Bring Your Own Device Best Prac5ces BUJ Compliance Summit 2015

Bring  Your  Own  Device  –     Best  Prac5ces   BUJ  Compliance  Summit  2015   Thomas  Konowalczyk,  Vice  President  /  Associate  General  Counsel...
Author: Etta Beutel
10 downloads 1 Views 325KB Size
Bring  Your  Own  Device  –     Best  Prac5ces   BUJ  Compliance  Summit  2015   Thomas  Konowalczyk,  Vice  President  /  Associate  General  Counsel   CA  Technologies   08.10.2015  

Delete   from  yo presen

Agenda   1  

WAS  BEDEUTET  „BRING  YOUR  OWN  DEVICE“?  

2  

WAS  SPRICHT  FÜR  “BRING  YOUR  OWN  DEVICE”?  

3  

LIZENZRECHTLICHE  FRAGEN  

4  

ARBEITSRECHTLICHE  FRAGESTELLUNGEN  

5  

DATENSCHUTZRECHTLICHE  ASPEKTE  

6  

AUSGEWÄHLTES  ZUR  DATENSICHERHEIT  

2  

©  2015  CA.  ALL  RIGHTS  RESERVED.  

Was  bedeutet  „Bring  Your  Own  Device“?   §  BYOD  bezeichnet  die  Verwendung  von  dem  Arbeitnehmer   gehörenden    Endgeräten,  insbesondere     –  Smartphones,     –  Tablets,     –  PCs  und  Laptops,    

§  die  auf  Unternehmensinfrastruktur,  Unternehmensdaten  und   Unternehmensanwendungen  zugreifen.  

3  

©  2015  CA.  ALL  RIGHTS  RESERVED.  

Delete   from  yo presen

Was  spricht  für  „Bring  Your  Own  Device“?   §  Auf  Arbeitnehmerseite:  

–  Nutzerpräferenzen  stark  gerätespezifisch     –  Nutzerkomfort   –  Arbeitseffizienz  und  –mo5va5on  

§  Auf  Arbeitgeberseite:   –  –  –  – 

4  

Arbeitseffizienz  und  -­‐mo5va5on   Arbeitnehmerbindung     Image  des  Unternehmens   Kostenersparnis?    

©  2015  CA.  ALL  RIGHTS  RESERVED.  

Delete   from  yo presen

Lizenzrechtliche  Fragen   § 

Nutzung  von  Unternehmenssofware  auf  dem  privaten  Gerät  

§ 

Betriebliche  Nutzung  von  privat  lizenzierter  Sofware  auf  dem  privaten  Gerät  

§ 

Hafung  im  Zusammenhang  mit  Lizenzfragen  (verschuldensabhängig  und   verschuldensunabhängig)  

§ 

5  

Nicht  ordnungsgemäß  lizenzierte  Sofware  (z.B.  Raubkopien)  

©  2015  CA.  ALL  RIGHTS  RESERVED.  

Delete   from  yo presen

Nutzung  von  Unternehmenssofware  auf  privatem   Gerät   § 

Für  jede  Vervielfäl5gung  einer  Sofware  ist  eine  Lizenz  erforderlich;  „Zweitnutzung“  auf   privaten  Geräten  von  manchen  Sofware-­‐Herstellern  aber  regelmäßig  nicht  erlaubt    

§ 

Unternehmenslizenzverträge  müssen  geprüf  werden:  in  welchem  Umfang  erlauben  sie   solche  Zweitnutzungen,  ist  Einsatz  auf  Hardware  Drimer  überhaupt  auf  Basis  der   Unternehmenslizenzen  erlaubt  (of  nicht)  

§ 

6  

Entscheidend  ist  der  Lizenzvertrag:   – 

Lizenzmetrik  (z.B.  personengebundene  oder  gerätegebundene  Lizenz)  

– 

Lizenzmanagement  

– 

Gewerblicher  Einsatz    

– 

Privater  Einsatz  

©  2015  CA.  ALL  RIGHTS  RESERVED.  

