BYOD Bring Your Own Device

Transkript

1 BYOD Bring Your Own Device Was ist das Problem? So könnt ihr es regeln. Bruno Schierbaum Berater bei der BTQ Niedersachsen GmbH BTQ Niedersachsen GmbH Donnerschweer Straße 84; Oldenburg Fon 0441/ ; Fax 0441/ BERATEN/TRAINIEREN/QUALIFIZIEREN

2 - BYOD - Themen 1. Begriff Bring Your Own Device 2. Einsatz mobiler Endgeräte 3. Datenschutzrechtliche Anforderungen 4. Lizenzrechtliche Fragestellungen 5. Beteiligungsrechte des Betriebsrats und Regelungsbedarf 2

3 - BYOD - Begriff unter Bring Your Own Device versteht man den Einsatz spezieller mobiler Endgeräte, wie z.b. Smartphones und Tablets das genutzte Endgerät (Mobilgerät) gehört dem Mitarbeiter (Eigentum des Mitarbeiters ist, z.b. Smartphones, Tablets, Notebooks) das Gerät erhält Zugriff auf die IT-Ressourcen des Betriebs das mobile Endgerät wird durch z.b. MDM-Software (Mobile Device Management) an das betriebliche Netzwerk angebunden und verwaltet 3

4 - Einsatz mobiler Endgeräte - Einsatz mobiler Endgeräte Smartphones werden mit einer speziellen Software an das betriebliche Netz angebunden und verwaltet MDM Mobile Device Management Inventarisierung und Verwaltung der Hardware Software und Datenverteilung Schutz der Daten auf den mobilen Geräten (Vergabe von Passwörtern) Ortung der Smartphones Fernlöschung der Daten, z.b. bei Verlust des Smartphones ( Remote Wipe ) Erkennen von unerlaubten Systemeinstellungen, wie z.b. das Wechseln der SIM-Telefonkarte Bereitstellung bestimmter Apps durch das Unternehmen (App-Store) 4

5 - Einsatz mobiler Endgeräte - Einsatz mobiler Endgeräte MDM-Software Welche Software eingesetzt wird und welche Leistungsmerkmale genutzt werden sollen sind wichtige Informationen, die der Arbeitgeber im Rahmen seiner Informationspflicht, dem Betriebsrat nach 80 Abs. 2 BetrVG zur Verfügung stellen muss. 5

6 - Datenschutzrechtliche Anforderungen - Datenschutzrechtliche Anforderungen Trennung von privaten Daten und Unternehmensdaten Umsetzung der technischen und organisatorischen Maßnahmen ( 9 BDSG) Unternehmensrichtlinien Verlassen des Betriebs das Arbeitsverhältnis des Mitarbeiters endet 6

7 - Datenschutzrechtliche Anforderungen - Trennung von privaten Daten und Unternehmensdaten Nutzung privater Smartphones kann nur auf freiwilliger Basis erfolgen strikte Trennung von privaten und geschäftlichen Daten (Container- Lösung, Sandbox ) Fernmeldegeheimnis nach 88 TKG kommt für die private Nutzung zum Tragen Nutzung in der Freizeit (dienstlich) während der Arbeitszeit (privat) 7

8 - Datenschutzrechtliche Anforderungen - Umsetzung der technischen und organisatorischen Maßnahmen Umsetzung der Anlage zu 9 BDSG 8

9 - Technische und organisatorische Maßnahmen - 8 Gebote zum Datenschutz Anlage zu 9 BDSG 1. Zutrittskontrolle Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. 2. Zugangskontrolle Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. 3. Zugriffskontrolle Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. 9

10 Technische und organisatorische Maßnahmen - Anlage zu 9 BDSG - 8 Gebote zum Datenschutz Anlage zu 9 BDSG 4. Weitergabekontrolle Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. 5. Eingabekontrolle Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. 10

11 Technische und organisatorische Maßnahmen - Anlage zu 9 BDSG - 8 Gebote zum Datenschutz Anlage zu 9 BDSG 6. Auftragskontrolle Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. 7. Verfügbarkeitskontrolle Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. 8. Getrennte Verarbeitung Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. 11

