BYOD und Consumer-Cloud: muss die Nutzung in Forschungseinrichtungen geregelt werden? Prof. Dr. Rainer W. Gerling & Ass.jur. Heidi Schuster IT-Sicherheit und Datenschutz Max-Planck-Gesellschaft M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 1 AGENDA 1 2 BYOD wer nutzt welches Gerät? Cloud alles in der Wolke? 3 Kommunikation Skype und E-Mail M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 2 Max-Planck-Gesellschaft 1
AGENDA 1 2 BYOD wer nutzt welches Gerät? Cloud alles in der Wolke? 3 Kommunikation Skype und E-Mail M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 3 Definitionen Bring Your Own Device (BYOD) beschreibt den Trend, dass Beschäftigte oder Mitglieder von Organisationen (Schulen, Hochschulen, Forschungseinrichtungen, Unternehmen) ihre eigenen Mobilgeräte (Notebook, Tablett, Smartphone) in die Organisation mitbringen und damit auf Organisationsserver zugreifen und auch Organisationsdaten auf den persönlichen Geräten verarbeiten und speichern. (nach Wikipedia) Schatten-IT bezeichnet IT-Systeme, IT-Prozesse, IT-Organisationseinheiten und IT- Outsourcing, die in den Fachabteilungen einer Organisation neben der offiziellen IT-Infrastruktur und ohne das Wissen des offiziellen IT-Bereichs angesiedelt sind. (nach Wikipedia) Telearbeit bezeichnet eine Arbeitsform, bei der Beschäftigte zumindest einen Teil der Arbeitsleistung außerhalb der Betriebsstätten des Arbeitgebers (z.b. zu Hause, im Nachbarschaftsbüro) verrichten. M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 4 Max-Planck-Gesellschaft 2
Private Smartphones werden für den Job genutzt 43% der ITK-Unternehmen erlauben ihren Mitarbeitern, eigene Geräte - wie Smartphones und Tablet-Computer -mit dem Firmennetzwerk zu verbinden. 60% der Unternehmen, die BYOD zulassen, haben dafür spezielle Regeln aufgestellt. 81% der Unternehmen, die BYOD zulassen, erhoffen sich eine höhere Mitarbeiterzufriedenheit. 74% der Unternehmen, die BYOD zulassen, erhoffen erwarten Effizienzsteigerungen, weil die Mitarbeiter mit ihren Geräten vertraut sind. 40% der Unternehmen, die BYOD zulassen, wollen so als moderner Arbeitgeber wahrgenommen zu werden. 53% der ITK-Unternehmen lehnt private Endgeräte am Arbeitsplatz jedoch ab. Zu den häufigsten Gründen gehört der erhöhte Wartungs-und Sicherheitsaufwand. Viele Unternehmen befürchten Sicherheitsprobleme, wenn viele verschiedene Geräte mit unterschiedlicher Software eingesetzt werden. Quelle: Umfrage BITKOM unter ITK-Unternehmen M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 5 Besonderheiten in der Wissenschaft Einrichtungsfremde Geräte (Notebook, Tablett, Smartphone) sind Standard. Studenten, Doktoranden, Stipendiaten, Gastwissenschaftler Studenten sind Mitglieder der Hochschule Häufig dienstliches Gerät der Heimateinrichtung Netze typisch getrennt in Internes Netz für Geräte der Einrichtung (im Management der Einrichtungs-IT) Gästenetz Einordnung in die Segmente über 802.1x Fakultäts- oder Lehrstuhl-IT ist häufig vorhanden Administration durch Studenten Eigener Mail-Server M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 6 Max-Planck-Gesellschaft 3
Besonderheiten in der Wissenschaft Jeder Wissenschaftler kann jedes wissenschaftliche (Funk)Netz auf der Welt frei nutzen. Die Anmeldung erfolgt mit einer Benutzerkennung der Heimateinrichtung. Protokollierung und Aufbewahrung sind erforderlich, um Missbrauch aufzuklären Häufig auch Gästenetz Nutzerkennung/Passwort an der Wand Keine Identifizierung von Benutzern M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 7 Ein paar Fragen Gibt es in Ihrer Hochschule Web-Mail (z.b. Outlook Web App)? Von allen Geräten? Von jedem Ort? Gibt es in Ihrer Hochschule einen VPN-Zugriff? Von allen Geräten? Von jedem Ort? Mit Zwei-Faktor-Authentisierung? Wird in Ihrer Hochschule die Nutzung von USB-Sticks technisch unterbunden? Nur dienstliche Krypto-Sticks sind erlaubt? Warum haben Sie etwas gegen BYOD? Die Beschäftigten haben doch alle Daten schon kopiert! M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 8 Max-Planck-Gesellschaft 4
