Bring your own Device – BYOD

Als IT-Verantwortlicher richtig reagieren und rechtssicher gestalten

Horst Speichert

mit Unterstützung durch

2

Bring your own device - BYOD | Als IT-Verantwortlicher richtig reagieren und rechtssicher gestalten

InhaltVorwort ������������������������������������������������������������������������������������������������������������������ 3

Hinweis - Disclaimer ���������������������������������������������������������������������������������������������� 3

1� Duldung vermeiden, aktive Entscheidung fördern �������������������������������������������� 4

2� Aufklärung über Haftungsrisiken ����������������������������������������������������������������������� 4

2� 1 Pflichtwidrige Verwendung ������������������������������������������������������������������������������������ 4

2� 2 Ersatzpflicht bei ausdrücklicher Erlaubnis ������������������������������������������������������������ 4

2� 3 Checkliste für eine Haftungsklausel ���������������������������������������������������������������������� 5

2� 4 Vergütung für BYOD ���������������������������������������������������������������������������������������������� 5

3� Sicherheitsrisiken und Lösungskonzepte für BYOD ����������������������������������������� 5

4� Aufräumen mit Scheinargumenten für BYOD ���������������������������������������������������� 6

4� 1 Vordergründige Kostenvorteile ������������������������������������������������������������������������������ 6

4� 2 Tatsächliche Motive ����������������������������������������������������������������������������������������������� 6

5� Lösung der entstehenden Datenschutzprobleme ��������������������������������������������� 6

5� 1 Mobile Device Management, MDM ����������������������������������������������������������������������� 6

5� 2 Privatnutzung und Fernmeldegeheimnis ��������������������������������������������������������������� 7

5� 3 Notwendige rechtliche Gestaltungen �������������������������������������������������������������������� 7

5� 4 Ausscheidende Mitarbeiter ����������������������������������������������������������������������������������� 7

5� 5 Checkliste für eine Datenschutzeinwilligung ��������������������������������������������������������� 8

6� Abschluss einer Betriebsvereinbarung �������������������������������������������������������������� 8

6� 1 Mitbestimmungsrecht ������������������������������������������������������������������������������������������� 8

6� 2 Regelungspunkte einer Betriebsvereinbarung für BYOD �������������������������������������� 8

7� Policy für BYOD ������������������������������������������������������������������������������������������������ 9

7� 1 Mögliche Vertragsverletzungen ����������������������������������������������������������������������������� 9

7� 2 Regelungspunkte in Nutzungsrichtlinien ��������������������������������������������������������������� 9

8� Fazit �����������������������������������������������������������������������������������������������������������������10

9� Management Summary – Richtige Reaktion auf BYOD ����������������������������������10

Autor ��������������������������������������������������������������������������������������������������������������������11

3

Bring your own device - BYOD | Als IT-Verantwortlicher richtig reagieren und rechtssicher gestalten

Der vorliegende Leitfaden behandelt in kompakter Form die rechtlichen Aspekte von Bring your own Device.

VorwortDer Siegeszug von iPhone und Smartpad hat uns ein neues Phänomen be-schert� Bring your own Device (BYOD), die Nutzung von Privatgeräten wie Smartphones, Tablets Laptops etc� auch für dienstliche Zwecke im Unter-nehmensnetz� Die Verantwortlichen für IT-Sicherheit mögen darüber den Kopf schütteln, denn BYOD birgt erhebliche Sicherheitsrisiken; aber mit Bange-machen allein lassen sich Trends weder stoppen noch regeln� Um die privat-dienstliche Vermengung zu beherrschen, müssen die Verantwortlichen für IT-Sicherheit die technischen und organisatorischen Weichen aktiv stellen�

