Always online, always busy"

Transkript

1 Always online, always busy" Rechtliche Fallstricke beim BYOD und wie man sie umgeht

2 Ihr Referent Rechtsanwalt und Notar Jens-Oliver Müller ist Fachanwalt für Handels- und Gesellschaftsrecht und Fachanwalt für Informationstechnologierecht (IT-Recht). ist geschäftsführender Partner bei Kleymann, Karpenstein & Partner (KKP) in Wetzlar. hat unter der Marke ComCit bei KKP spezialisierte Rechtsberatung für Unternehmen im Bereich des IT-, Technik- und Urheberrechts aufgebaut. berät und vertritt Unternehmen in Fragen des IT-, Technik- und des Vertriebsrechts. Seite Kleymann, Karpenstein & Partner mbb

3 Was Sie erwartet 1. Always online, always busy 2. Was ist BYOD eigentlich? a) Datenschutz b) Lizenzrecht c) Arbeitsrecht d) Dokumentationspflichten e) Telekommunikationsrecht f) Strafrecht g) Steuerrecht 4. und wie man sie umgeht Seite Kleymann, Karpenstein & Partner mbb

4 1. Always online, always busy ARD/ZDF-Onlinestudie 2013: - Onliner in Deutschland verbringen im Schnitt 169 Minuten täglich im Internet. - Die Online-Nutzung hat sich 2013 im Vergleich zum Vorjahr fast verdoppelt. Wer always on ist, nutzt gerne eigene Geräte. Seite Kleymann, Karpenstein & Partner mbb

5 1. Always online, always busy Gerätebesitz in % von Jugendlichen (12-19 Jahre) Geräte Handy Internetzugang / Computer/Laptop Smartphone / Tablet / 7 14 Quelle: JIM-Studie 1999, 2012, 2013 Seite Kleymann, Karpenstein & Partner mbb

6 2. Was ist BYOD eigentlich? Zunehmend löst sich die Grenze zwischen beruflicher und privater IT- Nutzung auf. Viele Systeme, Programme und Dienste werden mittlerweile sowohl im beruflichen wie auch im privaten Umfeld genutzt. Beispiele hierfür sind: - Mitarbeiter wollen ihre privaten Smartphones und Tablets für dienstliche E- Mails, Termine und sonstige dienstliche Tätigkeiten nutzen. - Mitarbeiter sind privat an Programme, wie z. B. das Grafikbearbeitungsprogramm GIMP, gewöhnt und möchten diese auch auf der Arbeit einsetzen. - Mitarbeiter benutzen privat Internet-Dienste, wie z. B. Dropbox, zur Speicherung von Daten in der Cloud, oder Werkzeuge, wie Doodle, um Termine abzustimmen, und möchten diese Dienste auch beruflich nutzen. Seite Kleymann, Karpenstein & Partner mbb

7 2. Was ist BYOD eigentlich? Die zunehmende Verwendung von privaten Endgeräten, wie Tablets, Notebooks und Smartphones, von Arbeitnehmern für ihre Erwerbsarbeit wird als bezeichnet. BYOD BYOPC BYOC BYOX CYOD MPP Consumerization of IT Bring Your Own Device Bring Your Own PC Seite Kleymann, Karpenstein & Partner mbb Bring Your Own Computer oder Bring Your Own Cloud Bring Your Own Anything Choose Your Own Device Mitarbeiter-PC-Programm

8 2. Was ist BYOD eigentlich? In den USA ist die Verwendung privater Endgeräte im beruflichen Umfeld inzwischen gängig und wird häufig sogar von den betroffenen Unternehmen gefördert. Umfragen zeigen, dass inzwischen 95% der Unternehmen in den Vereinigten Staaten ihren Mitarbeitern die Verwendung privater Devices erlauben. 84% der Firmen stellen sogar einen begrenzten IT-Support für die verwendeten privaten Geräte zur Verfügung. Seite Kleymann, Karpenstein & Partner mbb

