BRING YOUR OWN DEVICE Zwischen Innovation und Kontrollverlust
Überblick I. Was ist BYOD (Bring Your Own Device)? 1. Alter Wein in neuen Schläuchen? 2. Warum BYOD? Die Vorteile II. Rechtlicher Rahmen und Fallstricke 1. Datenschutzrecht 2. IT-Compliance 3. Privatsphäre/TK-Recht 4. Arbeitsrecht 5. Geheimnisschutz und Strafrecht 6. Urheberrecht III. Fazit 2
I. Was ist BYOD? BYOD im engeren Sinne: Nutzung privater elektronischer Geräte zu dienstlichen Zwecken. Vor allem Tablets, Smartphones, Laptops oder andere Mobilgeräte, auf denen dienstliche Daten angezeigt und verarbeitet werden. Anwendbar auch auf private Dienste ( Geräte), z.b. privates E-Mail-, Facebook- oder Skype-Konto? 3
I.1. Alter Wein in neuen Schläuchen? Ergebnisorientierte Definition: BYOD im weiteren Sinne: Gemischt privat/dienstliche Nutzung von IT-Diensten und Geräten. Erfasst neben BYOD i.e.s. auch Privatnutzung von Betriebsmitteln (E-Mail, Internet, Hardware). Altbekannte Fragen zur Privatnutzung tauchen wieder auf, neue Fragen treten hinzu. 4
I.2. Warum BYOD? Häufig genannte Vorteile: Kosteneinsparung bei Gerätebeschaffung, da Anschaffung durch Mitarbeiter (zum Teil) getragen wird Kosteneinsparung bei Gerätewartung, da Wartung durch Mitarbeiter selbst durchgeführt wird Produktivitätsgewinn, da Mitarbeiter mit Geräten vertraut sind und sich nicht umstellen müssen Bessere Erreichbarkeit der Mitarbeiter; kleinere Aufgaben werden auch außerhalb der Arbeitszeit erledigt Standortunabhängige Anbindung der Mitarbeiter an Unternehmens-/Dienstressourcen Imagegewinn als innovative(s) Unternehmen/Behörde 5
II. Rechtlicher Rahmen und Fallstricke Rechtliche Anforderungen verringern sich nicht gegenüber der Nutzung dedizierter dienstlicher Geräte! Gemischte Nutzung zu privaten und dienstlichen Zwecken führt im Gegenteil zu höheren Anforderungen! 6
II.1. Datenschutzrecht (1) Unternehmen/Behörde bleibt Verantwortliche Stelle i.s.d. BDSG Betroffenen gegenüber weiterhin verpflichtet zu Auskunft, Berichtigung, Sperrung, Löschung, Schadensersatz. Unternehmen/Behörde haftet zunächst (im Außenverhältnis) für Datenschutzverstöße durch Mitarbeiter, gleichgültig ob dedizierte Diensthardware oder privates Gerät eingesetzt wird. 7
II.1. Datenschutzrecht (2) Datenschutzverstöße durch Mitarbeiter auf privaten Geräten besonders einfach: Sobald Synchronisation mit dienstlichen Kontakten stattfindet, kann z.b. Facebook Friend-Finder am Mobilgerät nicht länger eingesetzt werden, da komplettes Adressbuch bereits an Facebook gesendet wird, bevor Auswahl/Abwahl der der dienstlichen Kontakte erfolgt. Unbefugte Übermittlung an Facebook Ordnungswidrigkeit! 8
II.1. Datenschutzrecht (3) Informationspflichten (z. B. 42a BDSG) bleiben auch bei BYOD Einsatz erhalten Ggf. ist auch Verlust oder Einsichtnahme Dritter (auch Angehörige) an Datenschutzbehörde und Betroffene zu melden. Beispiel: elektronische Krankenakten sind ungeschützt auf entwendetem privatem Tablet gespeichert Bayrischer DSB (25. Tätigkeitsbericht): BYOD und externer Zugriff gerade beim Umgang mit besonders sensiblen Daten nur mit umfangreichen Sicherheitsmaßnahmen zulässig 9
II.2. IT-Compliance (1) Vielzahl von Anforderungen: Datenschutz: technische und organisatorische Maßnahmen Handels- und Gesellschaftsrecht: angemessene Maßnahmen zur Risikofrüherkennung, IKS Kreditinstitute und andere Branchen können weitergehenden Anforderungen unterliegen Berufsgeheimnis und Verschwiegenheitspflichten sind auch technisch in geeigneter Weise abzusichern Unternehmen bleibt für Einhaltung verantwortlich! Mögliche technische Umsetzung: MDM? 10
II.2. IT-Compliance (2) Mobile Device Management (MDM): Kontrolle durch zentrale Verwaltung mobiler Geräte, z.b. on-/offboarding, Authentifizierung, Passwortrichtlinien, Verschlüsselung, Remote-Sperrung/-Datenlöschung, Datensicherung, Deaktivierung bestimmter Funktionen (z.b. App-Installation) Bei dedizierter Diensthardware ohne weiteres einsetzbar Für privat eingebrachte Geräte nur eingeschränkt nutzbar: Heterogene Gerätestruktur für jedes System ggf. andere Verwaltungssoftware erforderlich Maßnahmen betreffen auch private Daten z. B. keine Löschung ohne Zustimmung des Mitarbeiters möglich 11