Vertragsverhältnis Gerät steht im Eigentum des Mitarbeiters Wem gehören die Daten auf dem privaten Gerät? Herausgabe der dienstlichen Daten bei Beendigung des Arbeitsverhältnisses Herausgabe des Geräts z.b. bei internen Untersuchungen Kostenregelungen Anteilige Übernahme der Kosten durch den Arbeitgeber? Regelung der Haftung bei Verlust oder Beschä digung des Geräts Lösung: Vertragliche Vereinbarung zwischen Unternehmen und Mitarbeiter über BYOD ggfs. Versicherung abschließen M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 9 Urheberrecht Darf ich die dienstliche Software auf privaten Geräten nutzen? Nutzungsrechte für die von der Einrichtung genutzte Software berechtigen ggf. nur zum Einsatz auf dienstlichen Geräten Darf ich die private Software dienstlich nutzen? Nutzungsrechte für die beim Mitarbeiter installierte Software berechtigen diesen ggf. nur zur privaten nicht zur dienstlichen Nutzung Risiko der Inanspruchnahme des Mitarbeiters gem. 97 UrhGund ggfs. der Einrichtung gem. 99 UrhG durch den Rechteinhaber Lösung: Überprüfung, ob Nutzungsrechte für die betriebliche Nutzung auf privatem Gerät vorhanden sind Regelungen in BYOD-Vereinbarung IT-Nutzungs-Richtlinie M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 10 Max-Planck-Gesellschaft 5
Beispiele MS EULA Office 2010 12. HOME AND STUDENT-SOFTWARE. Bei als Home and Student -Versiongekennzeichneter Software sind Sie berechtigt, eine Kopie der Software auf bis zu drei lizenzierten Geräten in Ihrem Haushalt zur Verwendung durch Personen, die dort ihren Hauptwohnsitz haben, zu installieren. Die Software darf nicht für kommerzielle, gemeinnützige oder Einnahmen erwirtschaftende Aktivitäten verwendet werden. XN View Im privaten Bereich unterstützt durch die Computer-Presse heißt es immer nur kostenlose Software oder Freeware Viele Software ist nur für die nicht-kommerzielle Nutzung kostenfrei Den Lizenz-Verstoß begeht der Beschäftigte M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 11 Datenschutzrecht Dienstliche Daten enthalten personenbezogene Daten Einrichtung bleibt für die dienstliche Daten die verantwortliche Stelle Gewährleistung der Einhaltung der technischen und organisatorischen Maßnahmen! Zugriff des Arbeitgebers auf dienstliche Daten problematisch, wenn dabei Zugriff auf private Daten erforderlich ist Lösung: Regelungen in BYOD-Vereinbarung Trennung von privaten und dienstlichen Daten Einwilligungserklärung M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 12 Max-Planck-Gesellschaft 6
Beispiel: WhatsApp Überträgt bei jedem Start der App alle Telefonnummern aus dem lokalen Telefonbuch Wozu? Welcher Kontakt nutzt bereits WhatsApp 0160-88012345 0161-12345678 0183-23456789 0160-88012345 0161-12345678 0172-23456789 0183-23456789 0161-12345678 0160-88012345 0172-23456789 iphone, BlackBerry, Nokia, Android, Windows Phone M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 13 Mitbestimmung des Betriebsrats Organisatorischen Regelungen wie Erlaubnis zur Nutzung privater Geräte Individualvereinbarungen mit den Beschäftigten zur Nutzung privater Geräte berühren das Verhalten der Arbeitnehmer im Betrieb und sind deshalb mitbestimmt. ( 87 Abs. 1 Nr. 1 BetrVG) Die technischen Einrichtungen sind zur Verhaltens-und Leistungskontrolle geeignet und deshalb mitbestimmt. ( 87 Abs. 1 Nr. 6 BetrVG) Lösung: Betriebsvereinbarung M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 14 Max-Planck-Gesellschaft 7