Delete   from  yo presen

Nutzung  von  Unternehmenssofware  auf  privatem   Gerät   § 

Daher:   – 

Umfassende  Due  Diligence  der  bestehenden  Lizenzverträge  erforderlich,  bevor  BYOD-­‐Einsatz  in  der  Weise  erlaubt  wird,  dass  nur  für  das   Unternehmen  lizenzierte  Sofware  auch  auf  den  privaten  Endgeräten  eingesetzt  wird  

– 

– 

Auch  private  Endgeräte  müssen  in  das  unternehmensinterne  Lizenzmanagementprogramm  aufgenommen  werden:   § 

Inventarisierung  von  Sofware  

§ 

Repor5ng  

§ 

Löschung  bei  BYOD  Geräteaufgabe  

§ 

Rückführung  freier  Lizenzen  

Nutzung  von  Unternehmenslizenzen  durch  den  Arbeitnehmer  auf  einem  privaten  Gerät  bedarf  vertraglicher  Vereinbarung  mit  Arbeitnehmer   (z.B.  im  Rahmen  einer  Betriebsvereinbarung  und  /  oder  individueller  Arbeitnehmer-­‐Vereinbarung)  zur  Sicherstellung:   § 

Informa5on  und  Mitwirkung  des  Arbeitnehmers  bei  Lizenzmanagement  

§ 

Eröffnung  arbeitsrechtlicher  Konsequenzen  im  Verletzungsfall  /  Schadensersatzansprüche  

 

7  

©  2015  CA.  ALL  RIGHTS  RESERVED.  

Delete   from  yo presen

Nutzung  von  privat  lizenzierter  Sofware  für   betriebliche  Zwecke   § 

Nutzungseinschränkungen  für  Sofware  beachten  (z.B.  konkrete  Sofware  ist  nur  für  den   eigenen  oder  auch  für  fremden  Gebrauch  lizenziert)  

§ 

Arbeitnehmer  braucht  natürlich  für  jede  Sofware  auf  seinem  Gerät  eine  Lizenz.  Hat  er  diese   nicht,  stellen  sich  folgende  Fragen:   – 

„Störerhafung“  des  Unternehmens,  wenn  dieses  BYOD-­‐Einsatz  erlaubt  bzw.  nicht  verhindert  hat?  

– 

Hafung  des  Unternehmens  nach  §  99  UrhG?  

– 

Erstamungsanspruch  des  Arbeitnehmers  für  Lizenzkosten,  die  er  aufwenden  muss,  wenn  ihm  die  betriebliche  Nutzung   privater  Sofware  abverlangt  wird  

– 

8  

Freistellungsansprüche  des  Arbeitnehmers?  

©  2015  CA.  ALL  RIGHTS  RESERVED.  

Delete   from  yo presen

Delete   from  yo presen

Hafung  bei  Verstößen   § 

Verschuldensunabhängige  Hafung,  gerichtet  auf  Unterlassung  

§ 

Verschuldensabhängige  Hafung,  gerichtet  auf  Schadenersatz  

§ 

Hafung  des  Unternehmensinhabers,  §  99  UrhG  (Unterlassung  /  Schadensersatz)   – 

Inhaber  des  Unternehmens  ist  nicht  nur  der  Eigentümer,  sondern  derjenige,  unter  dessen  Namen  der  Betrieb  geführt   wird  

– 

Jede  Verletzung  von  Urheberrechten  im  Unternehmen  durch  einen  Arbeitnehmer  oder  Beaufragten  (uU  auch   Leiharbeitnehmer!)  

§ 

9  

Hafung  der  Organe  des  Unternehmens,  insbesondere  der  Geschäfsführer,  §  43  GmbHG  

©  2015  CA.  ALL  RIGHTS  RESERVED.  

