Rechtsfragen bei Enterprise Mobility - Arbeitsgruppe IT-Recht
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Arbeitsgruppe IT-Recht
Rechtsfragen bei Enterprise Mobility
Eine Einführung in wichtige rechtliche Themen bei der Nutzung von mobilen Endgeräten
im Unternehmen.
Einleitung
Die betriebliche Nutzung von Smartphones, Tablets und Laptops wirft eine Reihe von rechtlichen
Fragen auf. Das gilt für insbesondere für den Einsatz privater Geräte im Unternehmen.
Zur Vermeidung einer Haftung des Unternehmens und dessen Management müssen einige wichtige
Punkte beachtet werden. Denn die Regelung der Gerätenutzung durch das Unternehmen ist Be-
standteil des gesetzlich vorgeschriebenen IT-Risikomanagements – und zwar unabhängig davon, ob
die Mitarbeiter private oder betriebliche Geräte einsetzen.
Rechtsfragen bei Enterprise Mobility
Gesetzliches Risikomanagement
Aus dem Gesetz zur Kontrolle im Unternehmensbereich (KonTraG) ergibt sich für die Geschäftslei-
tung die besondere Organisationspflicht, geeignete Maßnahmen zur Früherkennung solcher Entwick-
lungen zu treffen, die den Fortbestand des Unternehmens gefährden können. Hierzu gehört die Ein-
richtung und Überwachung eines "Risikomanagements" für die Erkennung, Kontrolle und Reduzie-
rung von Geschäftsrisiken. Dabei müssen auch die IT-Systeme einschließlich der von den Mitarbei-
tern genutzten mobilen Endgeräte überwacht werden.
Haftung und Verantwortlichkeit
Für die Einrichtung und Funktionsfähigkeit des Risikomanagements ist die Geschäftsleitung persön-
lich verantwortlich. Auch leitende Angestellte, beispielsweise der Leiter der IT-Abteilung, können
aufgrund ihrer Zuständigkeit verpflichtet sein, für ein angemessenes Risikomanagement zu sorgen.
Bei einer Verletzung der vorgenannten Pflichten ist die Geschäftsleitung der Gesellschaft grundsätz-
lich zum Schadensersatz verpflichtet. Für leitende Angestellte folgt die Verpflichtung zu der ordentli-
chen und gewissenhaften Aufgabenerfüllung im Rahmen ihrer Zuständigkeit aus deren Dienstver-
trag. Auch leitende Angestellte sind bei Pflichtverletzungen grundsätzlich zum Schadensersatz ver-
pflichtet.
Betriebliche Regelung der Gerätenutzung
Zur Vermeidung von Nachteilen für Unternehmen, Mitarbeiter und Management sollte die betriebli-
che Nutzung der Geräte sorgfältig geregelt werden. Erforderlich sind zumeist technische und organi-
satorische Maßnahmen für eine ausreichende IT- und Datensicherheit, weiter die Etablierung von
Verhaltens- und Sicherheitsrichtlinien für den Umgang mit den Geräten durch die Mitarbeiter.
Diese Anforderungen bestehen nicht nur bei der betrieblichen Verwendung von privaten Geräten
(„Bring your own Device“, kurz „BYOD“), sondern bereits dann, wenn die Mitarbeiter Geräte des
Unternehmens einsetzen. Allerdings wirft BYOD weitergehende Aspekte auf, die ebenfalls Gegen-
stand des Risikomanagements und der Richtlinien sein müssen.
Rechtsfragen bei Enterprise Mobility Risiko Urheberrecht Ein Risiko stellen durch Arbeitnehmer – zumeist unwissentlich – begangene Urheberrechtsverstöße dar. Ein Urheberrechtsverstoß kann etwa im Herunterladen von Fotos, Logos, Videodateien oder Texten liegen. Potenziell urheberrechtswidrige Handlungen sollten soweit als möglich bereits mittels technischer Maßnahmen unterbunden, im Übrigen mittels der Richtlinie reglementiert werden. Apps und andere Software Auch die Nutzung von Software außerhalb der hierfür geltenden Softwarenutzungsbedingungen ist in aller Regel urheberrechtswidrig. Dieser Umstand bedingt eine sorgfältige Kontrolle der auf den Gerä- ten vorhandenen Software – und zwar sowohl der vorinstallierten, als auch der von den Mitarbeitern etwaig installierten Software. Beispielsweise erlauben die Nutzungsbedingungen mancher Apps nur eine private bzw. "nicht gewerbliche" Nutzung der Apps, oder knüpfen an eine gewerbliche bzw. betriebliche Nutzung zusätzliche Bedingungen. Zur Vermeidung von Urheberrechtsverstößen sollte daher die betriebliche Nutzung der auf den Gerä- ten vorhandenen Software sorgfältig geregelt werden. Vor Beginn der betrieblichen Geräte-Nutzung erfolgt jeweils eine Bestandsaufnahme der auf dem Gerät vorhandenen Software. Hierbei sollten die Nutzungsbedingungen insbesondere daraufhin geprüft werden, inwieweit die Software betrieblich genutzt werden darf; weil sich derartige Nutzungsbedingungen ändern können, sollte diese Prüfung in regelmäßigen Abständen wiederholt werden. Im Übrigen muss in der Geräterichtlinie klar und verbindlich geregelt werden, welche Apps und sonstige Software die Mitarbeiter im Rahmen ihrer betrieblichen Tätigkeit nutzen dürfen - und wel- che nicht. Grundsätzlich sollte nur solche Software betrieblich verwendet werden (dürfen), die hier- für durch das Unternehmen freigegeben wurde. Viele Unternehmen führen hierzu eine "Whitelist" für zugelassene Software, oder führen umgekehrt kritische Software in einer "Blacklist". Die rechtliche Brisanz der Softwarenutzung steigt bei BYOD nochmals deutlich, weil auf privat ge- nutzten Geräten in der Regel erheblich mehr und andere Software installiert wird, als auf den Gerä- ten des Unternehmens. Entsprechend sorgfältig muss eine BYOD-Richtlinie sich mit diesem Thema beschäftigen.