Hinweis - DisclaimerDieses Dokument ist keine Rechtsberatung, sondern ein allgemeiner Leitfaden ohne Bezug zum konkreten Einzelfall� Es ersetzt nicht die verbindliche Rechts-auskunft durch einen spezialisierten Anwalt� Bitte haben Sie Verständnis, dass trotz Sorgfalt bei der Erstellung eine Garantie oder Haftung für die inhaltliche Richtigkeit nicht übernommen wird� Grundsätzlich ist jedem Unternehmen an-zuraten, sich bei informations- oder datenschutzrechtlichen Fragen vor jeglicher Implementierung individuell rechtlich beraten zu lassen�

4

Bring your own device - BYOD | Als IT-Verantwortlicher richtig reagieren und rechtssicher gestalten

1. Duldung vermeiden, aktive Entscheidung fördernMeistens ist die Nutzung der Privatgeräte zumindest den Administratoren be-kannt und wird vom Arbeitgeber hingenommen, obwohl eine ausdrückliche Erlaubnis fehlt� Dies folgt schon aus der notwendigen technischen Integration der Privatgeräte in das Unternehmensnetzwerk, z� B� um die Weiterleitung der E-Mails zu ermöglichen� Eine ungeregelte Duldung aber ist zu vermeiden, weil in der Folge notwendige Sicherheitsmaßnahmen und Nutzungsrichtlinien unter-bleiben� Reine Passivität wäre eine Sorgfaltspflichtverletzung des Arbeitgebers sowie der IT-Verantwortlichen mit entsprechenden Haftungsfolgen� Werden z� B� Sicherheitslücken bei BYOD einfach hingenommen, kann ein Verstoß gegen § 9 BDSG oder vertragliche Sorgfaltspflichten vorliegen� IT-Verantwortliche sollten deshalb auf eine aktive Entscheidung pro oder contra BYOD dringen, um Klar-heit über die notwendigen Maßnahmen zu erlangen� In den meisten Fällen ist es erforderlich, hierfür den Kontakt mit den Entscheidern (Vorgesetzte, Leitungs-ebene) zu suchen�

2. Aufklärung über Haftungsrisiken2. 1 Pflichtwidrige VerwendungVerwendet ein Arbeitnehmer sein Privatgerät ohne Wissen und Erlaubnis des Arbeitgebers, verletzt er seine Arbeitspflichten� Die Mitarbeiter sollten deshalb auf mögliche Verstöße durch BYOD und das daraus resultierende Abmahn-risiko hingewiesen werden� Kommt es bei der unerlaubten Verwendung zu einem Verlust sensibler Daten, liegt möglicherweise sogar ein fristloser Kündi-gungsgrund vor�

2. 2 Ersatzpflicht bei ausdrücklicher ErlaubnisWenn BYOD ausdrücklich erlaubt wird, trifft den Arbeitgeber eine Ersatz-pflicht für verlorene oder beschädigte Privatgeräte� Nach der Rechtsprechung zum Ersatz von Unfallschäden während der Dienstfahrt mit dem Privat-Pkw ist lediglich ein innerer Zusammenhang zur Arbeitsleistung erforderlich, um einen Schadensersatzanspruch zu begründen� Ein innerer Zusammenhang zur Arbeitsleistung wird bei BYOD regelmäßig vorliegen, weil die Privatgeräte auch für dienstliche Zwecke genutzt werden� Als Abhilfe kann eine schriftliche Haf-tungsregelung mit dem Mitarbeiter getroffen werden, welche z� B� die Ersatz-pflichten des Arbeitgebers auf Vorsatz und grobe Fahrlässigkeit beschränkt�

5

Bring your own device - BYOD | Als IT-Verantwortlicher richtig reagieren und rechtssicher gestalten

2. 3 Checkliste für eine Haftungsklausel

• unverbindliche,jederzeitwiderrufbareVergünstigung,aufdiekeinAnspruchbesteht

• keineGewährfürdieFunktionsfähigkeitoderVerfügbarkeitderPrivatgeräte

• dienstlicheBelangedesArbeitgebershabenstetsVorrang

• HaftungsbegrenzungfürdiekostenfreieNutzungsmöglichkeitderPrivatgeräteaufVorsatzodergrobeFahrlässigkeitnach§521BGB