9 2. Was ist BYOD eigentlich? Seinen Ursprung nahm Bring Your Own Device jedoch zuvor in den extrem technikaffinen Gesellschaften des asiatisch-pazifischen Raumes, wo leistungsfähige Netzinfrastrukturen, die hohe Bedeutung mobiler Kommunikation sowie ein starkes Bekenntnis zum Job Treiber der Entwicklung sind. Gerade in Südkorea, Singapur und Taiwan gehört BYOD inzwischen zum Alltag. Seite Kleymann, Karpenstein & Partner mbb

10 2. Was ist BYOD eigentlich? Und wie sieht die Nutzung privater IT in deutschen Unternehmen aus? - Nichtrepräsentative Umfrage des Referenten unter eigenen Mandanten ergab, dass (immerhin) mehr als die Hälfte die Nutzung privater IT untersagen. Rund ein Zehntel erlaubt (und regelt) dies, der Rest duldet oder weiß es nicht. - Wie ist es bei Ihnen? Seite Kleymann, Karpenstein & Partner mbb

11 LG Heidelberg, Urteil vom Geklagt hatte ein Personaldienstleistungsunternehmen im IT-Bereich. In diesem Bereich ist auch der Beklagte tätig. Dieser kontaktierte über XING zwei Mitarbeiter des Personaldienstleisters u.a. mit folgenden Worten: Sie wissen ja hoffentlich, in was für einem Unternehmen Sie gelandet sind. Ich wünsche Ihnen einfach mal viel Glück. Bei Fragen gebe ich gerne Auskunft. - Das Landgericht wertete das Handeln des Beklagten als (unzulässige) geschäftliche Handlung. Eine geschäftliche Handlung liege nur dann nicht vor, wenn eine natürliche Person als Verbraucher im Eigeninteresse handele. Hier jedoch habe der Beklagte auf der Plattform XING kein Profil als Privatperson erstellt, sondern unter Verwendung der Firma, für die er tätig ist. Er habe dadurch den objektiven Anschein einer unternehmensbezogenen Tätigkeit gesetzt. Seite Kleymann, Karpenstein & Partner mbb

12 LG Freiburg, Urteil vom Ein Automobilverkäufer hatte auf seinem Facebook-Account unter Abbildung eines VW Scirocco folgendes gepostet: - Hallo zusammen, Einmaliges Glück, so heißt unsere neue Aktion bei Auto. Ab dem erhält Ihr auf ausgewählte NEUWAGEN 18% NACHLASS (auf UPE)!!! Sowie auf TAGESZULASSUNGEN 24% NACHLASS (auf UPE)!!! Angeboten werden Up, Polo, Golf, Golf Cabrio, Tiguan, Touran, Sharan, CC und Touareg (also für jeden was dabei). Beispiel: Scirocco, 2.0l TDI, 170PS UPE:40.930,00 jetzt nur ,00!!! (Abbildung des VW Scirocco) - Auf die Abmahnung der Wettbewerbszentrale hin teilte das Autohaus mit, keine Kenntnis von der Werbeaktion des Verkäufers gehabt zu haben. Das Gericht hat dieses Argument nicht gelten lassen. Seite Kleymann, Karpenstein & Partner mbb

13 Datenschutz - Ist Datenschutzrecht anwendbar? - 1 Abs. 2 Nr. 3 BDSG: Diese Gesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch nicht-öffentliche Stellen, soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben, es sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten. Seite Kleymann, Karpenstein & Partner mbb

14 Datenschutz - Wer ist für die Einhaltung datenschutzrechtlicher Vorgaben verantwortlich? - 3 Abs. 7 BDSG: Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. - Als Grundregel gilt: Datenschutzrechtlich sind die Beschäftigten Teil der verantwortlichen Stelle, wenn sie für diese tätig sind. Seite Kleyman, Karpenstein & Partner mbb

