Persönlichkeitsschutz

Datenschutz ist Persönlichkeitsschutz Was ist Datenschutz? Personen sollen vor unbefugter Verwendung oder Weitergabe ihrer persönlichen Daten geschützt werden. Datenschutz ist Persönlichkeitsschutz Verpflichtung auf das Datengeheimnis Was

Mehr

Bring your own device (BYOD) aus rechtlicher Sicht. IT- Forum Innsbruck, 22.11.2012

Bring your own device (BYOD) aus rechtlicher Sicht. IT- Forum Innsbruck, 22.11.2012 Bring your own device (BYOD) aus rechtlicher Sicht IT- Forum Innsbruck, 22.11.2012 Zur Person - geboren in Salzburg - seit 2006 Rechtsanwalt in Wien - seit 2012 Partner der pfletschinger. Renzl Rechtsanwalts-

Mehr

EDV-Service-Germany. Handy schützen

EDV-Service-Germany. Handy schützen Handy schützen Um sein Handy zu schützen muß man nicht unbedingt viel Geld investieren. Vieles geht schon mit den mitgelieferten Bordmitteln des Betriebssystems. Da viele Menschen, gerade die jüngeren,

Mehr

Mitarbeiterinformation

Mitarbeiterinformation Datenschutz & Gesetzliche Regelungen Praktische Hinweise Kontakt zu Ihrem Datenschutzbeauftragten Elmar Brunsch www.dbc.de Seite 1 von 5 Einleitung In den Medien haben Sie sicher schon häufig von Verstößen

Mehr

Handreichung: Verschlüsselte Versendung von Protokollen bei elektronischer Kommunikation mit Ehrenamtlichen

Handreichung: Verschlüsselte Versendung von Protokollen bei elektronischer Kommunikation mit Ehrenamtlichen Der Beauftragte für den Datenschutz der Evangelischen Kirche in Deutschland Handreichung: Verschlüsselte Versendung von Protokollen bei elektronischer Kommunikation mit Ehrenamtlichen Metadaten: Version:

Mehr

Vorabkontrolle gemäß 4d Abs. 5 BDSG

Vorabkontrolle gemäß 4d Abs. 5 BDSG - Checkliste + Formular - Vorabkontrolle gemäß 4d Abs. 5 BDSG Version Stand: 1.0 07.08.2014 Ansprechpartner: RA Sebastian Schulz sebastian.schulz@bevh.org 030-2061385-14 A. Wenn ein Unternehmen personenbezogene

Mehr

Allgemeine Nutzungsbedingungen (ANB) der Enterprise Technologies Systemhaus GmbH

Allgemeine Nutzungsbedingungen (ANB) der Enterprise Technologies Systemhaus GmbH Allgemeine Nutzungsbedingungen (ANB) der Enterprise Technologies Systemhaus GmbH 1 Allgemeines Diese allgemeinen Nutzungsbedingungen ( ANB ) gelten für die Nutzung aller Webseiten von Enterprise Technologies

Mehr

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht . Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht Themenschwerpunkt 1. Wer braucht einen Datenschutzbeauftragter? Unternehmen, die personenbezogene Daten automatisiert erheben, verarbeiten

Mehr

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Hinweise zum Erstellen eines Verfahrensverzeichnisses Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: 11.03.2010 Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung...

Mehr

Vertrag Auftragsdatenverarbeitung

Vertrag Auftragsdatenverarbeitung Bonalinostr. 1-96110 Scheßlitz - Telefon: +49 (0)9542 / 464 99 99 email: info@webhosting-franken.de Web: http:// Vertrag Auftragsdatenverarbeitung Auftraggeber und Webhosting Franken Inhaber Holger Häring

Mehr

2.4.7 Zugriffsprotokoll und Kontrollen

2.4.7 Zugriffsprotokoll und Kontrollen 2.4.7 Zugriffsprotokoll und Kontrollen Die Vermeidung der missbräuchlichen Nutzung von personenbezogenen oder personenbeziehbaren Daten ist ein Kernpunkt der Regelungen zum Einsatz von Personalinformationssystemen.

Mehr

Datenschutzrichtlinie der SCALTEL AG

Datenschutzrichtlinie der SCALTEL AG Datenschutzrichtlinie der SCALTEL AG SCALTEL AG Buchenberger Str. 18 87448 Waltenhofen Telefon: 0831 540 54-0 Telefax: 0831 540 54-109 datenschutz@scaltel.de - nachfolgend SCALTEL AG genannt - Vertretungsberechtigter

Mehr

Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex

Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex Bastian Wetzel Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex Verteiler: Alle Mitarbeiter sowie interessierte Kunden der Collmex GmbH, Anlage

Mehr

Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung Datenschutzbestimmung 1. Verantwortliche Stelle Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung Pieskower Straße

Mehr

Firmeninformation zum Datenschutz

Firmeninformation zum Datenschutz BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Firmeninformation zum Datenschutz Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 91522 Ansbach Telefon: (0981) 53-1300 Telefax: (0981)

Mehr

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW Datenschutz in der Cloud Stephan Oetzel Teamleiter SharePoint CC NRW Agenda Definitionen Verantwortlichkeiten Grenzübergreifende Datenverarbeitung Schutz & Risiken Fazit Agenda Definitionen Verantwortlichkeiten

Mehr

Verfahrensverzeichnis nach 4g Bundesdatenschutzgesetz (BDSG) zum Verfahrensregister bei dem/der betrieblichen Beauftragten für den Datenschutz

Verfahrensverzeichnis nach 4g Bundesdatenschutzgesetz (BDSG) zum Verfahrensregister bei dem/der betrieblichen Beauftragten für den Datenschutz Verfahrensverzeichnis nach 4g Bundesdatenschutzgesetz (BDSG) zum Verfahrensregister bei dem/der betrieblichen Beauftragten für den Datenschutz Hauptblatt Zu den Ziff. - beachten Sie bitte die Ausfüllhinweise.

Mehr

Symantec Mobile Computing

Symantec Mobile Computing Symantec Mobile Computing Zwischen einfacher Bedienung und sicherem Geschäftseinsatz Roland Knöchel Senior Sales Representative Endpoint Management & Mobility Google: Audi & Mobile Die Mobile Revolution

Mehr

Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht

Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht 16.3.2015 IHK Karlsruhe, Vermittlerrecht Praxiswissen auf Bundesverband Deutscher Versicherungskaufleute

Mehr