Nicht  ordnungsgemäß  lizenzierte  Sofware  (z.B.   Raubkopie)     § 

Für  Unternehmenssofware,  die  der  Arbeitnehmer  auf  eigenes  Gerät  geladen  hat,  dürfe   Arbeitgeber  vom  SW-­‐Hersteller  unmimelbar  in  Anspruch  genommen  werden  dürfen:   – 

Interne  Organisa5onspflicht  im  Bereich  Lizenzmanagement,  unautorisierte  Downloads  zu  unterbinden  (technisch,   rechtlich  und  organisatorisch)  

– 

Falls  Zus5mmung  des  Arbeitgebers  für  Vervielfäl5gung  erfolgt  (ohne  hierzu  lizenzrechtlich  berech5gt  zu  sein),  kommt   auch  strafrechtliche  Verantwortlichkeit  in  Betracht  

§ 

Für  private  Sofware  des  Arbeitnehmers  auf  seinem  eigenen  Gerät:   – 

Allenfalls  Störerhafung  des  Arbeitgebers  (sofern  dieser  die  Nutzung  solcher  Privatsofware  ini5iert  oder  gewollt  hat)  

– 

Inanspruchnahme  des  Arbeitgebers  auf  Unterlassung  und  ggf.  sogar  Schadensersatz  kann  nicht  ausgeschlossen   werden,  wenn  dieser  BYOD  erlaubt  und  fördert,  ohne  sich  um  lizenzrechtliche  Themen  zu  kümmern!  

10  

©  2015  CA.  ALL  RIGHTS  RESERVED.  

Delete   from  yo presen

Lizenzrechtliche  Fragen  –   Best  Prac*ces     § 

Entwicklung  bzw.  Anpassung  von  unternehmensinternen  IT-­‐Richtlinien  

§ 

Sofware-­‐  und  Hardware  Asset  Management  auf  Basis  einer  anfänglichen  Erhebung  

§ 

“Auditrecht”  des  Arbeitgebers  bezüglich  der  privaten  Geräte  

§ 

Abschluss  von  Lizenzverträgen,  die  BYOD  bereits  berücksich5gen  (Kostenkontrolle)  

11  

©  2015  CA.  ALL  RIGHTS  RESERVED.  

Delete   from  yo presen

Arbeitsrechtliche  Fragen   § 

Abschluss  einer  Nutzungsvereinbarung  in  Form  einer  Individualvereinbarung  zwischen   Arbeitgeber  und  Arbeitnehmer  über  die  freiwillige  Nutzung  des  privaten  Endgerätes  mit   Regelungen  über  z.B.:     – 

Ausschluss  der  Überlassung  an  Drime,    

– 

Trennung  von  privaten  und  beruflichen  Daten  („Containerlösung“,  Fernwartung  /  Fernsperrung)  

– 

Regelung  für  Beendigung  der  Nutzung  (z.B.  Beendigung  des  Arbeitsverhältnisses  oder  Missbrauch)  

– 

Sicherungspflichten  (z.B.  sichere  Passwörter)    

– 

Kostentragung    

– 

Hafung  für  Verlust  oder  Beschädigung  

– 

Lesen,  Ändern,  Löschen  von  Daten    

– 

Mimeilungspflicht  bei  Verlust  /  Diebstahl  

– 

Verwendung  von  Cloud-­‐Diensten  

  12  

©  2015  CA.  ALL  RIGHTS  RESERVED.  

Delete   from  yo presen

Arbeitsrechtliche  Fragen   § 

Betriebsvereinbarung  zwischen  Arbeitgeber  (AG)  und  zuständigem  Betriebsrat   – 

Mitbes5mmungsrecht  des  Betriebsrates  (§  87  Abs.1  Nr.1  BetrVG:  Verhaltensvorschrif  über  Umgang  mit  dem  privaten   Endgerät;    Nr.2:  Umgang  mit  dem  Endgerät,  S5chwort:  Erreichbarkeit;  Nr.  6:  das  Endgerät  ist  grds.  zur  Überwachung   des  Verhaltens  oder  der  Leistung  des  Arbeitnehmers  geeignet  (z.B.  Ortung  über  GPS,  Verknüpfung  von  Daten  wie   Uhrzeit  und  Zugriff  auf  Unternehmensdaten)  

 

13  

©  2015  CA.  ALL  RIGHTS  RESERVED.  