15 Datenschutz - Aber: Wer ist verantwortliche Stelle, wenn der Mitarbeiter privat Daten über Facebook sammelt und sie anschließend dem Arbeitgeber zur Verfügung stellt? - Wenn der Arbeitgeber dienstliche Daten auf privaten IT-Systemen nicht duldet, sondern ausdrücklich und konsequent verbietet, ist der Mitarbeiter selbst verantwortliche Stelle. - Anders ist es jedoch, wenn der Arbeitgeber private IT erlaubt oder duldet. Seite Kleyman, Karpenstein & Partner mbb

16 Datenschutz - Die Antwort auf diese Frage hat weitreichende Konsequenzen. - Soweit der (insoweit datenschutzrechtlich selbstständige) Mitarbeiter dem Arbeitgeber bzw. Auftraggeber gehörende Daten (auch) auf seiner privaten IT speichert und (dienstlich) nutzt, liegt eine Auslagerung vor. - Auslagerung ist Auftragsdatenverarbeitung. Diese ist in 11 BDSG geregelt. Seite Kleyman, Karpenstein & Partner mbb

17 Datenschutz - Nach 11 BDSG sind schriftlich zu regeln (u.a.): 1. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 2. die zu treffenden technischen und organisatorischen Maßnahmen, 3. die Berichtigung, Löschung und Sperrung von Daten, 4. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungsund Mitwirkungspflichten des Auftragnehmers. - Arbeitgeber, die darauf verzichten, riskieren ein Bußgeld von bis zu EUR ( 43 BDSG) Seite Kleyman, Karpenstein & Partner mbb

18 Datenschutz - Allerdings ist rechtlich umstritten, ob BYOD tatsächlich als Auftragsdatenverarbeitung anzusehen ist. - Überzeugender erscheint mir, dass die spezifische Rechtsbeziehung zwischen Arbeitgeber und Arbeitnehmer vorgeht und damit der Mitarbeiter in datenschutzrechtlicher Beziehung Teil der verantwortlichen Stelle bleibt. Grund: Allein die Eigentümerstellung bzgl. des Gerätes macht den Mitarbeiter noch nicht zum eigenständigen Datenverarbeiter. - Ergebnis: Das Unternehmen ist die verantwortliche Stelle i.s.d. Datenschutzrechts, soweit die Verarbeitung dienstlich bedingt ist. Es ist für die ordnungsgemäße Datenerhebung, -verarbeitung und -nutzung verantwortlich. Seite Kleymann, Karpenstein & Partner mbb

19 Datenschutz - Damit hat das Unternehmen diejenigen technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die gesetzlichen Anforderungen an den Umgang mit personenbezogenen Daten zu gewährleisten. - Die Anlage zu 9 BDSG gibt vor, in welchen Kategorien Schutzmaßnahmen sichergestellt sein müssen. - Hierzu zählen Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags- und Verfügbarkeitskontrollen sowie das Trennungsgebot. Seite Kleymann, Karpenstein & Partner mbb

20 Datenschutz - Bei den zumeist mobilen Geräten ist eine zweckmäßige Zutrittskontrolle allerdings kaum möglich. - Umso mehr müssen wirksame Kontrollen von Zugang, Zugriff, Eingabe und Weitergabe implementiert werden. - Zugangskontrolle: Für BYOD kommen ausschließlich solche Geräte in Betracht, die im Alleineigentum des jeweiligen Arbeitnehmers stehen. Die Weitergabe des Gerätes an Dritte (auch an Familienangehörige) ist zu untersagen. Seite Kleymann, Karpenstein & Partner mbb

21 Datenschutz - Zugriffkontrolle Hier ist sicherzustellen, dass nur Berechtigte Zugriff auf die Daten haben, beispielsweise durch Sandboxlösungen, unterschiedliche Accounts auf dem privaten Gerät oder spezielle Authentifizierungsmaßnahmen zum Schutz bestimmter Unternehmensdienste. Keine Screenshot-Funktion bei Unternehmensdaten, kein Siri. Geeignete Verschlüsselungsmethoden sind sowohl auf dem Gerät selbst als auch zwischen Gerät und Unternehmens-IT einzusetzen. Die Mitarbeiter müssen angewiesen werden, geeignete Passwörter zu generieren und sicher zu verwalten. Jailbreaking/Rooting ist zu verhindern. Seite Kleymann, Karpenstein & Partner mbb

