Sascha Kremer:Bring Your Own Device
37. Datenschutzfachtagung 2013, Forum 1:
Zugriff des Arbeitgebers auf die Mitarbeiterkommunikation
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
2
Was?
Überblick
Sachenrecht
Arbeitsrecht
Datenschutz & Datensicherheit
Ausblick
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
3
Überblick
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
4
Neu?
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
5
Device?
Smartphone
•Android•iOS•Blackberry 10•Windows Phone 8
Tablets
•Android•iOS•Windows RT•Windows 8
Notebooks
•Windows•Mac OS•Linux
Services
•Apps•Cloud
14.11.2013
Bring Your Own Device?
Bring Your Own Anything!
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
6
Bring Your Own?
•Beschaffung durch AN •Eigentum des AN•Besitz des AN
Your Own
•Nutzung für AG•Ersatz/Ergänzung Betriebsmittel des AG
Bring
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
7
Motive
Verbesserung Image
des AG Verbesserung Zufriedenheit
und Motivation der AN
Befriedigung Erwartung
der AN
Verbesserung Effizienz
der AN
Reduzierung Kosten
des AG
Verbesserung der
Mobilität der AN
Befriedigung Marken-/
Geräteaffinität der AN
14.11.2013
Verbesserung Image
des AG Verbesserung Zufriedenheit
und Motivation der AN
Befriedigung Erwartung
der AN
Verbesserung Effizienz
der AN
Reduzierung Kosten
des AG
Verbesserung der
Mobilität der AN
Befriedigung Marken-/
Geräteaffinität der AN
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
8
Samsung Mobile BYOD Index 2013
81%
78%
14.11.2013
Entscheider
AN
Having a Single Mobile Device Helps Balance Employee Personal
and Work Lives
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
9
Samsung Mobile BYOD Index 2013
14.11.2013
29%• Verlust
kritischer geschäftlicher Daten
39%• Richtlinie für
die Nutzung von „Own Devices“
10%• In den
vergangenen 2 Jahren keine Probleme durch BYOD
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
10
Verbreitunginternational
14.11.2013
93%• der AN
nutzen private Geräte beruflich in Südkorea (ZDNet 2012)
95%• größerer
US-Companies erlauben AN die Nutzung privater Geräte (CW UK 2012)
50%• größerer
US-Companies haben BYOD-Richtlinien (CW UK 2012)
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
11
Verbreitungnational
14.11.2013
75%• aller AN in
D haben private Geräte bei der Arbeit dabei (SZ 2012)
55%• aller AN in
D betrachten die Nutzung privater Geräte bei der Arbeit als ihr Recht (Fortinet 2012)
30%• aller AN in
D ignorieren vom AG erteilte BYOD Verbote (Fortinet 2012)
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
12
Sachenrecht
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
13
Bedeutung
14.11.2013
Herausgabe-/Besitzschutzansprüche
• AG gegen AN• AN gegen AG• AN/AG gegen Dritte
Zugangsrechte
• AN zur Privatnutzung• AG zwecks Verwaltung („remote wipe“)
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
14
Eigentum Eigentum AN
Rechte AG?
Rechte Familie?Rechte
Dritter?
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
15
Besitz des AG?
AG
Mittelbarer Besitz§ 868 BGB
Teilbesitz§ 865 BGB
Mitbesitz§ 866 BGB
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
16
Mitbesitz als Lösung?
14.11.2013
Besitz des AN
(teilweise) Übertragung
auf AGAusübung für AG durch AN
als Besitzdiener
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
17
Arbeitsrecht
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
18
Bedeutung
Vergütung
• Betriebskosten• Erhaltungskosten
Wartung
• Mobile Device Management• Ersatzbeschaffung
Betriebsrat
Arbeitszeit
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
19
Vergütung: Anspruch des AN
Privateigentum als Betriebsmittel
(gegen § 615 S. 3 BGB)
Auftrag des AG§ 662 BGB
Ersatzanspruch AN§ § 670, 669 BGB
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
20
Vergütung:Gegenstand des Anspruchs
14.11.2013
Betrieb• Grundkosten• Nutzung
Erhaltung• Versicherung• Beschaffung
Ersatzgerät
Updates• System• Apps
Steuerrechtliche Auswirkungen
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
21
Entscheidung des AN
Wartung: Ausgangslage
Eigentum AN
Betriebliche Nutzung
Verfügbarkeit des Device
Kontrolle des Device
Private Nutzung
SpieleUnterhaltung
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
22
Wartung:Inhalt der Vereinbarung
Wer führt durch?