2. 4 Vergütung für BYODBezahlt der Arbeitgeber dem Mitarbeiter eine Vergütung für BYOD, wird seine Haftung in der Regel schon dadurch entfallen� Durch die Zahlung einer Vergütung kann das Verlust- und Schadensrisiko des Arbeitnehmers mitabgegolten werden, wenn die Vergütungshöhe angemessen ist� Auch die Zahlung einer Vergütung kann also der Haftungsbeschränkung des Arbeitgebers dienen�

3. Sicherheitsrisiken und Lösungskonzepte für BYODDie Verantwortlichen für IT-Sicherheit sollten v� a� auch auf die erheblichen Sich-erheitsrisiken von BYOD achten� Mobile Geräte gehen leicht verloren und werden häufig gestohlen. Trotzdem sind Smartphones und Tablets vielfach nicht mit sicheren Verschlüsselungslösungen vorgerüstet� In der Folge sind die sensiblen Daten des Unternehmens – z� B� im Rahmen der E-Mail-Kommunikation – akut gefährdet. Die Sicherheitsverantwortlichen tun deshalb gut daran, zunächst eine reine Terminalnutzung ohne Datenhaltung auf dem Mobile Device vorzuschlagen� Dies schränkt allerdings den Nutzerkomfort ein, weil stets eine Online-Verbindung erforderlich ist� Es muss deshalb stets mit einer Datenhaltung auf den mobilen Einheiten gerechnet werden, selbst wenn sie offiziell verboten wurde� Die IT-Sicherheit erfordert es deshalb, immer sichere Verschlüsselungstechnologie, z� B� von TrueCrypt oder PGP, nachzurüsten, um für alle Fälle gewappnet zu sein� Zudem sollte im Verlustfalle der mobilen Geräte eine Remote-Löschung der Daten technisch möglich sein�

6

Bring your own device - BYOD | Als IT-Verantwortlicher richtig reagieren und rechtssicher gestalten

4. Aufräumen mit Scheinargumenten für BYOD4. 1 Vordergründige KostenvorteileAls Argumente für BYOD werden vor allem Kostenvorteile genannt� Vorder-gründig entfallen z� B� hohe Anschaffungskosten für statusträchtige Smartphones� Dabei bleibt es aber nicht� Durch die Einbindung von BYOD in das Sicherheits-konzept kommen eine Vielzahl verschiedener Gerätetypen auf die Administra-tion des Unternehmens zu� Damit sind Sicherheitsrisiken verbunden, welche die IT-Verantwortlichen nur mit einem erhöhten Administrationsaufwand in den Griff bekommen� Jeder Gerätetyp muss gesondert verstanden, konfiguriert und installiert werden� Möglicherweise benötigen die Unternehmen unterschiedliche Software, die Zusatzkosten verursacht� Die IT-Verantwortlichen im Unternehmen sind gut beraten, die Entscheider über BYOD auf den Mehraufwand hinzuweisen, der die Kostenvorteile übersteigen könnte�

2. Tatsächliche MotiveAusschlaggebendes Motiv für BYOD ist vielmehr die hohe Erwartungshaltung im Social Media Zeitalter. Insbesondere leitende Angestellte wollen ihre status-trächtigen Privatgeräte stets verfügbar haben und vorzeigen� Aber auch die Interessen der Arbeitgeberseite spielen eine Rolle� Aus Sicht der Unternehmen erhöht BYOD die Erreichbarkeit der Mitarbeiter, da privates und dienstliches Umfeld verschmelzen� Nebeneffekt der Privatgeräte im Arbeitsbereich ist umge-kehrt die ständige Erreichbarkeit im Freizeitbereich, wo das selbe Kommunikati-onsmittel verwendet wird� Daraus kann dem Arbeitnehmer auch ein unfreiwilliger und unentgeltlicher Bereitschaftsdienst erwachsen�

5. Lösung der entstehenden Datenschutz-probleme5. 1 Mobile Device Management, MDM Die Einbindung in das Sicherheitskonzept wird häufig über ein „Mobile Device Management“ (MDM) realisiert� Das MDM ermöglicht den IT-Verantwortlichen eine sichere Konfiguration und Verwaltung aller mobilen und privaten Geräte� In der Folge tritt aufgrund anfallender Logfiles, der Einsichtnahme in E-Mails, der Geräteortung oder der Remote-Löschung der Datenschutz auf den Plan�

7

Bring your own device - BYOD | Als IT-Verantwortlicher richtig reagieren und rechtssicher gestalten

5. 2 Privatnutzung und FernmeldegeheimnisZusätzlich droht aufgrund der parallelen Privatnutzung die Geltung des Fern-meldegeheimnisses nach §§ 88 ff� TKG� Die Möglichkeit der Arbeitnehmer zur Privatnutzung von E-Mail, Internet oder Telefonie wird als TK-Dienstleistung des Arbeitgebers eingestuft� Nach herrschender Meinung wird ein Unterneh-men durch die erlaubte Privatnutzung zum TK-Anbieter. In der Folge gilt das Fernmeldegeheimnis nach dem TKG, da sich die Arbeitnehmer auf die Vertrau-lichkeit der privaten Kommunikation verlassen dürfen� Kontroll- oder Filter-maßnahmen sind unter dem strengen Regime des Fernmeldegeheimnisses aus Gründen des Datenschutzes problematisch� Bei Verstößen droht sogar ein Straftatbestand nach § 206 StGB�

5. 3 Notwendige rechtliche GestaltungenDie IT-Verantwortlichen sind daher gehalten, die Datenschutzfragen aktiv anzu-gehen, indem sie als Lösung rechtliche Gestaltungen vorschlagen� Notwendig ist wegen der stets einhergehenden Privatnutzung und dem Fernmeldegeheim-nis vor allem eine Legitimation durch die betroffenen Arbeitnehmer� BYOD kann also nur im Gegenzug zu Datenschutzeinwilligungen der Mitarbeiter in die notwendigen Sicherheitsmaßnahmen des MDM gestattet werden� Andernfalls sind Datenschutzverstöße vorprogrammiert�

5. 4 Ausscheidende MitarbeiterBesonders knifflig wird die Situation, wenn der Mitarbeiter das Unternehmen verlässt. Das Recht an den Daten folgt dem Recht am privaten Eigentum� He-rausgabeansprüche oder Remote-Löschung sind nur möglich, wenn bereits im Vorfeld eine Einwilligung des ausscheidenden Mitarbeiters eingeholt wird� Denn ein gekündigter Mitarbeiter könnte die freiwillige Zusammenarbeit verweigern�

8

Bring your own device - BYOD | Als IT-Verantwortlicher richtig reagieren und rechtssicher gestalten

5. 5 Checkliste für eine Datenschutzeinwilligung

6. Abschluss einer Betriebsvereinbarung6. 1 Mitbestimmungsrecht Wegen der bestehenden Kontrollmöglichkeiten ist das Mitbestimmungsrecht eventuell vorhandener Betriebsräte betroffen� Auf Wunsch müssen deshalb Betriebsvereinbarungen abgeschlossen werden, welche die Kontrolle und den Persönlichkeitsschutz der Beschäftigten regeln�

6. 2 Regelungspunkte einer Betriebsvereinbarung für BYOD

• UmfangdererlaubtenPrivatnutzung -Trennungprivater/dienstlicherDaten

• verboteneNutzungen,Nutzungsrichtlinien

• WelcheDatenwerdenerfasst? -Protokollierungen,statistischeAuswertungenetc.