Sonstiges Aufbewahrungspflichten gem. 147 AO, 257 HGB zur Sicherung guter wissenschaftlicher Praxis Geheimnisschutz Betriebs- und Geschäftsgeheimnisse, 17, 18 UWG Privatgeheimnisse Dritter, 203 StGB Strafrecht, 203, 202a, 202b, 303a StGB bezieht sich auf ein unbefugtes Ausspähen/Abfangen/Verändern von privaten Daten durch den Arbeitgeber Lösung: Regelungen in BYOD-Vereinbarung Trennung von privaten und dienstlichen Daten M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 15 Grundkonzept Vieles was für Telearbeit gilt, gilt auch für BYOD! Daten, die bei Telearbeit tabu sind, können auch nicht auf privaten Endgeräten verarbeitet werden. Daten auf dem Gerät müssen im Herrschaftsbereich des Unternehmens bleiben. Möglichst wenig (keine?) Daten auf den privaten Endgeräten speichern Durch organisatorische Regeln mit technischer Unterstützung das private Gerät ins Unternehmen einbinden. Das Unternehmen bleibt Herr der Daten (verantwortliche Stelle). Das Unternehmen gibt die Regeln vor. Der Beschäftigte akzeptiert die Regeln verbindlich. Möglichst technische Unterstützung zur Durchsetzung der Regeln Mobile Device Management M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 16 Max-Planck-Gesellschaft 8
AGENDA 1 2 BYOD wer nutzt welches Gerät? Cloud alles in der Wolke? 3 Kommunikation Skype und E-Mail M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 17 Datenspeicherung bei Dienstleistern Daten können im Sinne von Netzwerklaufwerk beim Dienstleister gespeichert werden Gegen geringe Gebühr beliebig groß Kostenlose Angebote Telekom Cloud (25 GB) Windows Live Skydrive (7 GB) Starto HiDrive free (5 GB) DropBox (2 GB) GMX (1 GB) M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 18 Max-Planck-Gesellschaft 9
Online-Officeprogramme Word, Excel und Co. als Applet im Browser Datenspeicherung ist zwar lokal auf der Festplatte möglich aber Überall Zugang nur bei der Speicherung beim Dienstleister Google Docs Microsoft Office 365 M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 19 Microsoft Office 365 M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 20 Max-Planck-Gesellschaft 10
Cloud Speicher Public Cloud USA: Google Drive, Microsoft Skydrive, Dropbox, Deutschland: GMX, Strato Hidrive, Telekom Cloud Forschungscloud GWDG Cloud Share Powerfolder BW Sync&Share Testbetrieb DFN Vermittlung föderierter Dienste Probleme einer akademischen Cloud Kooperationen mit Einrichtungsfremden Private Daten in der Forschungscloud Dissertationen Korrekturlesen einer Prüfungsarbeit durch die Eltern/Familie/Freunde M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 21 Cloud Computing datenschutzrechtlich Die Verarbeitung personenbezogener Daten in der Cloudist datenschutzrechtlich gesehen Datenverarbeitung im Auftrag s. hierzu DFN-Workshop Datenschutz 2012 Voraussetzungen: Auftragnehmer hat im Verhältnis zum Auftraggeber nur eine Hilfsfunktion inne: verlängerter Arm, ausgelagerte Abteilung Auftragnehmer ist weisungsgebunden und hat keinen eigenen bzw. nur einen vom Auftraggeber vorgegebenen Entscheidungsspielraum. Es liegt eine schriftliche Vereinbarung vor. Konsequenzen: Auftraggeber bleibt datenschutzrechtlich voll verantwortlich Auftraggeber behält die volle Verfügungsgewalt über die betroffenen Daten Auftragnehmer hat nur eine eingeschränkte Verantwortlichkeit Es findet keine Datenübermittlung statt hierfür braucht man eine Rechtsgrundlage M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 22 Max-Planck-Gesellschaft 11