22 Datenschutz - Eingabekontrolle Ein entsprechendes Identitätsmanagement dient der Eingabekontrolle, Synchronisations- und Backup-Tools gewährleisten die dauerhafte Verfügbarkeit der Daten. - Weitergabekontrolle Private und betriebliche Daten sind zwingend zu trennen. Fernlöschungsmöglichkeiten für die betrieblichen (!) Daten sind zu installieren. Seite Kleymann, Karpenstein & Partner mbb

23 Datenschutz - Die Überwachung und gegebenenfalls sogar Löschung privater Inhalte durch das Unternehmen ist nur auf der Basis einer Einwilligung des Arbeitnehmers möglich. - Die Einwilligung muss freiwillig und regelmäßig schriftlich erteilt werden. - Für Arbeitnehmer gilt der Beschäftigtendatenschutz des 32 BDSG. Danach dürfen personenbezogene Daten eines Beschäftigten nur für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. - Die Erhebung privater, auf dem Smartphone gespeicherter Daten fällt nicht darunter. Seite Kleymann, Karpenstein & Partner mbb

24 Datenschutz - Auch die (Fern-)Löschung stellt sich bei fehlender Trennung zwischen privaten und dienstlichen Daten als problematisch dar. - Nach 35 BDSG muss an die Stelle der Löschung von erhobenen Daten eine Sperrung treten, wenn Grund zu der Annahme besteht, dass schutzwürdige Interessen des Betroffenen beeinträchtigt würden. - Es besteht die Gefahr, dass ein Unternehmen sich mit der Löschung privater Daten auf dem Device schadensersatzpflichtig macht. Seite Kleymann, Karpenstein & Partner mbb

25 Denken Sie immer daran: BYOD ist die Auslagerung Ihrer Unternehmensdaten an eine Privatperson. Seite Kleymann, Karpenstein & Partner mbb

26 3. Rechtliche Fallstricke Haben Sie so etwas schon mal unterschrieben? Seite Kleymann, Karpenstein & Partner mbb

27 Weitergabe von BYO-Devices an Dritte - 17 UWG - (1) Wer als eine bei einem Unternehmen beschäftigte Person ein Geschäftsoder Betriebsgeheimnis, das ihr im Rahmen des Dienstverhältnisses anvertraut worden oder zugänglich geworden ist, während der Geltungsdauer des Dienstverhältnisses unbefugt an jemand zu Zwecken des Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in der Absicht, dem Inhaber des Unternehmens Schaden zuzufügen, mitteilt, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. - Was ist mit der Überlassung im Familienkreis? Seite Kleymann, Karpenstein & Partner mbb

28 ArbG Hamburg, Urteil vom Auch auf XING-Profilen gespeicherte Kundendaten können Geschäftsgeheimnisse eines Arbeitgebers des diese Daten speichernden Arbeitnehmers sein. - Dafür müssten die Kontaktaufnahmen über XING, die zur Speicherung dieser Daten geführt haben, im Rahmen der geschäftlichen Tätigkeit erfolgt sein. Private Kontaktaufnahmen gehören nicht dazu. Seite Kleymann, Karpenstein & Partner mbb

29 Lizenzrecht - 99 UrhG Ist in einem Unternehmen von einem Arbeitnehmer oder Beauftragten ein nach diesem Gesetz geschütztes Recht widerrechtlich verletzt worden, hat der Verletzte die Ansprüche aus 97 Abs. 1 [Unterlassung, Schadensersatz] und 98 [Vernichtung, Rückruf, Überlassung] auch gegen den Inhaber des Unternehmens. Seite Kleymann, Karpenstein & Partner mbb

