Bring Your Own Device – Best Prac5ces BUJ Compliance Summit 2015 Thomas Konowalczyk, Vice President / Associate General Counsel CA Technologies 08.10.2015
Delete from yo presen
Agenda 1
WAS BEDEUTET „BRING YOUR OWN DEVICE“?
2
WAS SPRICHT FÜR “BRING YOUR OWN DEVICE”?
3
LIZENZRECHTLICHE FRAGEN
4
ARBEITSRECHTLICHE FRAGESTELLUNGEN
5
DATENSCHUTZRECHTLICHE ASPEKTE
6
AUSGEWÄHLTES ZUR DATENSICHERHEIT
2
© 2015 CA. ALL RIGHTS RESERVED.
Was bedeutet „Bring Your Own Device“? § BYOD bezeichnet die Verwendung von dem Arbeitnehmer gehörenden Endgeräten, insbesondere – Smartphones, – Tablets, – PCs und Laptops,
§ die auf Unternehmensinfrastruktur, Unternehmensdaten und Unternehmensanwendungen zugreifen.
3
© 2015 CA. ALL RIGHTS RESERVED.
Delete from yo presen
Was spricht für „Bring Your Own Device“? § Auf Arbeitnehmerseite:
– Nutzerpräferenzen stark gerätespezifisch – Nutzerkomfort – Arbeitseffizienz und –mo5va5on
§ Auf Arbeitgeberseite: – – – –
4
Arbeitseffizienz und -‐mo5va5on Arbeitnehmerbindung Image des Unternehmens Kostenersparnis?
© 2015 CA. ALL RIGHTS RESERVED.
Delete from yo presen
Lizenzrechtliche Fragen §
Nutzung von Unternehmenssofware auf dem privaten Gerät
§
Betriebliche Nutzung von privat lizenzierter Sofware auf dem privaten Gerät
§
Hafung im Zusammenhang mit Lizenzfragen (verschuldensabhängig und verschuldensunabhängig)
§
5
Nicht ordnungsgemäß lizenzierte Sofware (z.B. Raubkopien)
© 2015 CA. ALL RIGHTS RESERVED.
Delete from yo presen
Nutzung von Unternehmenssofware auf privatem Gerät §
Für jede Vervielfäl5gung einer Sofware ist eine Lizenz erforderlich; „Zweitnutzung“ auf privaten Geräten von manchen Sofware-‐Herstellern aber regelmäßig nicht erlaubt
§
Unternehmenslizenzverträge müssen geprüf werden: in welchem Umfang erlauben sie solche Zweitnutzungen, ist Einsatz auf Hardware Drimer überhaupt auf Basis der Unternehmenslizenzen erlaubt (of nicht)
§
6
Entscheidend ist der Lizenzvertrag: –
Lizenzmetrik (z.B. personengebundene oder gerätegebundene Lizenz)
–
Lizenzmanagement
–
Gewerblicher Einsatz
–
Privater Einsatz
© 2015 CA. ALL RIGHTS RESERVED.
Delete from yo presen
Nutzung von Unternehmenssofware auf privatem Gerät §
Daher: –
Umfassende Due Diligence der bestehenden Lizenzverträge erforderlich, bevor BYOD-‐Einsatz in der Weise erlaubt wird, dass nur für das Unternehmen lizenzierte Sofware auch auf den privaten Endgeräten eingesetzt wird
–
–
Auch private Endgeräte müssen in das unternehmensinterne Lizenzmanagementprogramm aufgenommen werden: §
Inventarisierung von Sofware
§
Repor5ng
§
Löschung bei BYOD Geräteaufgabe
§
Rückführung freier Lizenzen
Nutzung von Unternehmenslizenzen durch den Arbeitnehmer auf einem privaten Gerät bedarf vertraglicher Vereinbarung mit Arbeitnehmer (z.B. im Rahmen einer Betriebsvereinbarung und / oder individueller Arbeitnehmer-‐Vereinbarung) zur Sicherstellung: §
Informa5on und Mitwirkung des Arbeitnehmers bei Lizenzmanagement
§
Eröffnung arbeitsrechtlicher Konsequenzen im Verletzungsfall / Schadensersatzansprüche
7
© 2015 CA. ALL RIGHTS RESERVED.