Dienstleister außerhalb Deutschlands Dienstleister innerhalb der EU und des Europäischen Wirtschaftsraums (Island, Liechtenstein, Norwegen) Auftragsdatenverarbeitung möglich Dienstleister aus allen anderen Ländern keine Auftragsdatenverarbeitung möglich Datenübermittlung liegt vor Was tun? 2-stufige Prüfung 1. Stufe: gibt es eine Rechtsgrundlage für die Übermittlung? 2. Stufe: existiert in dem Land, in das übermittelt werden soll, ein angemessenes Datenschutzniveau? M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 23 angemessenes Datenschutzniveau vor Snowden Dienstleister aus Ländern, die auf einer Whitelist der EU stehen (Andorra, Argentinien, Australien, Kanada, Schweiz, Färöer Inseln, Guernsey, Israel, Isle of Man, Jersey angemessenes Datenschutzniveau von der EU positiv festgestellt Vertrag entsprechend den Vorgaben des BDSG/LDSG Dienstleister in den USA, die Safe Harbor zertifiziert Angemessenes Datenschutzniveau durch die Zertifizierung BDSG/LDSG-Vertrag mit Ergänzungen Dienstleister in den USA, die nicht Safe Harbor zertifiziert sind kein angemessenes Datenschutzniveau werden EU-Standardvertragsklauseln verwendet, gilt die Übermittlung im Einzelfall als durch die Behörden genehmigt der Rest der Welt EU-Standardvertragsklauseln M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 24 Max-Planck-Gesellschaft 12
angemessenes Datenschutzniveau nach Snowden Pressemitteilung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 24.07.2013 Allerdings hat die Kommission stets betont, dass die nationalen Aufsichtsbehörden die Datenübermittlung dorthin aussetzen können, wenn eine "hohe Wahrscheinlichkeit" besteht, dass die Safe-Harbor-Grundsätze oder Standardvertragsklauseln verletzt sind. Dieser Fall ist jetzt eingetreten. Die Grundsätze in den Kommissionsentscheidungen sind mit hoher Wahrscheinlichkeit verletzt, weil die NSA und andere ausländische Geheimdienste nach den gegenwärtigen Erkenntnissen umfassend und anlasslos ohne Einhaltung der Grundsätze der Erforderlichkeit, Verhältnismäßigkeit und Zweckbindung auf personenbezogene Daten zugreifen, die von Unternehmen in Deutschland an Stellen in den USA übermittelt werden. Die Aufsichtsbehörden [werden] für den Datenschutz keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (zum Beispiel auch zur Nutzung bestimmter Cloud-Dienste) erteilen. M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 25 mal abgesehen vom Datenschutz... Urheberrechte Dienstleisterlassen sich oft Nutzungsrechte an den hochgeladenen Daten abtreten Das Kleingedruckte lesen! Sind die Nutzungsbedingungen für die geplanten Inhalte akzeptabel? Erfüllung von Aufbewahrungspflichten? AGG, HGB, AO Bsp.: Steuerrecht Sind die Daten Gegenstand der Buch-/Steuerprüfung müssen authentisch und innerhalb angemessener Frist lesbar sein Vorzuhalten innerhalb Deutschlands, nach Antrag in EU/EWR ( 146 Abs. 2a AO) bei eigenmächtiger Nutzung durch Beschäftigte Verletzung von arbeitsvertraglichen/gesetzlichen Schweigepflichten denkbar M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 26 Max-Planck-Gesellschaft 13
Stichwort: Business Continuity Sicherstellung des Fortbestands des Unternehmens im Sinne ökonomischer Nachhaltigkeit im Angesicht von Risiken mit hohem Schadensausmaß US Patriot Act verpflichtet US-amerikanische Unternehmen Daten aus EU- Rechenzentren an US-Behörden weiterzugeben Was nützt eine vertragliche Vereinbarung, dass Daten den EU/EWR Raum nicht verlassen? Verfügbarkeit Kompromittierung durch Dritte, selbst wenn die eigenen Daten nicht das Ziel sind Beschlagnahme durch innerstaatliche Ermittlungsbehörden auch wenn die eigenen Daten nicht das Ziel sind M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 27 Stichwort: Business Continuity No Single Point of Failure Möglichst mehrere Provider nutzen oder bereithalten ( warm-standby ) Vorgabe, wo (geographisch) Dienste/Daten gespeichert werden dürfen kleinere, nur regional tätige Anbieter (z.b. nur in Europa/Euro-Cloud) Überwachung der wirtschaftlichen Leistungsfähigkeit des Anbieters Wie bekomme ich meine Daten wieder zurück? Herausgabe der Daten bei Vertragsende regeln Datenformat bestimmen, Kosten der Herausgabe regeln Zusichern lassen, dass keine proprietäre Software zur Nutzung der Datenerforderlich ist, ansonsten Lizenz, ggfs. für Read-Only-Version M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 28 Max-Planck-Gesellschaft 14