Rechtsfragen bei Enterprise Mobility
Datenschutz
Auch der Schutz personenbezogener Daten muss Gegenstand des Risikomanagements und der
Richtlinie sein. Für die auf den Geräten gespeicherten personenbezogenen Daten gelten die gesetzli-
chen Anforderungen des Datenschutzes – für deren Einhaltung das Unternehmen verantwortlich ist.
Bei BYOD gilt der gesetzliche Datenschutz auch für etwaig auf den betrieblich genutzten Geräten
vorhandene private Daten. Darüber hinaus besteht bei BYOD das erhöhte Risiko einer Vermischung
privater Daten mit solchen des Unternehmens. Das Bekanntwerden privater Daten innerhalb des
Unternehmens ist aber ebenso unerwünscht, wie das Gelangen von dienstlichen Daten in den priva-
ten Bereich. Der erstere Fall stellt das Unternehmen vor erhebliche datenschutz- und arbeitsrechtli-
che Herausforderungen. Im letzteren Fall kann nicht mit einer Einhaltung der datenschutzrechtlichen
Anforderungen durch den Mitarbeiter gerechnet werden. Bereits die Übertragung von Personendaten
in den privaten Bereich des Mitarbeiters ist in der Regel datenschutzrechtlich unzulässig.
Für einen rechtskonformen Datenschutz muss daher eine strikte Trennung der privaten Daten von
den geschäftlichen Daten und Informationen erfolgen. Das gilt auch für die Datensicherung, wobei
private Daten grundsätzlich nur privat gesichert werden sollen, und Unternehmensdaten nur inner-
halb des Unternehmens.
Weiter kann es erforderlich sein, die Nutzung bestimmter datenschutzrechtlich fragwürdiger Soft-
ware zu untersagen oder wenigstens einzuschränken. Insbesondere viele Smartphone-Apps greifen
auf die auf dem Gerät gespeicherten Daten zu und übertragen diese an Dritte – beispielsweise an
den Hersteller der App. Häufig erfolgt das ohne ausreichenden Blick auf die hiesigen gesetzlichen
Anforderungen an den Datenschutz. Werden auf diese Weise Unternehmensdaten an Unbefugte
übertragen, so kann – neben dem Risiko datenschutzbehördlicher Sanktionen – der wirtschaftliche
Schaden für das Unternehmen beträchtlich sein.
Vertraulichkeit
Bei der betrieblichen Nutzung von mobilen Endgeräten besteht grundsätzlich das Risiko der Offenle-
gung von vertraulichen Informationen, beispielsweise durch den Verlust des Geräts oder durch den
Abgriff von Daten über aktuelle Funktechnologien. Daher sollte von vornherein eine möglichst gerin-
ge Speicherung vertraulicher geschäftlicher Daten auf den Geräten erfolgen. Vorhandene Daten
sollten verschlüsselt, wenigstens das Gerät mittels eines Passworts gegen unbefugte Nutzung ge-
schützt werden. Insofern sind Maßnahmen für das Passwort- und Sicherheitsmanagement, die Etab-
lierung eines Verfahrens bei Geräteverlust sowie Regelungen zur allgemeinen Vertraulichkeit ein
wichtiger Bestandteil des Risikomanagements und der Richtlinie.Rechtsfragen bei Enterprise Mobility
Private und betriebliche Geräte-Nutzung diffe-
renzieren
Häufig gestatten Unternehmen ihren Mitarbeitern – teilweise mit Einschränkungen – die auch private
Nutzung der betrieblich eingesetzten Geräte. Jedenfalls bei BYOD ist das kaum vermeidbar, weil die
Geräte ja ohnehin, mindestens außerhalb der Arbeitszeit, privat genutzt werden.