30 Lizenzrecht - Zweck der Vorschrift ist es, den Inhaber eines Unternehmens daran zu hindern, sich bei ihm zugute kommenden Urheberrechtsverletzungen von Angestellten oder Beauftragten auf das Handeln von ihm abhängiger Dritter zu berufen. - Viele Anbieter von kostenlosen Anwendungen sehen in ihren Lizenzbedingungen vor, dass die Nutzung nur zu privaten Zwecken erfolgen darf. Für die gewerbliche Nutzung stellen sie andere kostenpflichtige Lizenzmodelle zur Verfügung. - Nutzt der Mitarbeiter die Anwendung dienstlich für seinen Arbeitgeber, verstößt er gegen seinen Vertrag mit dem Anbieter. - Dem Arbeitgeber droht, urheberrechtlich als Raubkopierer zu gelten. Seite Kleymann, Karpenstein & Partner mbb

31 Lizenzrecht - Manche Anbieter erlauben dem Erwerber, ein Exemplar der Software auf dem PC und ein Exemplar auf dem Laptop zu installieren (personal licence), wenn sichergestellt ist, dass der Mitarbeiter nur entweder das eine oder das andere Exemplar nutzt. Dies ist aber nicht gleichzusetzen mit der Erlaubnis sowohl dienstlicher als auch privater Nutzung. - Für Server- und Clientversionen gilt oft das Aufspaltungsverbot sowie das Verbot der Nutzung auf Geräte, die nicht dem Arbeitgeber als Lizenznehmer gehören. - Beispielsweise ist auf Tablets mit Windows 8 RT stets nur eine für den nicht kommerziellen Gebrauch zugelassene Version von Office 2013 vorinstalliert; andere Versionen lassen sich nicht installieren. Seite Kleymann, Karpenstein & Partner mbb

32 Lizenzrecht - Die Folgen unlizenzierter Software können enorm sein. Deutsche Unternehmen, die 2012 wegen unlizenzierter Software von der Business Software Alliance (BSA) belangt wurden, zahlten rund 1,4 Millionen Euro Schadensersatz. Sie mussten weitere Euro aufbringen, um ihre Softwarelizenzen auf einen ordnungsgemäßen Stand zu bringen. - Das Vergaberecht sieht vor, dass öffentliche Aufträge nur an gesetzestreue und zuverlässige Unternehmen vergeben werden dürfen. Wenn wegen Urheberrechtsverletzungen ein Strafverfahren oder Zivilprozess anhängig ist, ist dies nicht mehr gewährleistet. - GmbH-Geschäftsführer haften für Verstöße persönlich ( 43 GmbHG), weil sie dafür sorgen müssen, dass auf Unternehmensrechnern nur entsprechend lizenzierte Software eingesetzt wird. Seite Kleymann, Karpenstein & Partner mbb

33 Seite Kleymann, Karpenstein & Partner mbb

34 Seite Kleymann, Karpenstein & Partner mbb

35 Seite Kleymann, Karpenstein & Partner mbb

36 Arbeitsrecht - Zu BYOD gibt es bisher keine Rechtsprechung oder ausdrückliche Rechtsvorschriften; es fehlt somit an klaren Regelungen, die der Rechtssicherheit der Parteien dienen. - Fest steht: Es gibt keine Pflicht des Arbeitnehmers, sein Eigentum zu betrieblichen Zwecken zur Verfügung zu stellen. Das ist vielmehr Pflicht des Arbeitgebers. Seite Kleymann, Karpenstein & Partner mbb

37 Arbeitsrecht - Welche Rechtsnatur hat die BYOD-Vereinbarung zwischen Arbeitnehmer und Arbeitgeber? Leihe Miete Auftrag oder Geschäftsbesorgung Arbeitsrecht - Deshalb ist die Arbeitsleistung des Arbeitnehmers auch nicht per se mangelhaft, wenn notwendige Nutzungsrechte fehlen oder das Device defekt oder abhanden gekommen ist. - Eine Pflicht des Arbeitnehmers zur Ersatzbeschaffung besteht nicht. Seite Kleymann, Karpenstein & Partner mbb

