CeBIT 2013, Hannover ECM-Forum „Shared Content“

Rechtliche Aspekte von BYOD-Bring

your own device

Ulrich Emmert – esb Rechtsanwälte

06.03.2013, 12:00 Uhr

© e|s|b Rechtsanwälte

2011 2

„Bring your Own Device“

• Vermischung von privaten und dienstlichen Daten

• Eingeschränkte Kontrollmöglichkeit des Arbeitgebers

• Resultierendes Sicherheitsrisiko wegen schwieriger zentraler Steuerung von Antivirus und Client Security Software

• Völlig uneinheitliche Hardware

• Keine umfassende Unterstützung durch Support und IT-Sicherheit

© e|s|b Rechtsanwälte

2011 3

„Bring your own device“

• Druck durch Vorgesetzte, die nicht auf Iphone/Ipad/Android Smartphone verzichten wollen

• Verwendung privater Notebooks/Netbooks/Tablets

• Virusgefahr bei Verwendung außerhalb geschützter Infrastruktur

• Infektionsgefahr durch Anschluss privater Datenträger

Verlustrisiken

• Kontaktdaten bei Vertriebsmitarbeitern

• Geschäftsgeheimnisse

• VPN-Zugangsdaten

• Zugänge zu Speichermedien

• Zugänge zu VoIP-TK-Anlagen

• Peinliche Fotos/Videos zur Erpressung von Mitarbeitern

• Imageverluste durch peinliche private Videos im Zusammenhang mit dienstlicher Nutzung des Gerätes

4

Haftung beim Verlust von mobilen

Endgeräten

• Verlieren als Beispiel leichter Fahrlässigkeit

• Diebstahl durch Dritte ohne Fahrlässigkeit des Mitarbeiters

• In beiden Fällen Haftung der Firma, da Mitarbeiter bei leichter Fahrlässigkeit nicht haftet und Dieb in der Regel nicht ermittelt werden kann

5

© e|s|b Rechtsanwälte

2011 6

BAG Urteil Verwendung privater Datenträger

• BAG Urteil vom 24.03.2011, AZ 2 AZR 282/10

• Verwendung privater Datenträger berechtigt nicht zur fristlosen Kündigung ohne Abmahnung

• Unverschlüsselte Speicherung mit einfachem Passwort berechtigt selbst bei IT-Leiter nicht zur fristlosen Kündigung ohne Abmahnung

Grenzen der Überwachung eigener Geräte

• Art 13 GG Unverletzlichkeit der Wohnung

• Eigentumsrecht des Mitarbeiters

– Reglementierung von Zugriffsrechten

– Verbot von privaten Daten unmöglich

– Verbot von Multimediaplayern unmöglich

– Verbot von sozialen Netzwerken und Instant Messengern unmöglich -> Gefahr unbemerkter privater Kommunikation

– Gefahr von Datenlecks

7

Installation eigener Verschlüsselungs-

software durch Mitarbeiter

• Gefahr des Datenverlusts für Unternehmen falls dienstliche Daten verschlüsselt werden

• Gefahr des Datenverlusts wenn aus dem Unternehmen verschlüsselte Tunnel mit eigener Software aufgebaut werden

• Gefahr nicht vollständiger Archivierung von Kommunikation nach Archivierungsvorschriften

• Gefahr illegaler Software

• Gefahr von Trojanern / Malware

8

Juristische Anforderungen bei

Bring your Own Device

• § 109 TKG verlangt Datensicherheit im Netz

• § 31 BDSG verlangt Aufrechterhaltung der Netzwerksicherheit

• § 9 BDSG erfordert technische und organisatorische Maßnahmen des Unternehmens, die das Unternehmen selbst beherrschen kann

• § 17 UWG, $ 5 BDSG und Arbeitsvertrag verlangen von den Mitarbeitern Geheimhaltung von Geschäftsgeheimnissen und personenbezogenen Daten

9

Staatliche Überwachungsmaßnahmen

• Bei Ermittlungen gegen Mitarbeiter werden Firmendaten erfasst

• Bei dienstlicher Nutzung der Geräte ggf. Verantwortlichkeit des Unternehmens für Urheberrechtsverletzungen

• Gefahr der Quellen TKÜ bzw. der Onlinedurchsuchung bei dienstlich genutzten Geräten

10

Quellen-TKÜ vs. Online-Durchsuchung

• Quellen-TKÜ beschränkt sich auf TK-Vorgänge nach

Einrichtung der Überwachung

• Quellen-TKÜ schon bei Befugnis zur TK-Überwachung

zulässig

• Chat, E-Mail, Skype ist Kommunikation

• Keylogging, Screenshots, Kamera und Mikrofon sind

bei reiner Quellen-TKÜ nicht erlaubt

• Online-Durchsuchung ermöglicht Durchsuchung auch

bestehender Inhalte auf fremden Computersystemen

unabhängig von Kommunikation

– § 20 l BKA-Gesetz

– SOG Nds, SOG MV etc.

