BYOD RISIKEN + VORBEUGUNG RA Dr. Markus Frank office@frank-law.at
1. DEFINITION BYOD Bring Your Own Device (kurz: BYOD) = Bring Dein Eigenes Arbeitsmittel Mitarbeiter nutzen private Lap Tops, Smart Phones, Tablet-PCs geschäftlich, also für den Arbeitgeber und innerhalb seiner IT-Infrastruktur. => technische, organisatorische und rechtliche Risiken
2. ABGRENZUNG ZU BYOD Nicht mobiles Device des Unternehmens Unterschied: Fremdes Eigentum! Nicht projektbezogener Zugriff für externe Dritte (Lieferanten, Konsulenten, etc.) Unterschied: Arbeitnehmer-Schutz + -Haftung
3. BYOD-PROZESS 1. Bedürfnisse: Mitarbeiter, Unternehmen, Dritte? 2. Risiken? 3. Ziel-Definition! 4. Ausgestaltung: technisch/organisatorisch/rechtlich 5. Einführung des Prozesses 6. Kontrolle + Korrekturmaßnahmen
Beteiligte: Mitarbeiter Unternehmen 4. RISIKEN Serviceprovider von Unternehmen / Mitarbeiter Sonstige Dritte Daten: Trennung von privaten /geschäftlichen Daten Mobile-Device-Management-Software (= MDM) sensible Daten: verstärktes Geheimhaltungsinteresse Risiken: technisch / organisatorisch / rechtlich
5. RISIKEN - TECHNIK Unlock-Umgehung: ca. 5-30 Sekunden jailbreaking = rooting: Überwinden von Funktionseinschränkungen Veränderung von Sicherheits-Konfigurationen sicherheitskritische apps Sicherheits-Updates Synchronisation mit anderen privaten Geräten (PC etc.) Online-Dienste Datenweitergabe ins EWR-Ausland! etc.
6. RISIKEN - ORGANISATION Mitarbeiter Geräte-Verlust Geräte-Missbrauch, z.b. Datendiebstahl (Steuer-CDs) Device-Nutzung durch Ehefrau, Kinder etc. Während + nach Ende der Zusammenarbeit
7. RISIKEN - RECHT Mitarbeiter: Eigentümer des Gerätes private Daten + Nebenjobs Datenschutz + IP-Addresse zuordenbar? Persönlichkeitsrechtsschutz Arbeitnehmerschutz Zustimmung zu Kontrolle/Einsicht Veränderung/Löschen von Daten Software-/Si-Einstellungen Betriebsvereinbarung Service-Provider: Lizenz: Geschäftlich / Privat Unternehmen: Geheimhaltungspflichten Geheimhaltungsrechte Meldepflichten nach DSG 14 DSG: IT-Si-System Warnpflicht gegenüber Geschädigten bei Datenverletzung Schadenersatz Strafen Lieferant/Kunde/Sonstiger: Geheimhaltungsrechte
8. SCHÄDEN IM UNTERNEHMEN Soft-Schäden: Rufschädigung, Wettbewerbsnachteil, Mitarbeiterverlust, Motivationsschäden etc. Finanzielle Schäden: => Mehraufwand, Produktionsausfall, Produktionsfehler, Know-How- Verlust, Schäden an Mensch und Maschine Schadenersatz: Mitarbeiter, Kunden, Lieferanten; sonstige Dritte ohne vertragliche Bindung 33 DSG: Ersatz für erlittene Kränkung mit Beweislast-Umkehr für Verschulden! Strafen: Geldstrafen, Verfall, Verlust der Gewerbeberechtigung
9. SCHÄDEN FÜR MANAGER + VERANTWORTLICHE / BEAUFTRAGTE Karriere-Knick: Kündigung/Entlassung, Einflussbeschränkung, Verlust von Ansehen, etc. Finanzielle Haftung gegenüber Unternehmen für Hard- und Soft-Schäden Ausnahme: direkt gegenüber Dritten Strafen: Geldstrafen, Haftstrafen, Einschränkung von Funktionen wegen Vertrauensverlust, etc.