• Technische Sicherheitsmaßnahmen -insbesondereMDM,Remote-Löschung,Verschlüsselung -Datensicherung,E-Mail-Archivierung

• Abwesenheitsregelung -Abwesenheitsnachricht,Weiterleitungs-/Stellvertreterregelung

• Kontrollprozedere -anonymeStichproben,personenbezogeneKontrolle

• KonsequenzenbeiVerstößen

• DatenschutzeinwilligungderMitarbeiter -alsVoraussetzungfürdieErlaubnisvonBYOD

• InformationdesMitarbeitersdarüber,dass -aufServernundSicherheitssystemenauchpersonenbezogeneLogfiles undDatenbetreffenddieprivateNutzungerhobenwerden -eineEinsichtnahmeinprivateNutzungs-undInhaltsdatenerfolgenkönnte,aufgrunddererforderlichenProtokollierung,AuswertungundGeräteortung -auchprivateDatenaufgrundeinerRemote-Löschungverlorengehenkönnten

• ZustimmungzurEinschränkungdesTKG(Fernmeldegeheimnis)

• AntragaufNutzungdesprivaten...(Smartphone,Tablet,Laptop)imdienstlichenUmfeld

• HinweisaufWiderrufsmöglichkeit

9

Bring your own device - BYOD | Als IT-Verantwortlicher richtig reagieren und rechtssicher gestalten

7. Policy für BYOD7. 1 Mögliche VertragsverletzungenDer Datenschutz bereitet Probleme auch im Verhältnis zu den Geschäftspart-nern. Viele Datenschutzvereinbarungen verbieten die Weitergabe sensibler Da-ten an Dritte, oft gekoppelt an hohe Vertragsstrafen� Durch BYOD landen die E-Mails dieser Geschäftspartner auf den Privatgeräten der Mitarbeiter� Dadurch könnten vertragliche Geheimhaltungspflichten verletzt und Vertragsstrafen ver-wirkt werden� Die Beschränkung von BYOD auf eine reine Terminalnutzung ist deshalb ratsam� Falls das nicht möglich ist, müssen auf den Privatgeräten sichere Zustände geschaffen werden� Hierzu sollten neben den dargestellten technischen Sicherungsmaßnahmen detaillierte Nutzungsrichtlinien für die Mitarbeiter erlassen werden, um auch für organisatorische Sicherheit zu sorgen�

7. 2 Regelungspunkte in Nutzungsrichtlinien

• Pfleglicher UmgangmitdenGeräten,z.B.VerwendungvonangebotenenSchutzhüllen

• Nutzungsumfang,z.B.darfderMitarbeitermitdemiPhoneauchinsSAP

• Zugangskontrolle,PflichtzumEinsatzderZugriffsschutzmechanismen

• Umgang mit Apps,z.B.darfohneSicherheitsprüfunginstalliertwerden

• Sichere Verwahrung,z.B.AufsichtspflichtenzuHause,darfdasGerätnachtsimAutoliegenetc.

• TrennungsgebotvonprivatenunddienstlichenDaten

• Virenschutz, wieoftmussderMitarbeiteraktualisieren

10

Bring your own device - BYOD | Als IT-Verantwortlicher richtig reagieren und rechtssicher gestalten

8. FazitBYOD ist für ein Unternehmen möglich, aber nur mit einem technischen Sicherheitskonzept und rechtlichen Gestaltungen in Form von Nutzungs-richtlinien, Betriebsvereinbarungen und Einwilligungen der Mitarbeiter� Daraus ergibt sich für die IT-Verantwortlichen und das Unternehmen ein erheblicher Mehraufwand.

9. Management Summary – Richtige Reaktion auf BYOD

• WurdedasKostenargumentgeprüftundklargestellt,dassKostenundAufwandauchzunehmenkönnten

• WurdeeineDuldungverhindertundfrühzeitigeineEntscheidungProoderContraBYODherbeigeführt

• WurdedieMöglichkeitderTerminalnutzunggeprüft

• Wurdennotwendige technische Sicherungsmaßnahmenergriffen,insbesondereMobileDeviceManager,Container-Verschlüsselung,Remote-Löschung,VPN-Anbindung

