Ständige Erreichbarkeit und mobile IT -

Größe: px

Ab Seite anzeigen:

Download "Ständige Erreichbarkeit und mobile IT -"

Petra Baum
vor 8 Jahren
Abrufe

1 Ständige Erreichbarkeit und mobile IT - Herausforderungen im Arbeitsrecht und Datenschutz Dresden, Begriffe, Ursachen und Lösungen 36% Ich nutze die Technologien, die für meine Arbeit notwendig sind unabhängig von Unternehmensregelungen Nutzung privater IT 45% der Arbeitnehmer finden ihre privaten IT- Geräte und Applikationen nützlicher, als die unternehmensseitig verfügbaren Pendants nicht 48% regelmäßig 23% international befragte Arbeitnehmer Harris, Ives, Junglas, The Genie Is Out of the Bottle: Managing the Infiltration of Consumer IT Into the Workforce, abgerufen am , I don't worry about my organization's IT policies I just use the technologies I need to do my work. gelegentlich 29% 2

privaten IT- Geräte und Applikationen nützlicher, als die unternehmensseitig verfügbaren Pendants nicht 48% regelmäßig 23% 4.

2 Begriffe, Ursachen und Lösungen Schatten-IT Private Hard- und Software wird für dienstliche Aufgaben genutzt Consumerization Bring your own device (byod) Proaktive Lösung des Unternehmens Eigentum des Mitarbeiters Choose your own device (cyod) Proaktive Lösung des Unternehmens Eigentum des Unternehmens Orientierung der IT-Branche auf das Verbrauchersegment Innovationen in leichterer Bedienbarkeit, Erreichbarkeit (ubiquitous), grafischen Darstellung, neue Steuerungstechnologien Zusatznutzen durch Gadgets (App s, Webdienste) 3 Kontrollverlust des Unternehmens? Rechenzentren bis in die 90er Jahre Rechenjobs wurden von Operatern kontrolliert Ausgebildete Fachkräfte bedienten IT Unternehmens-IT von (alle) Mitarbeiter bedienen Unternehmens-IT IT-Ausbildungsstand sehr unterschiedlich Künftige IT Unternehmen stellen und sichern IT-Dienste (Mail, ERP) Business-Partner (Mitarbeiter) nutzen eigene Endgeräte 4

Bedienbarkeit, Erreichbarkeit (ubiquitous), grafischen Darstellung, neue Steuerungstechnologien Zusatznutzen durch Gadgets (App s, Webdienste) 3 Kontrollverlust des Unternehmens?

3 Ziel: Schatten-IT kontrollieren Verbot Organisatorische Maßnahme: Verbot dienstlicher Nutzung privater Hard- und Software (inkl. Webdienste, Weiterleitung Mails, Weiterleitung Anrufe) Technische Maßnahme: Verhinderung von Zugriffen nicht freigegebener IT BYOD Regelung der (Teil-)Freigabe privater Hard- und Software Regelung der Verantwortlichkeit, Haftung, verbleibende Verbote CYOD Mitbestimmung der Mitarbeiter im Beschaffungsprozess Eigentum der Hardware bleibt beim Unternehmen 5 Das Datenschutzwerkzeug: die TOM s (Anlage zu 9 BDSG) Vergleichsmaßstab für neue Technologien, Techniken, Organisation Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Trennungskontrolle Ändert sich im Vergleich zur aktuellen (sicheren) Situation die Lage in einem der 8 Punkte? Wo liegt BYOD hinter CYOD oder erlaubter Privatnutzung? 6

der Verantwortlichkeit, Haftung, verbleibende Verbote CYOD Mitbestimmung der Mitarbeiter im Beschaffungsprozess Eigentum der Hardware bleibt beim Unternehmen 5 Das Datenschutzwerkzeug: die TOM s

4 Zusammenfassung: Regelungsbedarf bei byod Device im Eigentum des Mitarbeiters, nicht Eigentum der Lebensgefährtin, Leasinggesellschaft, o.ä.; Verpflichtung keinem Dritten Besitz zu verschaffen (Wartung, Reparatur) Vernichtung / Löschung privater Datenträger (kein Rückgabeanspruch) Restriktionsmöglichkeiten durch Sandboxing, Containerlösung, Datenverschlüsselung o.ä. Logging am Client mglw. nicht revisionssicher durchsetzbar (sofern notwendig) Kontrollbefugnisse auf privatem Device, bspw. durch Aufsichtsbehörden Datenschutz oder forensisch indiziert (Rechtsstreit international, ediscovery) Ersatzgerät (sofern notwendig), Vollbackup auf anderen privaten Devices, Lizenzprobleme wie stark muss die Trennung sein? logische vs. physische Trennung, bisher fehlende Mehrbenutzerfähigkeit Smartphone, Tablet 7 8

; Verpflichtung keinem Dritten Besitz zu verschaffen (Wartung, Reparatur) Vernichtung / Löschung privater Datenträger (kein Rückgabeanspruch) Restriktionsmöglichkeiten durch Sandboxing,

5 Nächste Schritte Aus der Analyse der TOM s ergibt sich Technischer Handlungsbedarf (Was kann technisch realisiert werden?) Organisatorischer Handlungsbedarf (Was muss durch Vereinbarungen, Anweisungen und Kontrollen geregelt werden Ergebnis: differenzierte (minimierte), stichhaltige und damit kommunizierbare Restverbote Umsetzung in einer Regelung analog ADV (Auftragsdatenverarbeitung nach 11 BDSG) 9 Blaupause für Regelungen zu byod Auftragsdatenverarbeitung = best practice Regelungen zu Gegenstand und die Dauer der dienstlichen Nutzung (nur Mail, ) Umfang, Art und Zweck der dienstlichen Nutzung technische und organisatorische Maßnahmen Berichtigung, Löschung und Sperrung von Daten Kontrollpflichten des Arbeitnehmers Kontrollrechte des Arbeitgebers verbleibende Weisungsbefugnisse beim Arbeitgeber ggf. mögliche / nötige Unterauftragsverhältnissen hier Vertretungsregelung mitzuteilende Datenpannen Rückgabe und Löschung von Daten (Exitstrategie) 10

Restverbote Umsetzung in einer Regelung analog ADV (Auftragsdatenverarbeitung nach 11 BDSG) 9 Blaupause für Regelungen zu byod Auftragsdatenverarbeitung = best practice Regelungen zu Gegenstand und

6 Lars Kripko Datenschutzbeauftragter (TÜV) Ext. Datenschutzbeauftragter Berater Datenschutz Bei Fragen sprechen Sie mich ruhig an!

Ähnliche Dokumente

BYOD Bring Your Own Device

BYOD Bring Your Own Device Was ist das Problem? So könnt ihr es regeln. Bruno Schierbaum Berater bei der BTQ Niedersachsen GmbH BTQ Niedersachsen GmbH Donnerschweer Straße 84; 26123 Oldenburg Fon 0441/8