Urheberrechtsgesetz: 10. STRAFEN Geldstrafen und Freiheitsstrafen bis zu 6 Monaten, bei Gewerbsmäßigkeit bis 2 Jahre für kommerzielles Vervielfältigen von Computerprogrammen Datenschutzgesetz 51 + 52 Freiheitsstrafe bis 1 Jahr bei Datenmissbrauch mit Bereicherungsvorsatz oder mit Schädigungsabsicht Geldstrafen bis zu 25.000.- Euro für Außerachtlassen der erforderlichen Sicherheitsmaßnahmen, für Datenmissbrauch etc. Strafgesetzbuch 118 a ff, 126 a ff, 148 a: Freiheitsstrafen bis zu 10 Jahren für Hacken, Datenbeschädigung, Datenverarbeitungsmissbrauch mit Bereicherungsvorsatz etc.
11. VERSCHULDEN ALS HAFTUNGSVORAUSSETZUNG ausreichende Sicherheitsmaßnahmen gemäß 14 DSG Sorgfalt des ordentlichen Kaufmanns auch bei IT-Sicherheit Sorgfaltsmaßstab = Stand der Technik : z.b.: IT-Sicherheitsmanagement-NORMEN Spezial-Vorschriften für Banken, Gesundheitswesen, etc. Unternehmensinterne Vorschriften
12. BEWEISLAST-REGELN Beweislast im Schadenersatz-Verfahren: Grundsatz: Geschädigter muss Schaden + Verursachung + Verschulden behaupten und beweisen ABER: Gesetzliche Schutzpflicht (zb. 14 DSG) Beweislast-Umkehr für Schadensverursachung in Vertragsbeziehung Umkehr der Beweislast für Verschulden bei Verletzung von Datenschutz ( 33 DSG) Beweislast im Strafverfahren: Grundsatz: In dubio pro reo! Ankläger muss beweisen! ABER: Beweis für angemessene Betriebs-(Schutz-)Organisation (z.b. 14 DSG)
13. BEWEIS-PROBLEME IN DER PRAXIS Bereiche: Außergerichtliche Verhandlungen Gerichtliche Schadenersatzverfahren + Strafprozesse Alltägliches Problem: Fehlen von Informationen Fehlen von Beweisen für Schadenursachen + für Nicht- Verschulden Abhilfe: Vorsorge durch Management-System: Risikobewertung => Maßnahmen / Kontrolle / Korrektur / Schulung / Dokumentation Schadensbegrenzung durch rasche Aufklärung im Nachhinein
14. VERMEIDUNG + VORBEUGUNG Ein ISMS nach ISO 27001 oder ISO 20000 trägt wesentlich bei zur Vermeidung von Schadensfällen. Die Dokumentation und die Aufzeichnungen nach ISO 27001 oder ISO 20000 liefern wesentliche Beweismittel zur Aufklärung von Schadensursachen gegen Vermutung des Verschuldens gegen die Beweislast-Umkehr Vorbeugung gegen Haftung für Schäden und Strafen
15. VORBEUGUNG I Datenschutz bei BYOD für Daten von Mitarbeitern / Unternehmen / Dritter Mobile Devices-Management-Software trennt Privat- / Firmendaten Zustimmung von Mitarbeiter = Geräte-Eigentümer! Meldung bei Datenschutzkommission
+ 16. VORBEUGUNG II IT-Sicherheit bei BYOD: Zustimmung + Verpflichtung der Mitarbeiter zu technischen + organisatorischen Maßnahmen Verschlüsselung + sichere Übertragung (Ausland!) Backups und Löschen von Daten, zulässige Dienste und Apps Kontrollrechte auf fremden Gerät!
17. VORBEUGUNG III Compliance Vorschriften einhalten: Amts-/Berufs-Geheimnisse Geheimhaltungsvereinbarungen (z.b. bei M&A-Transaktionen) Archivierungspflichten -> Zustimmung des Mitarbeiters für Umsetzung? Lizenzrechtliche Einhaltung? Mitarbeiter-Support bei technischen Problemen Begrenzung von Betriebssystemen und Software Haftungsfragen? Beendigung der Zusammenarbeit? => individuelle Mitarbeiter- oder Betriebsvereinbarungen!