12 - Datenschutzrechtliche Anforderungen - Unternehmensrichtlinien Betriebe haben ein Interesse Regelungen und Vorgaben im Rahmen von Richtlinien zu erlassen mögliche Regelungsbereiche Voraussetzung für die Teilnahme an BYOD Welche Mitarbeiter? Welche Technik? Festlegung; z. B. Einsatz von Verschlüsselungstechniken, Antivirensoftware Trennung: private und dienstliche Daten Umgang mit Verlust/Diebstahl/Verkauf der Geräte Zugriffsrechte des Arbeitgebers 12

13 - Datenschutzrechtliche Anforderungen - Verlassen des Betriebes der Mitarbeiter beendet sein Arbeitsverhältnis Sicherstellung, dass die dienstlichen Daten nicht auf dem Gerät des Beschäftigten verbleiben der Arbeitgeber hat ein legitimes Interesse an der weiteren Nutzung der dienstlichen Daten 13

14 - Lizenzrechtliche Fragestellungen - Lizenzrechtliche Fragestellungen Privater Smartphone-Vertrag wird für Unternehmenszwecke genutzt Lizenzrechtliche Fragen müssen geklärt werden private und gewerbliche Nutzung sind an unterschiedliche Lizenzbedingungen geknüpft ansonsten Haftungsprobleme des Mitarbeiters bzw. des Unternehmens 14

15 - Beteiligungsrechte des Betriebsrats - BetrVG 80 Abs. 1 Nr. 1 Beteiligungsrecht Überwachung bestehender Gesetze, Verordnungen, Unfallverhütungsvorschriften, Tarifverträge und Betriebsvereinbarungen 80 Abs. 2 Rechtzeitige und umfassende Information 80 Abs. 3 i.v.m. 40 Abs Abs. 1 Nr. 6 Hinzuziehung von Sachverständigen Mitbestimmung bei der Einführung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen 15

16 - Beteiligungsrechte des Betriebsrats - BetrVG 87 Abs. 1 Nr Abs. 1 Nr. 2 Beteiligungsrecht Fragen der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer im Betrieb Beginn und Ende der täglichen Arbeitszeit einschließlich der Pausen sowie die Verteilung der Arbeitszeit auf die einzelnen Wochentage 77 Abschluss von Betriebsvereinbarungen 16

17 - Regelungsbedarf- Regelungsbedarf Voraussetzung für die Teilnahme an BYOD Welche Mitarbeiter? Welche mobilen Geräte? Eingesetzte Software genutzter Leistungsumfang Trennung: private und dienstliche Daten Umgang mit Verlust/Diebstahl/Verkauf der Geräte Ortung/Fernlöschung Arbeitszeit Nutzung außerhalb der Arbeitszeit Zugriffsrechte des Arbeitgebers Klärung lizenzrechtlicher Fragen Haftung Kostenerstattung für Providergebühren, Software, Reparatur Daten- und Geheimnisschutz Beendigung des Arbeitsverhältnisses 17

18 - Regelungsbedarf- Eckpunkte einer Betriebsvereinbarung Gegenstand und Geltungsbereich eingesetzte Hardware Hardwarebeschreibung angebundene mobile Geräte eingesetzte Software genutzter Leistungsumfang Ausschluss von Leistungs- oder Verhaltenskontrollen Trennung: private und dienstliche Daten Umgang mit Verlust/Diebstahl/Verkauf der Geräte Ortung/Fernlöschung Arbeitszeit Nutzung außerhalb der Arbeitszeit technische und/oder organisatorische Regelung zur Einhaltung der Arbeitszeit Nutzung der Geräte in Kraftfahrzeugen 18

19 - Regelungsbedarf- Eckpunkte einer Betriebsvereinbarung Zugriffsberechtigungskonzept Umgang mit Protokollierungen Lizenzrechtlicher Fragen Haftung Kostenerstattung für Providergebühren, Software, Reparatur Beendigung des Arbeitsverhältnisses Rechte des Betriebsrats Schlussbestimmungen 19