• WurdenNutzungsrichtliniengestaltet,umdieOrganisationspflichtenzuerfüllen

• WurdedieDatenschutzproblematikgelöst,insbesonderedurchBetriebsverein-barungenundEinwilligungenderMitarbeiter

• IstdieHerausgabe der Daten sichergestellt,insbesonderebeiausscheidendenMitarbeitern

11

Bring your own device - BYOD | Als IT-Verantwortlicher richtig reagieren und rechtssicher gestalten

Der Autor

RA Horst Speichert

Rechtsanwalt und Partner Kanzlei esb Rechtsanwälte in Stuttgart, spezialisiert auf IT-Recht

Seminarleiter IT-Compliance, IT-Sicherheit, Datenschutz

Ausbilder für Datenschutzbeauftragte

Fachbuchautor „IT-Recht in der Praxis“, Vieweg, 2� Auflage

Lehrbeauftragter der Universität Stuttgart für Informationsrecht

E-Mail: horst@speichert�de

Internet: www�kanzlei�de, www�speichert�de

12

Bring your own device - BYOD | Als IT-Verantwortlicher richtig reagieren und rechtssicher gestalten

139DE_WP/2012-04-27

Citrix OnlineDie Online Services Division von Citrix stellt sichere und spielend einfach zu bedienende cloud-basierte Lösungen für orts- und zeitunabhängige Zusammenarbeit bereit. Unternehmen und Anwender steigern mit diesen ihre Produktivität, senken Reisekosten und optimieren ihre globalen Vertriebs-aktivitäten sowie Schulungs- und Serviceangebote. Unser Portfolio: GoToMeeting für Online-Meetings, GoToWebinar für Online-Events, GoToTraining für Mitarbeiter- und Kundenschulungen, GoToMyPC für den jederzeitigen Zugriff auf entfernte Macs® oder PCs, GoToAssist für IT-Support und -Management sowie ShareFile, um auf sichere Weise Dateien, Dokumente und Daten zu teilen. Weitere Informationen erhalten Sie unter www.citrixonline.de

Citrix Online Division7414 Hollister AvenueGoleta, CA 93117U.S.A.T +1 805 690 6400info@citrixonline.com

Media inquiries: pr@citrixonline.com T +1 805 690 2969

Citrix Online EuropeMiddle East & AfricaCitrix Online UK LtdChalfont Park HouseChalfont Park, Gerrards CrossBucks SL9 0DZUnited KingdomT +44 (0) 800 011 2120europe@citrixonline.com

Citrix Online Asia PacificLevel 3, 1 Julius AveRiverside Corporate ParkNorth Ryde NSW 2113AustraliaT +61 2 8870 0870asiapac@citrixonline.com

Über CitrixCitrix Systems, Inc. verändert die Art und Weise, wie Personen, Unternehmen und IT in Zeiten von Cloud-Computing zusammenarbeiten. Das Portfolio der GoTo Cloud Services bietet Personen dafür einfach zu bedienende, cloud-basierte Lösungen für ortsunabhängige Zusammenarbeit sowie Remote-Zugriff und IT-Support, die sich in allen Geschäftsbereichen einsetzen lassen. Erfahren Sie mehr unter www.citrix.de und www.citrixonline.de

©2012 Citrix Online, UK Ltd. Alle Rechte vorbehalten. Citrix® ist eine eingetragene Marke von Citrix Systems, Inc. GoToAssist, GoToMeeting, GoToMyPC, GoToTraining und GoToWebinar sind Marken von Citrix Systems, LLC, und können beim US-Patent und Markenamt sowie in anderen Ländern eingetragen sein. Alle anderen Marken sind das Eigentum ihrer jeweiligen Inhaber.Mac und iPad sind Marken von Apple Inc., die in den USA und in anderen Ländern eingetragen sind. Android ist eine eingetragene Marke von Google, Inc.

GoToAssist kostenlos testen:

Deutschland: 0800 182 0591Schweiz: 0800 836 785Österreich: 0800 292 810http://www.gotoassist.de