38 Arbeitsrecht - Kann der Arbeitgeber die Herausgabe des Device verlangen? Mietvertrag: Ja Ansonsten? Nur bei vertraglicher Regelung. - Achtung AGB-Kontrolle. Regelung darf Arbeitnehmer nicht unangemessen benachteiligen. - Unangemessen ist das Fehlen einer angemessenen Gegenleistung des Arbeitgebers. - Tipp: Gleichartiges Ersatzgerät mitsamt persönlichen Daten stellen, um Arbeitnehmer so zu stellen, wie er ohne die Herausgabe stünde. Seite Kleymann, Karpenstein & Partner mbb

39 Arbeitsrecht - Bei Verlust oder Beschädigung des Device, ist der Arbeitgeber zur Zahlung eines Aufwendungsersatzes (=Kosten für ein gleichwertiges Ersatzgerät) verpflichtet. - Jedenfalls, wenn das Device bei der Erfüllung dienstlicher Tätigkeit oder im Zusammenhang damit beschädigt wird oder verloren geht - Ein vertraglicher Pauschalausschluss dieser Ersatzpflicht ist AGBrechtswidrig. - Der Aufwendungsersatz kann allenfalls dann verweigert werden, wenn die Vergütung im Rahmen der Anschaffung des Gerätes bereits das Schadensrisiko abdecken sollte. - Der Arbeitnehmer kann nur bei entgeltlichem BYOD zur Ersatzbeschaffung verpflichtet werden. Seite Kleymann, Karpenstein & Partner mbb

40 Arbeitsrecht - Die Betriebshaftpflichtversicherung deckt mitarbeitereigene Hardware in der Regel nicht ab. - Eine gesonderte Geräteversicherung ist deshalb empfehlenswert. - Verletzt der Arbeitnehmer schuldhaft seine Sorgfaltspflichten und trägt dadurch zu einem Datenverlust bei, finden wie gewohnt die Grundsätze der gestuften Arbeitnehmerhaftung Anwendung. - Danach haftet der Arbeitnehmer allein bei Vorsatz und grober Fahrlässigkeit in vollem Umfang, bei einfacher Fahrlässigkeit nur anteilig und bei leichter Fahrlässigkeit überhaupt nicht. - Das gilt selbst dann, wenn der Arbeitgeber Miete zahlt. Seite Kleymann, Karpenstein & Partner mbb

41 Arbeitsrecht - BYOD bringt das Risiko mit sich, dass die nach 3 ArbZG oder den im Einzelfall einschlägigen Sonderregelungen zulässige Arbeitszeit überschritten wird. - Die Wahrscheinlichkeit, dass der Arbeitnehmer das Device auch in seiner Freizeit zu betrieblichen Zwecken benutzt und damit im Sinne des Arbeitsschutzrechts Arbeitszeit anfällt, ist groß. - Der Werktag im Sinne des ArbZG unterscheidet sich vom Kalendertag und bezeichnet einen Zeitraum von 24 Stunden vom Beginn der Arbeitszeit des Arbeitnehmers an. - Innerhalb dieses Zeitraums darf der Arbeitnehmer eine Arbeitszeit von zehn Stunden nicht überschreiten. Seite Kleymann, Karpenstein & Partner mbb

42 Arbeitsrecht - BYOD ist regelmäßig mitbestimmungspflichtig. - Unter das Mitbestimmungsrecht fallen die Einführung, Änderung und Anwendung von BYOD. - Unerheblich ist hierbei, dass es sich bei einem Smartphone um ein mobiles, vom Arbeitnehmer auch außerhalb des Betriebsgeländes benutztes Gerät handelt. Seite Kleymann, Karpenstein & Partner mbb

43 Arbeitsrecht - Betriebsvereinbarungen haben drei Vorteile: 1. Eine Betriebsvereinbarung gilt zwingend für alle von ihr erfassten Arbeitnehmer. 2. Betriebsvereinbarung unterliegen nicht der AGB-Kontrolle. 3. Nach BDSG ist die Erhebung, Verarbeitung und Nutzung nicht nur dann zulässig, wenn der Betroffene eingewilligt hat oder das BDSG sie erlaubt, sondern auch, wenn sie von einer anderen Rechtsvorschrift gedeckt ist. Unter den Begriff der anderen Rechtsvorschrift fällt auch der normative Teil einer Betriebsvereinbarung. Seite Kleymann, Karpenstein & Partner mbb