Delete   from  yo presen

Arbeitsrechtliche  Fragen   S*chwort  Kostentragung   § 

Kostentragung   – 

Sinnvoll  ist  es,  den  Abschluss  eines  Flatrate-­‐Tarif  durch  den  Arbeitnehmer  zu  vereinbaren;  Beteiligung  des   Unternehmens  an  den  Kosten  bei  gleichzei5ger  Minimierung  des  Kostenrisikos  

– 

Op*onal:  Kostenerstamung  durch  den  Arbeitgeber  gegen  Einzelnachweis  (hoher  administra5ver  Aufwand,   Grundgebühr?)    

– 

Kompensa5on  für  die  Zurverfügungstellung  des  privaten  Endgeräts  für  die  dienstliche  Nutzung,  denn  grds  stellt  der   Arbeitgeber  die  Betriebsmimel;  empfehlenswert:  Orien5erung  an  den  marktüblichen  Leasingraten  

– 

Alterna*v:  Zahlung  einer  Pauschale  sowohl  für  die  Bereitstellung  des  Geräts  als  auch  für  die  mit  der  betrieblichen   Nutzung  verbundenen  Aufwendungen  

– 

Ausgestaltung  der  Regelung  zur  Kostenübernahme  sollte  befristet  oder  unter  einen  Änderungsvorbehalt  gestellt   werden  

 

 

14  

©  2015  CA.  ALL  RIGHTS  RESERVED.  

Delete   from  yo presen

Arbeitsrechtliche  Fragen   S*chwort  Ha:ungsvereinbarung   § 

Hafungsvereinbarung   – 

Generell  gilt:  der  Arbeitgeber  hafet  für  den  Verlust  oder  die  Beschädigung,  wenn  diese  durch  ihn  selbst  zu  vertreten   ist,  §§  280,  241  BGB  („Verschulden“);    bei  einem  Verlust  oder  einer  Beschädigung  ohne  Verschulden  des  Arbeitgebers   hafet  der  Arbeitgeber  verschuldensunabhängig,  wenn  das  private  Endgerät  vom  Arbeitnehmer  zur  Erfüllung  seiner   vertraglichen  Pflichten  eingesetzt  wird;  Hafung  des  Arbeitnehmers  bei  Verwirklichung  des  allgemeinen  Lebensrisikos;   Berücksich5gung  der  Grundsätze  des  innerbetrieblichen  Schadensausgleichs  zu  Gunsten  des  Arbeitnehmers  

– 

Hafungsbegrenzung  des  Arbeitgebers  durch  Vereinbarung  einer  Abgeltung  für  mögliche  Beschädigung  oder  Verlust?  

– 

Verpflichtung  des  Arbeitnehmers  zur  Reparatur  oder  Neuanschaffung  im  Fall  der  Beschädigung  oder  des  Verlustes   ohne  betrieblich  veranlasstes  Tä5gwerden  des  Arbeitnehmers?  

– 

Mögliche  Hafungsansprüche  des  Arbeitgebers,  z.B.  bei  Virenbefall  des  IT-­‐Systems  

  15  

©  2015  CA.  ALL  RIGHTS  RESERVED.  

Delete   from  yo presen

Datenschutz  und  Datensicherheit  –   Mitarbeiter  hat  Zugriff  auf  Unternehmensdaten   Szenario   Mitarbeiter  hat  Zugriff  auf  Unternehmensdaten:   –  HR-­‐,  Einkaufs-­‐,  Vertriebsdaten  mit  Personenbezug;  Speicherung  der  personenbezogene   Daten  auf  dem  Gerät  des  Mitarbeiters   –  Ferner:  Protokollierung  von  Zugriff  des  Mitarbeiters  

16  

©  2015  CA.  ALL  RIGHTS  RESERVED.  