Delete from yo presen
Nutzung von privat lizenzierter Sofware für betriebliche Zwecke §
Nutzungseinschränkungen für Sofware beachten (z.B. konkrete Sofware ist nur für den eigenen oder auch für fremden Gebrauch lizenziert)
§
Arbeitnehmer braucht natürlich für jede Sofware auf seinem Gerät eine Lizenz. Hat er diese nicht, stellen sich folgende Fragen: –
„Störerhafung“ des Unternehmens, wenn dieses BYOD-‐Einsatz erlaubt bzw. nicht verhindert hat?
–
Hafung des Unternehmens nach § 99 UrhG?
–
Erstamungsanspruch des Arbeitnehmers für Lizenzkosten, die er aufwenden muss, wenn ihm die betriebliche Nutzung privater Sofware abverlangt wird
–
8
Freistellungsansprüche des Arbeitnehmers?
© 2015 CA. ALL RIGHTS RESERVED.
Delete from yo presen
Delete from yo presen
Hafung bei Verstößen §
Verschuldensunabhängige Hafung, gerichtet auf Unterlassung
§
Verschuldensabhängige Hafung, gerichtet auf Schadenersatz
§
Hafung des Unternehmensinhabers, § 99 UrhG (Unterlassung / Schadensersatz) –
Inhaber des Unternehmens ist nicht nur der Eigentümer, sondern derjenige, unter dessen Namen der Betrieb geführt wird
–
Jede Verletzung von Urheberrechten im Unternehmen durch einen Arbeitnehmer oder Beaufragten (uU auch Leiharbeitnehmer!)
§
9
Hafung der Organe des Unternehmens, insbesondere der Geschäfsführer, § 43 GmbHG
© 2015 CA. ALL RIGHTS RESERVED.
Nicht ordnungsgemäß lizenzierte Sofware (z.B. Raubkopie) §
Für Unternehmenssofware, die der Arbeitnehmer auf eigenes Gerät geladen hat, dürfe Arbeitgeber vom SW-‐Hersteller unmimelbar in Anspruch genommen werden dürfen: –
Interne Organisa5onspflicht im Bereich Lizenzmanagement, unautorisierte Downloads zu unterbinden (technisch, rechtlich und organisatorisch)
–
Falls Zus5mmung des Arbeitgebers für Vervielfäl5gung erfolgt (ohne hierzu lizenzrechtlich berech5gt zu sein), kommt auch strafrechtliche Verantwortlichkeit in Betracht
§
Für private Sofware des Arbeitnehmers auf seinem eigenen Gerät: –
Allenfalls Störerhafung des Arbeitgebers (sofern dieser die Nutzung solcher Privatsofware ini5iert oder gewollt hat)
–
Inanspruchnahme des Arbeitgebers auf Unterlassung und ggf. sogar Schadensersatz kann nicht ausgeschlossen werden, wenn dieser BYOD erlaubt und fördert, ohne sich um lizenzrechtliche Themen zu kümmern!
10
© 2015 CA. ALL RIGHTS RESERVED.
Delete from yo presen
Lizenzrechtliche Fragen – Best Prac*ces §
Entwicklung bzw. Anpassung von unternehmensinternen IT-‐Richtlinien
§
Sofware-‐ und Hardware Asset Management auf Basis einer anfänglichen Erhebung
§
“Auditrecht” des Arbeitgebers bezüglich der privaten Geräte
§
Abschluss von Lizenzverträgen, die BYOD bereits berücksich5gen (Kostenkontrolle)
11
© 2015 CA. ALL RIGHTS RESERVED.