44 Arbeitsrecht - Grundsätzlich ist der Arbeitnehmer ohne besondere Absprache verpflichtet, bei Beendigung des Arbeitsverhältnisses dem Arbeitgeber die in dessen Eigentum stehenden Gegenstände, zu denen auch Aufzeichnungen, Geschäftsunterlagen, Daten etc. zählen, herauszugeben. - Das hilft bei BYOD nicht ohne weiteres. Das Device steht im Eigentum des Arbeitnehmers, und die darauf gespeicherten Daten sind häufig nur schwer eindeutig dem privaten und dem geschäftlichen Bereich zuzuordnen. - Deshalb muss geregelt werden, welche Daten vom Arbeitnehmer an den Arbeitgeber herauszugeben und von denen Kopien rückstandslos zu löschen sind. Seite Kleymann, Karpenstein & Partner mbb

45 Dokumentationspflichten - Nach 257 HGB und 147 AO sind Unternehmen verpflichtet, bestimmte Arten von Geschäftsunterlagen für einen Zeitraum von sechs beziehungsweise zehn Jahren aufzubewahren. - Sofern dies den Grundsätzen der ordnungsgemäßen Buchführung entspricht, können diese Dokumente auch auf Datenträgern aufbewahrt werden. - Da mittels BYO-Devices diese Unterlagen in elektronischer Form empfangen/versandt werden können und ihre Versendung auf diesem Wege mittlerweile auch üblich ist, muss das Unternehmen gewährleisten, dass sie während der genannten Aufbewahrungszeiträume ordnungsgemäß gespeichert bleiben. Seite Kleymann, Karpenstein & Partner mbb

46 Telekommunikationsrecht - Bei BYOD stellt der Arbeitgeber seine Infrastruktur für die Anbindung privater Devices zur Telekommunikation zur Verfügung. - Damit ist er (wohl) Telekommunikationsdienstleister. - Für ihn gilt das Fernmeldegeheimnis, wonach der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war sowie die näheren Umstände erfolgloser Verbindungsversuche geschützt sind. - Er hat die Pflichten des TKG einzuhalten, also Schutz vor Abhörmaßnahmen u.ä. zu treffen ( 109 TKG). Seite Kleymann, Karpenstein & Partner mbb

47 Strafrecht - Verletzung des Post- oder Fernmeldegeheimnisses nach 206 StGB (1) Wer unbefugt einer anderen Person eine Mitteilung über Tatsachen macht, die dem Post- oder Fernmeldegeheimnis unterliegen und die ihm als Inhaber oder Beschäftigtem eines Unternehmens bekanntgeworden sind, das geschäftsmäßig Post- oder Telekommunikationsdienste erbringt, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft. - Betrifft nicht nur Inhaber oder Geschäftsführer, sondern auch ausführende IT-Mitarbeiter oder Admins. Seite Kleymann, Karpenstein & Partner mbb

48 Strafrecht - Ausspähen von Daten nach 202a StGB (1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. - Erfordert, dass private und unternehmensbezogene Daten konsequent getrennt werden. Dateizugriffe via Mobile Device Management müssen die mitarbeitereigenen Daten ausklammern. Seite Kleymann, Karpenstein & Partner mbb

49 Strafrecht - Datenveränderung nach 303a StGB (1) Wer rechtswidrig Daten ( 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. - Problematisch wird es, wenn wegen Verlusts oder Diebstahls des Gerätes ein Remote-Wipe initialisiert werden soll. Dabei werden regelmäßig alle Daten auf dem Gerät gelöscht oder unbrauchbar gemacht, was eine Datenveränderung nach 303a StGB darstellt. - Deshalb: Einsatz eines MDM-Tools, mit dem selektiv gelöscht werden kann. Seite Kleymann, Karpenstein & Partner mbb

