Präsentation zu BYOD: Was ist BYOD, warum macht man BYOD, was ist rechtlich (Sachenarbeit, Arbeitsrecht, Datenschutz, Datensicherheit) zu beachten, besteht ein Mitbestimmungsrecht vom Betriebsrat bei Mobile Device Management (MDM), braucht es eine Einwilligung vom Arbeitnehmer, wie sehen technische und organisatorische Maßnahmen (TOM) aus?

1. Sascha Kremer:
Bring Your Own Device
37. Datenschutzfachtagung 2013, Forum 1:
Zugriff des Arbeitgebers auf die Mitarbeiterkommunikation

2. Überblick
Sachenrecht
Was?
Arbeitsrecht
Datenschutz & Datensicherheit
Ausblick
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
2

3. Überblick
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
3

4. Neu?
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
4

5. Bring Your Own Device?
Smartphone
Device?
Tablets
• Android
• iOS
• Blackberry
10
• Windows
Phone 8
• Android
• iOS
• Windows
RT
• Windows 8
Notebooks
• Windows
• Mac OS
• Linux
Services
• Apps
• Cloud
Bring Your Own Anything!
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
5

6. Bring
Bring Your
Own?
14.11.2013
Your
Own
• Beschaffung durch AN
• Eigentum des AN
• Besitz des AN
• Nutzung für AG
• Ersatz/Ergänzung
Betriebsmittel des AG
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
6

7. Verbesserung Image
des AG
Befriedigung Marken-/
Geräteaffinität der AN
Verbesserung Zufriedenheit
und Motivation der AN
Motive
Verbesserung der Mobilität
der AN
Reduzierung Kosten
des AG
14.11.2013
Befriedigung Erwartung
der AN
Verbesserung Effizienz
der AN
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
7

8. Samsung
Mobile BYOD
Index 2013
81%
78%
Entscheider
AN
Having a Single Mobile Device Helps
Balance Employee Personal and Work Lives
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
8

9. 29%
Samsung
Mobile BYOD
Index 2013
14.11.2013
39%
10%
• Verlust
kritischer
geschäftliche
r Daten
• Richtlinie für
die Nutzung
von „Own
Devices“
• In den
vergangenen
2 Jahren
keine
Probleme
durch BYOD
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
9

10. 93%
Verbreitung
international
14.11.2013
95%
50%
• der AN
nutzen
private
Geräte
beruflich in
Südkorea
(ZDNet
2012)
• größerer USCompanies
erlauben AN
die Nutzung
privater
Geräte (CW
UK 2012)
• größerer USCompanies
haben
BYODRichtlinien
(CW UK
2012)
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
10

11. 75%
Verbreitung
national
14.11.2013
55%
30%
• aller AN in D
haben
private
Geräte bei
der Arbeit
dabei (SZ
2012)
• aller AN in D
betrachten
die Nutzung
privater
Geräte bei
der Arbeit als
ihr Recht
(Fortinet
2012)
• aller AN in D
ignorieren
vom AG
erteilte
BYOD
Verbote
(Fortinet
2012)
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
11

12. Sachenrecht
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
12

13. Herausgabe-/Besitzschutzansprüche
Bedeutung
• AG gegen AN
• AN gegen AG
• AN/AG gegen Dritte
Zugangsrechte
• AN zur Privatnutzung
• AG zwecks Verwaltung („remote wipe“)
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
13

14. Rechte
Familie?
Eigentum
Rechte
AG?
Rechte
Dritter?
Eigentum
AN
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
14

15. Mittelbarer Besitz
§ 868 BGB
Besitz des AG?
AG
Teilbesitz
§ 865 BGB
Mitbesitz
§ 866 BGB
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
15

16. Besitz des AN
Mitbesitz als
Lösung?
(teilweise)
Übertragung auf
AG
Ausübung für AG
durch AN als
Besitzdiener
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
16

17. Arbeitsrecht
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
17

18. Vergütung
• Betriebskosten
• Erhaltungskosten
Wartung
Bedeutung
• Mobile Device Management
• Ersatzbeschaffung
Betriebsrat
Arbeitszeit
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
18

19. Privateigentum als
Betriebsmittel
(gegen § 615 S. 3 BGB)
Vergütung:
Anspruch des
AN
Auftrag des AG
§ 662 BGB
Ersatzanspruch AN
§ § 670, 669 BGB
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
19

20. Betrieb
Vergütung:
Gegenstand
des Anspruchs
Erhaltung
Updates
• Grundkosten
• Nutzung
• Versicherung
• Beschaffung
Ersatzgerät
• System
• Apps
Steuerrechtliche Auswirkungen
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
20