Allerdings resultiert aus einer solchen Mischnutzung der Unternehmens-IT ein erhöhtes Sicherheits-
und Haftungsrisiko für das Unternehmen. Beispielsweise ist das Risiko von Urheberrechtsverletzun-
gen bei einer auch privaten Nutzung tendenziell höher, als bei einer rein dienstlichen Nutzung.
Gleichzeitig sind bei einer auch privaten Nutzung die Rechte des Unternehmens gegenüber seinen
Arbeitnehmern, insbesondere Überwachungs- und Kontrollrechte, deutlich eingeschränkt.
Aus rechtlicher Sicht liegt es daher eine vollständige Untersagung der privaten Geräte-Nutzung na-
he. Für betriebliche Geräte ist dies mittels einseitiger Weisung des Arbeitgebers grundsätzlich mög-
lich. Möchte das Unternehmen ein solches Verbot nicht, oder ist eine private Nutzung aufgrund
BYOD "vorprogrammiert", muss in der Richtlinie zwischen der dienstlichen und der privaten Nutzung
sorgfältig differenziert werden. Während der Arbeitgeber die dienstliche Nutzung der IT weitgehend
reglementieren kann, sind Vorgaben im privaten Bereich arbeitsrechtlich kaum einseitig durchsetz-
bar.
(Betriebs-)Vereinbarung als Ideallösung
Insbesondere bei BYOD liegt der optimale Ansatz häufig in einer vertraglichen Vereinbarung mit den
Mitarbeitern. Denn hierdurch werden die Regelungsmöglichkeiten für das Unternehmen erheblich
erweitert und arbeits- bzw. betriebsverfassungsrechtliche Unstimmigkeiten vermieden. Da die Mitar-
beiter durch die Einbringung ihrer eigenen Geräte in das Unternehmen in aller Regel auch Vorteile
erhalten, besteht häufig die Bereitschaft, hierfür im Gegenzug angemessene Reglementierungen
vertraglich zu akzeptieren. Ist ein Betriebsrat vorhanden, erfolgt die Einigung mittels einer Betriebs-
vereinbarung.
Nicht wenige Unternehmen entscheiden sich für eine zweistufige Lösung: Für die Nutzung der be-
trieblichen IT werden verbindliche Richtlinien etabliert. Mitarbeiter, die an BYOD teilnehmen möch-
ten, schließen mit dem Unternehmen darüber hinaus eine entsprechende Zusatzvereinbarung (ent-
weder individuell, oder mittels der Teilnahme an einer Betriebsvereinbarung). Mit einem solchen, die
individuellen Bedürfnisse des Unternehmens und seiner Mitarbeiter berücksichtigenden Vorgehen
und dessen Umsetzung in sorgfältig gestalteten Geräterichtlinien und BYOD-Vereinbarungen lassenRechtsfragen bei Enterprise Mobility
sich die rechtlichen Risiken wirksam minimieren und für Unternehmen und Mitarbeiter ein attraktiver
Mehrwert erzielen.
Über SKW Schwarz
SKW Schwarz ist eine unabhängige deutsche Anwaltskanzlei. Wir bera-
ten Unternehmen von inhabergeführten Firmen bis zu börsennotierten
Aktiengesellschaften auf allen wesentlichen Gebieten des nationalen und
internationalen Wirtschaftsrechts. Mit Büros in Berlin, Düsseldorf, Frank-
furt am Main, Hamburg und München sind wir deutschlandweit an den
wichtigsten Wirtschaftsstandorten vertreten.
Die Rechtspraxis von SKW Schwarz gehört zu den führenden in Deutsch-
land. Die Rechtsanwälte von SKW Schwarz verfügen über umfassende
Erfahrung in der Lösung hochspezialisierter rechtlicher Fragestellungen
und haben sich durch viele Publikationen und Referententätigkeiten ei-
nen Namen im Markt geschaffen.Rechtsfragen bei Enterprise Mobility Über die Arbeitsgruppe IT-Recht Die AG IT-Recht von nrw-units bietet Anbietern und Anwendern Beratung und Unterstützung in allen Teilbereichen des IT-Rechts. Sie informiert und berät sowohl über aktuelle IT-rechtliche Themen wie das Cloud Computing und Enterprise Mobility, als auch in Bezug auf die rechtliche Strukturierung und Betreuung „klassischer“ IT-Projekte wie Systemintegrationen und Outsourcing. Im Online-Recht bietet die AG IT-Recht u. a. rechtliche Beratung und Unterstützung bei der Entwicklung und Umset- zung von Geschäftsmodellen, Produkten und Diensten des E- und M-Business. Ein weiterer wichtiger Schwerpunkt der Tätigkeit der AG IT-Recht sind der Datenschutz und die IT-Compliance. Unterneh- men jeder Größenordnung sowie Branchen und Branchenverbände erhalten Rat und Unterstützung bei der Entwicklung von Datenschutzkonzepten und bei der Herstellung eines ausreichenden Daten- schutzniveaus. Autor RA Jan Schneider Fachanwalt für Informationstechnologierecht E-Mail: j.schneider@skwschwarz.de Web: www.skwschwarz.de
Sie können auch lesen