50 Steuerrecht - Die Vorteile des Arbeitnehmers aus der privaten Nutzung von betrieblichen Datenverarbeitungs- und Telekommunikationsgeräten sind steuerfrei. - Das EStG erfasst indes keine Geräte, die sowieso dem Arbeitnehmer gehören, und deren Anschaffung vom Arbeitgeber besonders vergütet wird. - Insoweit kommt allenfalls eine Steuerfreiheit für Auslagenersatz oder ein Abzug für Werbungskosten in Betracht. Aufwendungen, die ausschließlich dem Privatbereich entspringen, dürfen jedoch nicht berücksichtigt werden. - Kosten, die der Arbeitgeber im Zusammenhang mit Privatgeräten des Arbeitnehmers trägt, kann der Arbeitgeber als Betriebsausgaben steuermindernd berücksichtigen. Kommt die Kostenübernahme dem Arbeitnehmer auch privat zugute, liegt insoweit ein lohnsteuerpflichtiger Vorteil vor. Seite Kleymann, Karpenstein & Partner mbb

51 Steuerrecht - Steuerlich gefördert wird die Anschaffung von MPP-Geräten. - Voraussetzung ist, dass der Arbeitgeber die MPP-Geräte selbst anschafft und dem Arbeitnehmer zur auch privaten Nutzung überlässt. - Üblicherweise werden die Geräte vom Arbeitgeber geleast und an den Arbeitnehmer vermietet. - Der Arbeitnehmer zahlt das Nutzungsentgelt aus seinem Bruttogehalt ohne weitere Steuerpflicht auf das Entgelt; insbesondere ist ein geldwerter Vorteil wegen besonderer Rabatte nicht zu versteuern. Seite Kleymann, Karpenstein & Partner mbb

52 4. und wie man sie umgeht. Wollen Sie meine ehrliche Meinung hören? Verzichten Sie auf BYOD. Setzen Sie (wenn Sie mögen) auf MPP oder noch besser auf CYOD. Seite Kleymann, Karpenstein & Partner mbb

53 4. und wie man sie umgeht. Wenn Sie nicht verzichten können oder wollen? Ohne Regeln geht nichts. Seite Kleymann, Karpenstein & Partner mbb

54 4. und wie man sie umgeht. Checkliste BYOD-Vereinbarung Die Trennung von beruflichen und privaten Daten ist sicherzustellen, bspw. durch Mobile Device Management (MDM) und Mobile Application Management (MAM). Zu regeln ist, welche Software, inkl. Antivirensoftware, und Apps zu verwenden sind. Die sichere Verwahrung und Verwendung des Geräts sind zu regeln Jedes Gerät ist durch Passwort zu schützen, Daten sind zu verschlüsseln. Der Mitarbeiter ist zu verpflichten, dass Gerät sicher zu verwahren, also z.b. nicht sichtbar im Auto. Seite Kleymann, Karpenstein & Partner mbb

55 4. und wie man sie umgeht. Checkliste BYOD-Vereinbarung Der Mitarbeiter hat den Fernzugriff auf das Gerät zu erlauben, insbesondere zum Löschen der Daten im Fall des Verlusts oder Diebstahls oder bei seinem Ausscheiden. Hier ist auf private Daten des Mitarbeiters zu achten. Regelmäßige Updates und Synchronisationen des Device sind sicherzustellen. Auch hier ist auf die privaten Daten zu achten. Zu regeln sind der Ausschluss bzw. die Beschränkung der Haftung im Fall von Beschädigung, Verlust oder Diebstahl des Geräts Dazu gehört das Thema Versicherungen. sowie die Frage einer Ersatzbeschaffung. Die Kostentragung bzw. eine etwaige Vergütung sind festzulegen. Seite Kleymann, Karpenstein & Partner mbb

56 So erreichen Sie mich: Philosophenweg Wetzlar Telefon Telefax jo.mueller@comcit.com Blog blog.comcit.com Philosophenweg Wetzlar Telefon Telefax jo.mueller@kleymann.com Seite Kleymann, Karpenstein & Partner mbb