21. Entscheidung
des AN
Eigentum AN
Wartung:
Ausgangslage
Betriebliche
Nutzung
Verfügbarkeit
des Device
14.11.2013
Kontrolle des
Device
Private
Nutzung
Spiele
Unterhaltung
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
21

22. Wer führt durch?
Wartung:
Inhalt der
Vereinbarung
Wer sichert das
Device?
Wer trägt die
Kosten?
14.11.2013
Wann und wie
schnell?
Wer beschafft
Ersatzgerät?
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
22

23. Nicht:
Direktionsrecht
Wartung:
Rechtsrahmen
Device des
AN
Nicht:
Betriebsvereinbarung
(beachte
Günstigkeitsprinzip)
14.11.2013
Nicht:
IT-Richtlinie
Ausschließlich:
Individualvereinbarung
(Grenze §§ 305 ff. BGB)
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
23

24. Unterrichtung
§ 80 Abs. 2 S. 1
BetrVG
Betriebsrat
Mitbestimmung
§ 87 Abs. 1 Nr. 6
BetrVG
14.11.2013
• Ja: BYOD
• Ja: MDM
• Nein: BYOD
• Ja: MDM
• Ja: Kollektivregelungen
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
24

25. Dauerbereitschaft am privaten Device?
Arbeitszeit
Arbeitszeit
§ 3 ArbZG
Ruhezeit
§ 5 I ArbZG
Mitbestimmung, § 87 Abs. 1 Nr. BetrVG?
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
25

26. Datenschutz und
Datensicherheit
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
26

27. Arbeitgeber
= verantwortliche Stelle
BDSG
anwendbar
Nicht AN
(keine ADV)
Device
= Datenverarbeitungsanlage
Betriebliche Nutzung
= kein privater/familiärer Einsatz
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
27

28. Umgang mit pbD
Pflichten
14.11.2013
Erlaubnis
§ 4 Abs. 1 BDSG
TOM
§ 9 BDSG
• Einwilligung
• Gesetz
• BV
• Einbindung Device in IT
des AG
• Nutzung Device durch
AG für AN
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
28

29. Schutz von Daten auf Device vor Verlust
Trennung betrieblicher und privater Daten
Denkbare
TOM
(Auswahl)
Löschung betrieblicher Daten auf Device
Verbot der Nutzung (privater) Cloud-Lösungen
Verbot von Jailbreaks auf dem Device
Absicherung von Zugriffen über ungesichertes WLAN
Aussperren von (unsicheren) Apps
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
29

30. Beispiel:
Backup vom
Device des AN
14.11.2013
AG-Daten
nicht auf
Device
• VPN
• Sandbox (eigene App/s)
• Kein Backup nötig
AG-Daten
auf
Device
• Backup durch AN (in der
Cloud) bei
Verschlüsselung
• Backup durch AG (mit
privaten Daten des AN)
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
30

31. Fernzugriff zwingend
erforderlich
Beispiel:
Fernzugriff AG
auf Device
14.11.2013
Durchsetzung Fernlöschung Kontrolle der
IT-Sicherheit nach Verlust
Nutzung
(RL aus MDM
(Remote
durch AN
auf Device)
Wipe)
(z.B. Apps)
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
31

32. Ausblick
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
32

33. Vorgehen bei
geordneter
Einführung
Klärung
Ziele und
Strategie
14.11.2013
Evaluation
und
Erstellung
Strategie für
Sicherheit
der „Own
Devices“
Auswahl
zulässiger
„Own
Devices“ und
nutzbarer
Dienste im
Unternehmen
Anpassung
von
Leitlinien, Kon
zepten und
Richtlinien
Umsetzung
MDM und
BYOD
Vereinbarung
mit AN (und
Betriebsrat)
(Support)
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
33

34. Aufwand für
Vereinbarungen
mit AN (und
Betriebsrat)
Probleme von
BOYD
Zersplitterung
IT-Infrastruktur
Kein Ersatz für
eigene ITInfrastruktur
14.11.2013
Kosten für
Abgeltung
Ansprüche AN
BYOD
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
Risiken für
Datenschutz
und
Datensicherheit
34

35. Beschaffung
ansprechender
Devices durch
AG
Verbot
Alternativen zu
BYOD
BYOD
Beschränkung
auf bestimmte
AN oder
Bereiche
Probleme
ignorieren wie
bei Social Media
und Cloud
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
35

36. Fragen? Fragen!
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
36

37. Vielen Dank für Ihre
Aufmerksamkeit!
Sascha Kremer, Rechtsanwalt & Datenschutzbeauftragter
T: +49(221)55400170 | @: sascha.kremer@llr.de
14.11.2013
Sascha Kremer: Bring Your Own Device – rechtliche und tatsächliche Aspekte, 37. DAFTA 2013
37