Delete from yo presen
Arbeitsrechtliche Fragen §
Abschluss einer Nutzungsvereinbarung in Form einer Individualvereinbarung zwischen Arbeitgeber und Arbeitnehmer über die freiwillige Nutzung des privaten Endgerätes mit Regelungen über z.B.: –
Ausschluss der Überlassung an Drime,
–
Trennung von privaten und beruflichen Daten („Containerlösung“, Fernwartung / Fernsperrung)
–
Regelung für Beendigung der Nutzung (z.B. Beendigung des Arbeitsverhältnisses oder Missbrauch)
–
Sicherungspflichten (z.B. sichere Passwörter)
–
Kostentragung
–
Hafung für Verlust oder Beschädigung
–
Lesen, Ändern, Löschen von Daten
–
Mimeilungspflicht bei Verlust / Diebstahl
–
Verwendung von Cloud-‐Diensten
12
© 2015 CA. ALL RIGHTS RESERVED.
Delete from yo presen
Arbeitsrechtliche Fragen §
Betriebsvereinbarung zwischen Arbeitgeber (AG) und zuständigem Betriebsrat –
Mitbes5mmungsrecht des Betriebsrates (§ 87 Abs.1 Nr.1 BetrVG: Verhaltensvorschrif über Umgang mit dem privaten Endgerät; Nr.2: Umgang mit dem Endgerät, S5chwort: Erreichbarkeit; Nr. 6: das Endgerät ist grds. zur Überwachung des Verhaltens oder der Leistung des Arbeitnehmers geeignet (z.B. Ortung über GPS, Verknüpfung von Daten wie Uhrzeit und Zugriff auf Unternehmensdaten)
13
© 2015 CA. ALL RIGHTS RESERVED.
Delete from yo presen
Arbeitsrechtliche Fragen S*chwort Kostentragung §
Kostentragung –
Sinnvoll ist es, den Abschluss eines Flatrate-‐Tarif durch den Arbeitnehmer zu vereinbaren; Beteiligung des Unternehmens an den Kosten bei gleichzei5ger Minimierung des Kostenrisikos
–
Op*onal: Kostenerstamung durch den Arbeitgeber gegen Einzelnachweis (hoher administra5ver Aufwand, Grundgebühr?)
–
Kompensa5on für die Zurverfügungstellung des privaten Endgeräts für die dienstliche Nutzung, denn grds stellt der Arbeitgeber die Betriebsmimel; empfehlenswert: Orien5erung an den marktüblichen Leasingraten
–
Alterna*v: Zahlung einer Pauschale sowohl für die Bereitstellung des Geräts als auch für die mit der betrieblichen Nutzung verbundenen Aufwendungen
–
Ausgestaltung der Regelung zur Kostenübernahme sollte befristet oder unter einen Änderungsvorbehalt gestellt werden
14
© 2015 CA. ALL RIGHTS RESERVED.
Delete from yo presen
Arbeitsrechtliche Fragen S*chwort Ha:ungsvereinbarung §
Hafungsvereinbarung –
Generell gilt: der Arbeitgeber hafet für den Verlust oder die Beschädigung, wenn diese durch ihn selbst zu vertreten ist, §§ 280, 241 BGB („Verschulden“); bei einem Verlust oder einer Beschädigung ohne Verschulden des Arbeitgebers hafet der Arbeitgeber verschuldensunabhängig, wenn das private Endgerät vom Arbeitnehmer zur Erfüllung seiner vertraglichen Pflichten eingesetzt wird; Hafung des Arbeitnehmers bei Verwirklichung des allgemeinen Lebensrisikos; Berücksich5gung der Grundsätze des innerbetrieblichen Schadensausgleichs zu Gunsten des Arbeitnehmers
–
Hafungsbegrenzung des Arbeitgebers durch Vereinbarung einer Abgeltung für mögliche Beschädigung oder Verlust?
–
Verpflichtung des Arbeitnehmers zur Reparatur oder Neuanschaffung im Fall der Beschädigung oder des Verlustes ohne betrieblich veranlasstes Tä5gwerden des Arbeitnehmers?