II.2. IT-Compliance (3) Für gemischt privat/dienstlich genutzte Geräte möglich bei vollständiger Trennung der Datenbestände Viele Mobilgeräte bieten keine Möglichkeit zur Trennung, nicht einmal auf Benutzerebene Geräteseitige Trennung nur in Ausnahmefällen möglich, Technologie noch in der Entwicklungsphase Ggf. durch Virtualisierung zu erreichen, mittlerweile auch auf Mobilgeräten (Tablets, Smartphones) Nur durch Trennung können sowohl Interessen des Mitarbeiters als auch Compliance Anforderungen des Unternehmens weitestgehend realisiert werden. 12
II.3. Privatsphäre/TK-Recht (1) Recht auf Privatsphäre auch im Arbeits- /Dienstverhältnis! Private elektronische Kommunikation durch Fernmeldegeheimnis ( 88 TKG) geschützt Zugriff des Arbeitgebers/Dienstherrn auf private Kommunikation (Telefon, E-Mail, WWW, Social Media, etc.) grundsätzlich unzulässig! Zugriff nur mit wirksamer Einwilligung oder in ganz engen Ausnahmen möglich 13
II.3. Privatsphäre/TK-Recht (2) Ohne Trennung privater Daten von dienstlichen Daten daher Vereinbarung notwendig: Einräumung von Zugriffsrechten für Arbeitgeber/Dienstherrn (auf Hardware per MDM und Kommunikationsinhalte). Verpflichtung des Mitarbeiters zur Anzeige von Verlust/Diebstahl von Hardware bzw. Kenntnisnahme Unbefugter von Daten. 14
II.4. Arbeitsrecht (1) Dienstliche Tätigkeiten an mobilen Geräten = Arbeitszeit Auch wenn private mobile Geräte eingesetzt werden Arbeitszeitregelungen gem. 3 ff ArbzG sind dennoch einzuhalten grds. 8 Stunden/Tag, einschließlich mobiler Tätigkeit außerhalb der Dienstzeit 15
II.4. Arbeitsrecht (2) Haftung im Arbeits-/Dienstverhältnis: Haftung des Arbeitnehmers/Dienstverpflichteten für Datenschutzverstöße ist eingeschränkt durch arbeitsrechtliche Regelungen: Unternehmen/Behörde haftet Dritten gegenüber vollumfänglich Regress gegenüber AN/DV nur eingeschränkt möglich, jedenfalls NICHT bei einfacher Fahrlässigkeit! Haftungsdelta wie bei dedizierter Diensthardware, aber ggf. ohne gleichwertige IT-Sicherheit. 16
II.4. Steuerrecht im Arbeitsverhältnis Bei gemischt dienstlich/privater Nutzung von Geräten und Diensten: Steuerfreiheit nur bei Überlassung von Geräten ( 3 Nr. 45 EStG), Eigentum muss beim Arbeitgeber bleiben. Zuschüsse des Arbeitgebers/Dienstherrn als geldwerter Vorteil zu versteuern, z. B. bei Gerätekauf, Mobilfunkverträgen, sonstige kostenpflichtige Mehrwertdienste 17
II.5. Geheimnisschutz & Strafrecht Einsatz BYOD ohne effektive Trennung der Datenbestände: Dienstliche Daten ggf. als Betriebs-/Geschäfts- /Dienstgeheimnis geschützt, 353b StGB, 17 UWG Private Daten strafrechtlich geschützt durch 88 TKG, 202a, 206 StGB Ohne entsprechende Vereinbarung über Datenzugriff drohen sowohl Arbeitgeber/Dienstherrn als auch Arbeitnehmer/Dienstverpflichtetem strafrechtliche Sanktionen 18
II.6. Urheberrecht Nutzung von Unternehmenssoftware, die nicht Teil des Mobilgerätes ist, im BYOD-Umfeld: Weitergabe an Mitarbeiter überhaupt von Nutzungsrecht umfasst (z. B. Volumenlizenz nur für Unternehmen) Weiternutzung der Software nach Ausscheiden aus Unternehmen zu privaten Zwecken erlaubt? (Ansonsten: Verpflichtung zur Löschung vereinbart? Fernlöschung möglich?) 19
III. Fazit (1) BYOD zwar rechtlich möglich, aber wirft Vielzahl rechtlicher Fragestellungen auf, die vorher zu klären sind. 20
III. Fazit (2) Eingangs genannte Vorteile von BYOD werden schnell relativiert: Kosteneinsparung bei Gerätebeschaffung Zuschuss zu versteuern? Kosteneinsparung bei Gerätewartung IT-Compliance? Produktivitätsgewinn Produktivitätseinbußen aufgrund heterogener Struktur? Sicherheitseinstellung? Bessere Erreichbarkeit Mobile Tätigkeit = Arbeitszeit Standortunabhängige Anbindung auch mit reinen Dienstgeräten zu erreichen Imagegewinn kommt auf die BYOD-Umsetzung an 21
Thorsten Jansen, LL.M. (Sydney) Habsburgerring 2 WESTGATE 50674 Köln T: +49 (0) 221 5340 980 E: thorsten.jansen@bridgehouselaw.de 22
EXKURS: mobiler Internetauftritt Für mobilen Internetauftritt gelten dieselben Anforderungen wie für Desktop-Version Impressumspflicht für Webseite und Social Media Präsenz (Facebook, Xing, Twitter) Datenschutzerklärung muss auch über mobile Clients abrufbar sein Kein rechtlicher Unterschied, sondern lediglich Problem der Darstellung auf kleineren Bildschirmen! 23