Wann und wie schnell?
Wer beschafft
Ersatzgerät?
Wer trägt die
Kosten?
Wer sichert das
Device?
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
23
Wartung:Rechtsrahmen
14.11.2013
Nicht:
Direktionsrecht
Nicht:
IT-Richtlinie
Ausschließlich:Individualvereinbarung (Grenze §§ 305 ff. BGB)
Device des AN
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
24
Betriebsrat
14.11.2013
Unterrichtung§ 80 Abs. 2 S. 1
BetrVG
•Ja: BYOD•Ja: MDM
Mitbestimmung§ 87 Abs. 1 Nr. 6
BetrVG
•Nein: BYOD•Ja: MDM•Ja: Kollektivregelungen
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
25
Arbeitszeit Arbeitszeit § 3 ArbZGRuhezeit
§ 5 I ArbZG
14.11.2013
Dauerbereitschaft am privaten Device?
Mitbestimmung, § 87 Abs. 1 Nr. BetrVG?
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
26
Datenschutz und Datensicherheit
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
27
BDSGanwendbar
14.11.2013
Arbeitgeber= verantwortliche Stelle
Device= Datenverarbeitungsanlage
Betriebliche Nutzung= kein privater/familiärer Einsatz
Nicht AN(keine ADV)
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
28
Pflichten
14.11.2013
Umgang mit pbD
Erlaubnis§ 4 Abs. 1 BDSG• Einwilligung• Gesetz• BV
TOM§ 9 BDSG• Einbindung Device in IT des
AG• Nutzung Device durch AG
für AN
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
29
Denkbare TOM (Auswahl)
Schutz von Daten auf Device vor Verlust
Trennung betrieblicher und privater Daten
Löschung betrieblicher Daten auf Device
Verbot der Nutzung (privater) Cloud-LösungenVerbot von Jailbreaks auf
dem DeviceAbsicherung von Zugriffen über ungesichertes WLAN
Aussperren von (unsicheren) Apps
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
30
Beispiel:Backup vom Device des AN
14.11.2013
AG-Daten nicht auf Device
•VPN•Sandbox (eigene App/s)•Kein Backup nötig
AG-Daten auf
Device
•Backup durch AN (in der Cloud) bei Verschlüsselung•Backup durch AG (mit privaten Daten des AN)
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
31
Beispiel:Fernzugriff AG auf Device
Fernzugriff zwingend erforderlich
Durchsetzung IT-Sicherheit (RL aus MDM auf Device)
Fernlöschung nach Verlust (Remote
Wipe)
Kontrolle der Nutzung durch AN
(z.B. Apps)
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
32
Ausblick
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
33
Vorgehen bei geordneter Einführung
Klärung Ziele und Strategie
Evaluation und Erstellung Strategie für Sicherheit der „Own Devices“
Auswahl zulässiger „Own Devices“ und nutzbarer Dienste im Unternehmen(Support)
Anpassung von Leitlinien, Konzepten und RichtlinienVereinbarung mit AN (und Betriebsrat)
Umsetzung MDM und BYOD
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
34
Probleme von BOYD
BYOD
Kein Ersatz für eigene IT-Infrastruktur
Zersplitterung IT-
Infrastruktur
Aufwand für Vereinbarungen mit AN (und Betriebsrat)
Kosten für Abgeltung Ansprüche
AN Risiken für Datenschutz
und Datensicherheit
14.11.2013
BYOD
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
35
Alternativen zu BYOD
BYOD
Verbot
Beschaffung ansprechender Devices durch AG
Beschränkung auf bestimmte AN oder Bereiche
Probleme ignorieren wie bei Social Media und Cloud
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
36
Fragen? Fragen!
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
37
Vielen Dank für Ihre Aufmerksamkeit!Sascha Kremer, Rechtsanwalt & Datenschutzbeauftragter
T: +49(221)55400170 | @: [email protected]
14.11.2013