SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
Bring Your Own Device und das Arbeitsrecht
1. Bring Your Own Device
und das Arbeitsrecht
Andreas Skowronek
beim CIO-Treff der
Aktiengesellschaft
am 26.11.2012
im Club International des
Auswärtigen Amtes, Berlin
http://www.netfox.de/cio-treff.html
Donnerstag, 13. Dezember 2012
2. Ich hab´ meinen eigenen
Computer
• “BYOD” steht
dafür, dass
Arbeitnehmer
eigene Elektronik
im Job einsetzen
dürfen.
<=> Bring your
own device
Donnerstag, 13. Dezember 2012
3. Klingt einfach …
• … ist es aber nicht
Donnerstag, 13. Dezember 2012
4. Denn wir befinden uns im
Geltungsbereich des
Arbeitsrechts.
Und das wirft Fragen auf!
Donnerstag, 13. Dezember 2012
5. Bislang fragten die
meisten:
• Wie ist die Rechtslage, wenn ein Mitarbeiter
die Festplatte löscht?
• Welche bei Xing oder LinkedIn gemachten
Kontakte darf ein Arbeitnehmer mit in Den
neuen Job nehmen?
• Darf ein Arbeitgeber die e-Mails der
Beschäftigten lesen?
Donnerstag, 13. Dezember 2012
6. Bei BYOD tun sich ganz
neue Fragen auf. Denn …
• der Chef bringt sein iPad ins Unternehmen.
• der Berater logged sich mit dem eigenen
Laptop ein.
• via VPN-Verbindung greifen private Computer
auf Firmendaten zu.
• betriebsfremde USB-Sticks, Smartphones und
Tablet-Computer gelangen ins Unternehmen.
Donnerstag, 13. Dezember 2012
7. Einfach ist hier gar nichts.
Das zeigen bereits folgende
Überlegungen:
• Eine Vielzahl mobiler Geräte, die mit
verschiedenen Betriebssystemen laufen,
gelangen womöglich über unterschiedliche
Funknetzwerke ins Internet.
• Wer haftet, wenn über ein “gehacktes”
Mobilgerät eines Mitarbeiters
Betriebsgeheimnisse nach draußen dringen?
• Wie sieht es arbeitsrechtlich mit Software-
Lizenzen aus?
Donnerstag, 13. Dezember 2012
8. Auch deutsche Unternehmer
sind BYOD-Fans.
“Rund 70% nutzen eigene Computer oder
Smartphones am Arbeitsplatz. Am häufigsten
werden dabei Pcs genutzt (45%), gefolgt von
Laptops (36%) und Smartphones (28%).”
Quelle: MulitiMedia und Recht, 4/2012, S. 205
Donnerstag, 13. Dezember 2012
9. Auch bei Mitarbeitern ist
BYOD äusserst beliebt
“Aus Gründen der Mitarbeiterzufriedenheit
wollen viele Unternehmen BYOD zulassen, da
ihre Mitarbeiter auf diese Weise ihre “gewohnte“
IT auch im Unternehmen einsetzen können, die
oftmals sogar aktueller als die Unternehmens-
IT ist.”
Quelle: Computer und REcht, 9/2012, S. 592
Donnerstag, 13. Dezember 2012
10. BYOD-Nutzungsvereinbarung
Umfasst Aspekte aus folgenden
Rechtsgebieten:
• des DATENSCHUTZES UND DER
DATENSICHERHEIT
• des Lizenz- und sogar des Steuerrechts
• des Arbeitsrechts
Donnerstag, 13. Dezember 2012
11. • Klarstellung, wonach dem Beschäftigten die
Nutzung privater Geräte für betriebliche
Zwecke nur dann gestattet ist, sofern der
Beschäftigte eine Nutzungsvereinbarung
unterschrieben hat.
<=>
Der Verzicht auf eine solche
Individualvereinbarung riefe das Institut
namens “Betriebliche Übung” wach, was dem
Unternehmen wiederum grössere
Haftungsrisiken aufbürden würde.
Donnerstag, 13. Dezember 2012
12. • Die Verpflichtung des Mitarbeiters, dass
außer ihm kein Dritter das Engerät im
Rahmen des BYOD nutzen darf.
<=>
Fehlt eine solche Verpflichtung, ließe sich
eine “unzulässige Übermittlung
personenbezogener Daten” (§ 3 Abs. 4 Nr. 3
Bundesdatenschutzgesetz) begründen.
Außerdem schützt dies vor der Preisgabe
von Geschäftsgeheimnissen, zu deren
Wahrung das Unternehmen gegenüber einem
Dritten vertraglich verpflichtet ist.
Donnerstag, 13. Dezember 2012
13. • Die Gestattung spezieller Sicherheits-Tools,
die die Sicherung, Veränderung,
Verschlüsselung und Löschung von auf dem
BYOD-GErät befindlichen Unternehmensdaten
erlauben; regelmäßig auch im Wege des
Fernzugriffs (Remote-Control).