–
Mögliche Hafungsansprüche des Arbeitgebers, z.B. bei Virenbefall des IT-‐Systems
15
© 2015 CA. ALL RIGHTS RESERVED.
Delete from yo presen
Datenschutz und Datensicherheit – Mitarbeiter hat Zugriff auf Unternehmensdaten Szenario Mitarbeiter hat Zugriff auf Unternehmensdaten: – HR-‐, Einkaufs-‐, Vertriebsdaten mit Personenbezug; Speicherung der personenbezogene Daten auf dem Gerät des Mitarbeiters – Ferner: Protokollierung von Zugriff des Mitarbeiters
16
© 2015 CA. ALL RIGHTS RESERVED.
Delete from yo presen
Datenschutz und Datensicherheit – Mitarbeiter hat Zugriff §
Datenerhebung für eigene Geschäfszwecke / für Zwecke des Beschäfigungsverhältnisses (§§ 28, 32 BDSG); kann nicht herangezogen werden bei „gemischten“ (berufliche und private) Daten
§
Wich5g: Unternehmen bleibt verantwortliche Stelle iSd § 3 Abs.7 BDSG
§
Dringend erforderlich: Defini5on von Technischen und Organisatorischen Maßnahmen (§ 9 BDSG)
17
© 2015 CA. ALL RIGHTS RESERVED.
Delete from yo presen
Datenschutz und Datensicherheit – Technische und organisatorische Maßnahmen (Bsp.) §
Sofwaregestützte einheitliche, zentrale Konfigura5on und Verwaltung der Endgeräte
§
Alleinige Nutzung durch Mitarbeiter; Schutz vor Zugriff Drimer (insbesondere Familie, Freunde), ggfs. doppelter Passwortschutz (Gerät, Applika5on) oder Anlegen zwei verschiedener Nutzerprofile (privat / beruflich)
§
Kontroll-‐/Sicherungsmaßnahmen (Einhaltung bes5mmter Sicherheitsstandards, Einsatz von Security Tools wie bspw. Virenscanner / Verschlüsselung, evtl. abgesichert durch Kontrollrecht des Arbeitgebers, Untersagung der Nutzung von Cloud-‐Diensten wie Dropbox etc.?)
§
Neben Sicherheitsaspekten insbesondere Problem der Drimland-‐Übermimlung (§§ 4b, 4 c BDSG)
§
Mimeilungspflicht bei Verlust (§ 42a BDSG)
18
© 2015 CA. ALL RIGHTS RESERVED.
Delete from yo presen
Delete from yo presen
BYOD – Best Prac*ces §
Technische und juris5sche Due Diligence erforderlich: –
Systemarchitektur und Sicherheitsanforderungen
–
Datensicherheit und Datenschutz
–
Arbeits-‐ und lizenzrechtliche Aspekte
§
Technische Einsatzanforderungen und Hilfsmimel
§
Vertragliche Regelungen in den verschiedensten Rechtsbereichen prüfen bzw. entwerfen:
§
19
–
Nutzungsvereinbarung mit jedem Arbeitnehmer
–
Betriebsvereinbarung
–
Unternehmenslizenzverträge
Lizenzmanagement, Repor5ng, Audi5ng, Herausgabe
© 2015 CA. ALL RIGHTS RESERVED.
Delete from yo presen
BYOD – Best Prac*ces §
Appell an den gesunden Menschenverstand und das gesunde Urteilsvermögen schadet nie!
§
Proak5v technische Hilfe anbieten (z.B. bei Einbindung der privaten Endgeräte ins Unternehmensnetzwerk, Vorgabe bes5mmter Sofware-‐Releases, Hinweise und ggfs. Warnungen bei Updates Sofware Drimer etc.)
§
Hinweis, dass alle relevanten Unternehmensrichtlinien und -‐vorgaben entsprechend für private Geräte gelten
20
© 2015 CA. ALL RIGHTS RESERVED.