AGENDA 1 2 BYOD wer nutzt welches Gerät? Cloud alles in der Wolke? 3 Kommunikation Skype und E-Mail M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 29 Skype Kostenlose Video- und Sprachtelefonie Die gesamte Kommunikation ist verschlüsselt Die technischen Details sind aber nicht offen gelegt Das am besten gegen Analyse geschützte Programm der Welt Auch im Ruhezustand fließen Daten Bohrt sich ein Loch in fast jede Firewall Next Generation Firewalls können helfen Startet ohne Installation vom USB-Stick Dateiaustausch Quelle: portableapps.com M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 30 Max-Planck-Gesellschaft 15
Skype Vermeintliche Lösung für: Verbot Privatgespräche (Handy ist noch einfacher) Keine Amtsberechtigung Keine Auslandsberechtigung In Hochschulen und Forschungseinrichtungen teilweise (verboten) unerwünscht Daheim durchaus ok! Mittlerweile im Besitz von Microsoft Ist in Office 2013/ Office 365 integriert Angebot für Studenten: Office 365 University für 79 Euro Office-Lizenz für 4 Jahre und 2 Rechner + Smartphones 4 Jahre 60 Min. Skype pro Monat M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 31 Skype-Policy Skype darf nur in dem vom Institut dafür freigegeben Netzwerksegment genutzt werden. Die Einstellung Skype bei Betriebssystem-Start ausführen muss deaktiviert werden. Die Funktionalität Autologin ist in Skype zu deaktivieren. Das Passwort des Skype-Accounts darf nicht identisch mit den Passworten der Einrichtungs-Accounts sein. Die Verwendung der Ports 80 und 443 sind nicht zulässig. Die Skype-Supernode-Funktionalität bei Windows-Systemen muss deaktiviert werden. Die verwendete Skype Version muss aktuell sein und alle Sicherheitspatches wurden eingespielt. Auf dem Rechner muss ein aktuell gehaltener lokaler Virenscanner installiert sein. M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 32 Max-Planck-Gesellschaft 16
E-Mail für Wissenschaftler Es ist heute üblich bei Veröffentlichungen die E-Mail-Adresse als Kontaktdatum anzugeben Langzeit-verfügbare E-Mail Adresse erforderlich Da Forschungseinrichtung/Universität von jüngeren Wissenschaftlern häufiger gewechselt wird, ändert sich ständig die E-Mail Adresse Die einzige stabile Komponente im Leben eines jungen Wissenschaftlers ist seine Gmail-Adresse Auto-Forward der dienstlichen Adresse auf einen privaten Anbieter ist verbreitet. M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 33 Probleme? Personenbezogene / Interne Daten werden an ein anderes Unternehmen übertragen nicht vom Arbeitgeber initiiert sondern vom Beschäftigten Je nach Art der Daten Verletzung von arbeitsvertraglichen/gesetzlichen Schweigepflichten Verletzung von Persönlichkeitsrechten je nach Position Weitergabe von sensiblen internen Informationen z.b. Gefahrgutbeauftragter, Berufsverhandlungen Abtretung von Nutzungsrechten Lösung: komplettes Verbot jeglicher Weiterleitung an private Accounts ist unpraktikabel Verbot von Auto-Forwards explizite Erlaubnis von Einzel-Weiterleitungen wenn aufgrund des Inhalts vertretbar M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 34 Max-Planck-Gesellschaft 17
Vielen Dank für Ihre Aufmerksamkeit! www.mpg.de/datenschutz M A X - P L A N C K - G E S E L L S C H A F T 2. DFN Workshop Datenschutz SEITE 35 Max-Planck-Gesellschaft 18