Delete   from  yo presen

Datenschutz  und  Datensicherheit  –   Mitarbeiter  hat  Zugriff   § 

Datenerhebung  für  eigene  Geschäfszwecke  /  für  Zwecke  des  Beschäfigungsverhältnisses   (§§  28,  32  BDSG);  kann  nicht  herangezogen  werden  bei  „gemischten“  (berufliche  und   private)  Daten  

§ 

Wich5g:  Unternehmen  bleibt  verantwortliche  Stelle  iSd  §  3  Abs.7  BDSG  

§ 

Dringend  erforderlich:  Defini5on  von  Technischen  und  Organisatorischen  Maßnahmen  (§  9   BDSG)  

17  

©  2015  CA.  ALL  RIGHTS  RESERVED.  

Delete   from  yo presen

Datenschutz  und  Datensicherheit  –   Technische  und  organisatorische  Maßnahmen  (Bsp.)   § 

Sofwaregestützte  einheitliche,  zentrale  Konfigura5on  und  Verwaltung  der  Endgeräte  

§ 

Alleinige  Nutzung  durch  Mitarbeiter;  Schutz  vor  Zugriff  Drimer  (insbesondere  Familie,  Freunde),  ggfs.   doppelter  Passwortschutz  (Gerät,  Applika5on)  oder  Anlegen  zwei  verschiedener  Nutzerprofile  (privat  /   beruflich)  

§ 

Kontroll-­‐/Sicherungsmaßnahmen  (Einhaltung  bes5mmter  Sicherheitsstandards,  Einsatz  von  Security  Tools   wie  bspw.  Virenscanner  /  Verschlüsselung,  evtl.  abgesichert  durch  Kontrollrecht  des  Arbeitgebers,   Untersagung  der  Nutzung  von  Cloud-­‐Diensten  wie  Dropbox  etc.?)  

§ 

Neben  Sicherheitsaspekten  insbesondere    Problem  der  Drimland-­‐Übermimlung  (§§  4b,  4  c  BDSG)  

§ 

Mimeilungspflicht  bei  Verlust  (§  42a  BDSG)  

18  

©  2015  CA.  ALL  RIGHTS  RESERVED.  

Delete   from  yo presen

Delete   from  yo presen

BYOD  –   Best  Prac*ces     § 

Technische  und  juris5sche  Due  Diligence  erforderlich:   – 

Systemarchitektur  und  Sicherheitsanforderungen  

– 

Datensicherheit  und  Datenschutz  

– 

Arbeits-­‐  und  lizenzrechtliche  Aspekte  

§ 

Technische  Einsatzanforderungen  und  Hilfsmimel  

§ 

Vertragliche  Regelungen  in  den  verschiedensten  Rechtsbereichen  prüfen  bzw.  entwerfen:  

§ 

19  

– 

Nutzungsvereinbarung  mit  jedem  Arbeitnehmer  

– 

Betriebsvereinbarung  

– 

Unternehmenslizenzverträge  

Lizenzmanagement,  Repor5ng,  Audi5ng,  Herausgabe  

©  2015  CA.  ALL  RIGHTS  RESERVED.  

Delete   from  yo presen

BYOD  –     Best  Prac*ces   § 

Appell  an  den  gesunden  Menschenverstand  und  das  gesunde  Urteilsvermögen  schadet  nie!  

§ 

Proak5v  technische  Hilfe  anbieten  (z.B.  bei  Einbindung  der  privaten  Endgeräte  ins   Unternehmensnetzwerk,  Vorgabe  bes5mmter  Sofware-­‐Releases,  Hinweise  und  ggfs.   Warnungen  bei  Updates  Sofware  Drimer  etc.)  

§ 

Hinweis,  dass  alle  relevanten  Unternehmensrichtlinien  und  -­‐vorgaben  entsprechend  für   private  Geräte  gelten  

20  

©  2015  CA.  ALL  RIGHTS  RESERVED.  

Suggest Documents