Donnerstag, 13. Dezember 2012
14. Die Mitbestimmungspflichtigkeit gemäss
§ 87 I Nr. 6 BetrVG
• Da Privatgeräte im Rahmen der BYOD-Nutzung
regelmäßig eine Verhaltens- und
Leistungsüberwachung ermöglichen, hat der
Betriebsrat gemäß § 87 Abs. 1 Nr. 6 BetrVG
ein Mitbestimmungsrecht.
<=>
Mitbestimmungspflichtig sind die Einführung –
und auch die Einführung von BYOD auf Probe
– oder eine intendierte überbetriebliche
Vernetzung.
Donnerstag, 13. Dezember 2012
15. Die Mitbestimmungspflichtigkeit gemäss
§ 87 I Nr. 1 BetrVG
• Unter dem Aspekt des Ordnungsverhaltens im
Betrieb sind folgende Sachverhalte
mitbestimmungspflichtig:
• Datenroaming-Verbot bei
Auslandsaufenthalten.
• Anweisung, das GErät mit einem Passwort zu
schützen.
• Anordnung einer konkret bestimmten
Abruffrequenz bzgl. des dienstlichen e-Mail-
Kontos.
Donnerstag, 13. Dezember 2012
16. Die drei Vorteile einer
Betriebsvereinbarung
• Solange es keine Individualvereinbarungen
gibt, ist dem Günstigkeitsprinzip der Weg
versperrt, sodass eine Anpassung der
REgelungsinhalte mittels BV erheblich
erleichtert wird.
• Die BV unterliegt anders als eine
Individualvereinbarung nicht der
Inhaltskontrolle i.S.d. des AGB-Rechts.
• Schließlich stellt die BV eine Erlaubnisnorm
i.S.d. Datenschutzrechts dar.
Donnerstag, 13. Dezember 2012
17. • egal ob Nutzungsvereinbarung oder
Betriebsvereinbarung … beide sollten
Regelungen enthalten, wann die Nutzung
privat genutzter Geräte im Rahmen der BYOD-
Nutzung beendet wird.
<=>
Befristungsregelung sowie Widerrufs- oder
Kündigungsrecht.
Für den Fall der missbräuchlichen BYOD-
Nutzung sollte auf jeden Fall ein
Kündigungsrecht des Arbeitgebers vereinbart
werden.
Donnerstag, 13. Dezember 2012
18. • Regelung zur Kostentragung (erforderlicher
Aufwendungsersatz –i.S.d. §§ 675, 670 BGB)
<=>
Die Entschädigung mittels Einzelnachweis-
Abrechnung erfordert einen
unverhältnismäßigen Verwaltungsaufwand.
Als weniger kompiziertes Verfahren empfiehlt
sich die Pauschalierung der Kosten;
insbesondere bei Nutzung einer Daten-/
Telefonflatrate.
Donnerstag, 13. Dezember 2012
19. Lizenzen und
Nutzungsrechte
• Grundsätzlich sollte man meinen, dass das
gar kein Problem ist, solange die Mitarbeiter
nicht illegal software erwerben.
• Problematisch wird es bei Software
(Applications), die für den Privatgebrauch
entgeltlich oder zu einem günstigeren preis
erhältlich sind.
• Lösung: Hinweis und Kostenerstattung,
sobald die Software zum Einsatz kommt.
Donnerstag, 13. Dezember 2012
20. Haftung bei Verlust des
eingebrachten Geräts
• Hat der Arbeitgeber den Verlust des GEräts zu
verantworten, ergibt sich die Pflicht zum Ersatz des
entstandenen Schadens aus §§ 280, 241 BGB.
• Verschuldensunabhängig haftet der Arbeitgeber bei einem
arbeitsbedingt eingetretenen Schaden am Eigentum des
Beschäfigten.
<=>
Bei im Rahmen von BYOD eingesetzten Privatgeräten haftet
der Arbeitgeber hiernach deshalb, weil er ansonsten eigene
Geräte hätte einsetzen müssen.
• Keine Haftung des Arbeitgebers, sofern der Geräteverlust
auf zum allgemeinen Lebensrisiko des Beschäftigten
gehörenden Umständen basiert.
Donnerstag, 13. Dezember 2012
21. Benachrichtigungsplicht
bei Verlust des Geräts
• Das Datenschutzrecht (§ 42a BDSG) legt dem
Arbeitgeber in diesem Fall eine
Informationspflicht auf, der er nur
nachkommen kann, wenn die Mitarbeiter ihm
gegenüber den Verlust des Geräts samt der
auf ihm befindlichen Daten angezeigt haben.
Donnerstag, 13. Dezember 2012
22. Herzlichen Dank für Ihre
Aufmerksamkeit!
• Andreas Skowronek
Phone: +49 (0) 151 – 41 26 21 79
e-Mail: redakteur1@gmail.com
Web: http://about.me/askowronek
Donnerstag, 13. Dezember 2012