Bring Your Own Device (BYOD) - Rechtliche Aspekte von Rechtsanwältin Dr. Jana Jentzsch 11.09.2012, Hotel Hafen Hamburg
Vorab Dr. Jana Jentzsch Fachanwältin für IT-Recht in Hamburg Beratung u.a. im Bereich IT-Vertragsgestaltung, Datenschutzrecht, externe Datenschutzbeauftragte, E-Commerce Recht www.groth-jentzsch.de
Gliederung Rechtliche Fragestellungen i.z.m. BYOD Empfehlungen für Regelungen mit Mitarbeitern Konfliktsituationen
I. Teil Rechtliche Fragestellungen i.z.m. Bring Your Own Device
Einführung: Was istbyod? Das Nutzen privater Technik für die Arbeit, z.b.: Umleitungder FirmenE-Mails auf einprivates E-Mail Konto, z.b. Google Mail Kommunikation mit dem privaten Smartphone Arbeit auf privatem PC, Laptop, IPad
PraktischeKollisionen Risiko der Vermischung privater u. beruflicher Daten: IT-Abteilung möchte und muss die Systeme so sicher wie möglich machen Mitarbeiter möchten zufrieden sein und haben mehr Spass beim Einsatz ihrer eigenen Geräte Firmeninterne IT-Policy verbietet ggf. den Einsatz privater IT ca. 36 % der Mitarbeiter ignorieren entsprechende firmeninterne Verbote zu BYOD (Quelle: Unternehmensberatung Accenture, 2011)
Rechtliche Kollisionen Recht auf informationelle Selbstbestimmung, Art. 2 I, 1 I GG Datenschutzrecht, BDSG, DSL, TMG Fernmeldegeheimnis, 88 TKG Recht auf Privatsphäre, allg. Persönlichkeitsrecht, Art. 2 I, 1 I GG
Datenschutzrecht Einwilligungsprinzip nach BDSG, DGL, EU-Grundrechtecharta Strenger Zweckbindungsgrundsatz: Erforderlichkeit 7 BDSG: Unternehmen ist für die ordnungsgemäße Verarbeitung von personenbezogenen Daten haftungsrechtlich verantwortlich. Auch, wenn diese Verarbeitung auf privaten Geräten stattfindet. Ordnungsgemäße Datenverarbeitung & IT-Compliance müssen durch das Unternehmen gewährleistet werden
Fernmeldegeheimnis Arbeitgeber als Diensteanbieter isd 3 Nr. 6, 10 TKG 88 TKG: Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände Rechte des Mitarbeiters erlauben oft keinen Zugriff & keine Kontrolle der Arbeitgebers über private Daten (P) wenn der Arbeitgeber auf private E-Mails, privates Surfverhalten oder sonstige private Kommunikationsdaten zugreifen kann. Details umstritten.
Recht auf Privatsphäre Ausfluss des allg. Persönlichkeitsrechts, Art. 2 I, 1 I GG Schützt u.a. über 823 I BGB den Einzelnen nicht nur gegen Privatsphärenverletzungen durch den Staat, sondern auch durch sonstige Verletzer Einzelfallentscheidung nach Abwägung der widerstreitenden Interessen (P) wenn der Arbeitgeber auf private E-Mails, privates Surfverhalten oder sonstige private Daten zugreifen kann und keine ausdrückliche Einwilligung des Mitarbeiters vorliegt
Fazit: Unternehmensdaten vs. private Daten Arbeitgeber haftet umfassend für Datenverlust und Rechtsverstöße, u.a. 7 BDSG Arbeitgeber muss seinen rechtlichen Verpflichtungen zum Datenschutzrecht, zur IT Sicherheit und Compliance nachkommen Aufgrund der Rechte des Arbeitnehmers darf der Arbeitgeber auf private Daten ohne entsprechende Einwilligung idr nicht bzw. nur eingeschränkt zugreifen
II. Teil Regelungsbedarf
Kostentragung Wer bezahlt welche Leistung und welchen Service? Kosten für Telefonate, Internet, E-Mail Paket, Wartung etc. (Zuschuss des Arbeitgebers? - ggf. als geldwerter Vorteil zu versteuern)
Trennung privater und beruflicher Daten Gleichermaßen im Interesse von Arbeitgeber und Arbeitnehmer. Zugriff und Kontrolle des Unternehmens bzgl. aller Unternehmensdaten muss gesichert sein. I.d.R.: Keine Firmendaten auf der lokalen Festplattespeichern, sondern auf einem zentralen Server. Auf diesen kann mittels virtuellen, mobilen oder webbasierten Anwendungen zugegriffen werden (z.b. Terminalserver, Remote Office).
Rechte des Arbeitgebers Deaktivierung bestimmter Gerätefunktionen (z.b. automatische Synchronisierung, automatische Datensicherung, App-Installationen) Löschung von Daten (z.b. MDM-Löschbefehl?) Einsatz von Monitoringtools (z.b. Überwachung des Systemzustands, Surfverhalten, Geräteortung) Verbot des Zugriffs auf die Hardware und die Daten durch Dritte
Lizenzmanagement Technische Entwicklung ist den Lizenzmodellen meist weit voraus. Jede Nutzung erfordert eine Lizenz (private Lizenz vz. gewerbliche Lizenzen). ggf. verstößt firmeninterne Policy zu BYOD gegen bestehende Lizenzen. oder umgekehrt: bestehende Lizenzen verletzen ggf. deutsches Recht und/oder die firmeninterne Policy zu BYOD.
III. Teil Konfliktituationen
Geräteverlust / Datenverlust 42a BDSG: Unternehmen ist im Fall des Verlusts personenbezogener Daten zur Meldung bei der Aufsichtsbehörde verpflichtet Arbeitnehmer sollte Verlust unverzüglich melden müssen (Vereinbarung!) MDM-Lösungen (Geräteortung, Fernlöschung) Krisenmanagement / PR (z.b. Information der Betroffenen, Nicht- Betroffenen)
Unerlaubte Handlungen z.b. Mitarbeiter verletzt Policy oder geltendes Recht Unternehmensdaten werden nach außen getragen (z.b. Verbreitung im Internet) Bei vorsätzlichem Handeln: rechtliche Schritte gegen den Mitarbeiter einleiten Rechtliche Schritte zur Schadensbegrenzung gegen Dritte einleiten (z.b. Abmahnung bzw. Unterlassungsaufforderung gegen Dritte, die die Daten für sich verwenden oder verbreiten)
Fazit Arbeitgeber muss sich absichern und den Einsatz privater Geräte am Arbeitsplatz regeln. Idealerweise keine Regelung durch Richtlinie oder Betriebsvereinbarung, sondern individuelle Einwilligung jedes Arbeitnehmers. Es bleibt ein Bereich, in dem noch keine 100%ige Rechtssicherheit besteht.
Fragen oder Feedback? Groth Jentzsch Rechtsanwälte in Bürogemeinschaft Dr. Jana Jentzsch Neuer Wall 7 20354 Hamburg E-Mail: jentzsch@groth-jentzsch.de Web: www.groth-jentzsch.de Tel: 040-36 96 56 0 Fax: 040-36 96 56 56