Quelle: GEA

© e|s|b Rechtsanwälte

2011 15

Sicherheit bei Mail und SMS

107 TKG

• Der Diensteanbieter hat die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um Fehlübermittlungen und das unbefugte Offenbaren von Nachrichteninhalten innerhalb seines Unternehmens oder an Dritte auszuschließen.

• Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

• Soweit es im Hinblick auf den angestrebten Schutzzweck erforderlich ist, sind die Maßnahmen dem jeweiligen Stand der Technik anzupassen.

© e|s|b Rechtsanwälte

2011 16

Datenschutz installierter Programme

• Das Mobiltelefon gehört trotz der darauf installierten Programme ausschließlich seinem Nutzer, der Hersteller darf dem Nutzer keine Vorschriften bzgl. der darauf zu installierenden Programme machen

• Die US-Regierung hat das „Jailbreaking“ von Telefonen erlaubt, um zu verhindern, dass ein Telefonanbieter die Installation von Fremdsoftware komplett unterbindet, wie es Apple über seinen iTunes Store versucht.

http://news.yahoo.com/s/ap/20100726/ap_on_hi_te/us_tec_digital_copyright

Rooten und Jailbreaken

• Erlangung des Root-Zugriffs in der Regel keine Urheberrechtsverletzung

• Installation von Schwarzmarktapplikationen wie Blackmart und Installous nur dann strafbar, wenn kein legaler Zweck erkennbar ist

• Strafbarkeit von Raubkopien

• Ausnutzung von Sicherheitslücken

• Unternehmensrichtlinien zum Patchen von lückenhaften Versionen

17

© e|s|b Rechtsanwälte

2011 18

Remote Löschen

Google löscht Android-App auf Smartphones aus der Ferne [Update] Erstmals hat Google von der Möglichkeit Gebrauch gemacht, über die in Android implementierte Sicherheitsfunktion "Remote Application Removal" Apps auf Smartphones von Anwendern zu löschen. Konkret handelte es sich um zwei Anwendungen von Sicherheitsforschern von TippingPoint, die die Apps in Umlauf gebracht hatten, um zu zeigen, wie leicht sich eine bösartige Anwendung auf Tausenden von Android-Smartphones und per Jailbreak modifizierten iPhones bringen lässt. […]

Quelle: Heise Newsticker 25.06.2010

© e|s|b Rechtsanwälte

2011 19

Einwilligung zum Löschen von

Programmen

• Löschen von Programmen auf Anforderung des Telefonherstellers ist nur mit Einwilligung erlaubt, § 4 BDSG, § 13 TMG

• Einwilligung muss klar durch den User erkennbar sein, bei einer Einwilligung zum Löschen von Daten auf dem Telefon des Nutzers zu Zwecken des Herstellers kann der Hersteller nicht davon ausgehen, dass der Nutzer damit rechnen kann

– überraschende Klausel nach § 305c BGB

– datenschutzrechtlich unzulässig, da hier Nutzer gezwungen wird, dass Hersteller in Daten eingreift, die Daten aus dem persönlichen Lebensbereich enthalten können, Eingriff in das vom BVerfG geschaffene Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme

– Nutzer wird in seinem Entscheidungsfreiraum unangemessen benachteiligt, 307 BGB

• bei Virenscanner ist Löschen von Programmen bzw. Dateien zentraler Leistungsinhalt des Programms und vom User gewünscht

© e|s|b Rechtsanwälte

2011 20

Zulässigkeit des Fernzugriffs durch

Behörden

• Möglichkeit des Fernzugriffs durch richterlich angeordnete Online-Durchsuchungen

• NRW Gesetz zur Online-Durchsuchung wurde 2008 vom BVerfG für verfassungswidrig erklärt

© e|s|b Rechtsanwälte

2011 21

Iphone Standortdaten

© e|s|b Rechtsanwälte

2011 22

Standortdaten für betriebliche

Zwecke

• Speicherung von Standortdaten für betriebliche Zwecke (WLAN, GPS)

• Erfassung von LKW-Flotten durch Speditionen

• bisher gesetzlich nicht geregelt, Güterabwägung des betrieblichen Nutzens mit den Persönlichkeitsrechten des Arbeitnehmers erforderlich

• nur mit Zustimmung des Betriebsrates, da zur Leistungskontrolle geeignet

© e|s|b Rechtsanwälte

2011 23

Rechte des Arbeitnehmers bzw. Betriebsrates

• Betriebsrat kann verlangen, dass GPS/WLAN-Positionsdaten nicht zur Leistungs- oder Verhaltenskontrolle verwendet werden

• Straftaten bzw. schwere Dienstvergehen dürfen durch rechtmäßig gesammelte Daten nachgewiesen werden

• keine GPS-Überwachung von Privat-PKW bzw. von Dienst-PKW/LKW während erlaubter Privatfahrten außerhalb der Dienstzeit

24

IT-Unfälle: Schadensersatz

• Alle Organisationen haften ihren Kunden (und ggf. ihren Mitarbeitern)

– zivilrechtlich auf Unterlassung und Schadensersatz

– für die vorsätzliche und fahrlässige Verletzung von Datensicherungspflichten (z.B. Virenverbreitung)

• Besondere Berufsträger und Anbieter von Telekommunikationsdiensten

– sind zudem zur Wahrung des Privat- und Fernmeldegeheimnisses verpflichtet

– können sich bei Verstoß daher zudem strafbar machen

• Amtsträger, Anwälte, StB/WP, Ärzte etc.

• Aber auch jeder Arbeitgeber, der Mitarbeitern Internet-/ Maildienste ermöglicht!

25

Haftung für „Datenschutzschäden“

• Verletzung von Datensicherungspflichten wegen

• interner Datenspionage (Geheimnisverrat)

• Datenspionage Dritter (z.B. Hacker)

• Datenverlust, Datenoffenbarung von pD an

Dritte

• Datenschutzrechtliche Verstöße keine Bagatelle:

• Schadensersatz...

– §§ 7, 8 BDSG: Vermutung, dass ein Schaden,

der durch unzulässige oder unrichtige Erhebung,

Verarbeitung oder Nutzung von

personenbezogenen Daten beim Betroffenen

eintritt, vom Verletzer verschuldet wurde

– Ist Verletzer eine öffentliche Stelle, haftet diese

sogar verschuldensunabhängig

– Freiheits-/Geldstrafen (z.B. § 44 BDSG)

• Bußgelder seit 1.9.2009 bis TEUR 300

26

Haftung nach TKG

• Haftungsbegrenzung auf 12.500 € je Nutzer, es sei denn Kunde erbringt selbst TK-Dienste

• Haftungsbegrenzung gegenüber anderen Anbietern mit mind. Mindesthaftsumme von dessen Kunden möglich

• Gesamthaftung 10 Mio € je schadensauslösendes Ereignis

27

Eckpunkte Düsseldorfer Kreis

18.3.2010

• Bisher keine gemeinsame Verantwortlichkeit

geregelt

• Bei managed Cloud Services gemeinsame

Verantwortung

• Düsseldorfer Kreis ist dafür, zukünftig auch gemeinsame verantwortliche Stellen zuzulassen

• Bezug zu Art. 2d der EU-Richtlinie

• Zukünftig evtl. Ansprüche gegen mehrere

verantwortliche Stellen möglich

Verantw. Stelle 1 Verantw. Stelle 2 Verantw. Stelle

Daten

AuftragsDV

Daten

28

BYOD und Kontrolle

Anzugeben sind

1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

29

Strafvorschriften

• §283 b Strafgesetzbuch: Verletzung der Aufbewahrungspflicht, z.B. durch Mailquota ohne Archivierungsmöglichkeit

• § 203 Verletzung von Privatgeheimnissen

• § 133 StGB Verwahrungsbruch: z.B. durch Mailquota im öffentlichen Dienst

• § 274 StGB Urkundeunterdrückung

• § 206 Bruch des Fernmeldegeheimnisses

• § 201 StGB Verletzung der Vertraulichkeit des Wortes bei UMS/VoIP-Anrufbeantworter

• § 201a StGB Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen

• § 44 BDSG vorsätzliche Datenschutzverletzung in Bereicherungs- oder Schädigungsabsicht

Offenlegungspflichtige Datenpannen

§ 3 Nr. 9 BDSG z.B. Daten zu Gesundheit, Religion, Sexualleben

Berufsgeheimnisse

Daten zu Straftaten

und

Ordnungswidrigkeiten

Bank- und Kreditkartendaten

Offenlegung nach TKG-Novelle

• neuer § 109a TKG: Benachrichtigung der Betroffenen und des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit

• Bei Sicherheitskonzept und z.B. verschlüsselter Speicherung keine Benachrichtigung erforderlich es sei denn BNetzA verlangt sie

• Betroffene müssen über Maßnahmen der Schadensbegrenzung informiert werden

• Verzeichnis der TK-Diensteanbieter mit Angaben (5 Jahre Aufbewahrung):

– zu den Umständen der Verletzungen,

– zu den Auswirkungen der Verletzungen und

– zu den ergriffenen Abhilfemaßnahmen.

CeBIT 2013, Hannover ECM-Forum „Shared Content“

Vielen Dank für Ihr Interesse!

Weitere Informationen unter: www.ecm-navigator.de

und www.ecmtoday.de