Bring Your Own Device

BYOD – Bring Your Own Device
Was ist das Problem? – So könnt ihr es
regeln.
Bruno Schierbaum
Berater bei der
BTQ Niedersachsen GmbH
BTQ Niedersachsen GmbH
Donnerschweer Straße 84; 26123 Oldenburg
Fon 0441/8 20 68; Fax 0441/8 38 24
[email protected]; www.btq.de
BERATEN/TRAINIEREN/QUALIFIZIEREN
„Bring Your Own Device“
- BYOD -
Themen
1. Begriff „Bring Your Own Device“
2. Einsatz mobiler Endgeräte
3. Datenschutzrechtliche Anforderungen
4. Lizenzrechtliche Fragestellungen
5. Beteiligungsrechte des Betriebsrats und Regelungsbedarf
2
„Bring Your Own Device“
- BYOD -
Begriff
 unter „Bring Your Own Device“ versteht man den Einsatz spezieller
mobiler Endgeräte, wie z.B. Smartphones und Tablets
 das genutzte Endgerät (Mobilgerät) gehört dem Mitarbeiter (Eigentum
des Mitarbeiters ist, z.B. Smartphones, Tablets, Notebooks)
 das Gerät erhält Zugriff auf die IT-Ressourcen des Betriebs
 das mobile Endgerät wird durch z.B. MDM-Software (Mobile Device
Management) an das betriebliche Netzwerk „angebunden“ und
verwaltet
3
„Bring Your Own Device“
- Einsatz mobiler Endgeräte Einsatz mobiler Endgeräte
 Smartphones werden mit einer speziellen Software an das betriebliche
Netz „angebunden“ und verwaltet
 MDM – Mobile Device Management
 Inventarisierung und Verwaltung der Hardware
 Software und Datenverteilung
 Schutz der Daten auf den mobilen Geräten (Vergabe von Passwörtern)
 Ortung der Smartphones
 Fernlöschung der Daten, z.B. bei Verlust des Smartphones („Remote
Wipe“)
 Erkennen von unerlaubten Systemeinstellungen, wie z.B. das Wechseln
der SIM-Telefonkarte
 Bereitstellung bestimmter Apps durch das Unternehmen (App-Store)
4
„Bring Your Own Device“
- Einsatz mobiler Endgeräte Einsatz mobiler Endgeräte
 MDM-Software – Welche Software eingesetzt wird und welche
Leistungsmerkmale genutzt werden sollen sind wichtige Informationen, die
der Arbeitgeber im Rahmen seiner Informationspflicht, dem Betriebsrat
nach § 80 Abs. 2 BetrVG zur Verfügung stellen muss.
5
„Bring Your Own Device“
- Datenschutzrechtliche Anforderungen -
Datenschutzrechtliche Anforderungen
 Trennung von privaten Daten und Unternehmensdaten
 Umsetzung der technischen und organisatorischen Maßnahmen
(§ 9 BDSG)
 Unternehmensrichtlinien
 Verlassen des Betriebs – das Arbeitsverhältnis des Mitarbeiters endet
6
„Bring Your Own Device“
- Datenschutzrechtliche Anforderungen -
Trennung von privaten Daten und Unternehmensdaten
 Nutzung privater Smartphones kann nur auf freiwilliger Basis erfolgen
 strikte Trennung von privaten und geschäftlichen Daten (ContainerLösung, „Sandbox“)
 Fernmeldegeheimnis nach § 88 TKG kommt für die private Nutzung
zum Tragen
 Nutzung in der Freizeit (dienstlich) – während der Arbeitszeit (privat)
7
„Bring Your Own Device“
- Datenschutzrechtliche Anforderungen -
Umsetzung der technischen und organisatorischen Maßnahmen
 Umsetzung der Anlage zu § 9 BDSG
8
„Bring Your Own Device“
- Technische und organisatorische Maßnahmen „8 Gebote“ zum Datenschutz – Anlage zu § 9 BDSG
1. Zutrittskontrolle
Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen,
mit denen personenbezogene Daten verarbeitet oder
genutzt werden, zu verwehren.
2. Zugangskontrolle
Es ist zu verhindern, dass Datenverarbeitungssysteme von
Unbefugten genutzt werden können.
3. Zugriffskontrolle
Es ist zu gewährleisten, dass die zur Benutzung eines
Datenverarbeitungssystems Berechtigten ausschließlich auf
die ihrer Zugriffsberechtigung unterliegenden Daten
zugreifen können, und dass personenbezogene Daten bei
der Verarbeitung, Nutzung und nach der Speicherung nicht
unbefugt gelesen, kopiert, verändert oder entfernt werden
können.
9
Technische und organisatorische Maßnahmen
- Anlage zu § 9 BDSG „8 Gebote“ zum Datenschutz – Anlage zu § 9 BDSG
4. Weitergabekontrolle
Es ist zu gewährleisten, dass personenbezogene Daten
bei der elektronischen Übertragung oder während
ihres Transports oder ihrer Speicherung auf
Datenträger nicht unbefugt gelesen, verändert oder
entfernt werden können, und dass überprüft und
festgestellt werden kann, an welche Stellen eine
Übermittlung personenbezogener Daten durch
Einrichtungen zur Datenübertragung vorgesehen ist.
5. Eingabekontrolle
Es ist zu gewährleisten, dass nachträglich überprüft
und festgestellt werden kann, ob und von wem
personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden
sind.
10
Technische und organisatorische Maßnahmen
- Anlage zu § 9 BDSG „8 Gebote“ zum Datenschutz – Anlage zu § 9 BDSG
6. Auftragskontrolle
Es ist zu gewährleisten, dass personenbezogene
Daten, die im Auftrag verarbeitet werden, nur
entsprechend den Weisungen des Auftraggebers
verarbeitet werden können.
7. Verfügbarkeitskontrolle
Es ist zu gewährleisten, dass personenbezogene
Daten gegen zufällige Zerstörung oder Verlust
geschützt sind.
8. Getrennte Verarbeitung
Es ist zu gewährleisten, dass zu unterschiedlichen
Zwecken erhobene Daten getrennt verarbeitet
werden können.
11
„Bring Your Own Device“
- Datenschutzrechtliche Anforderungen -
Unternehmensrichtlinien
 Betriebe haben ein Interesse Regelungen und Vorgaben im Rahmen von
Richtlinien zu erlassen
 mögliche Regelungsbereiche






Voraussetzung für die Teilnahme an BYOD
Welche Mitarbeiter? – Welche Technik?
Festlegung; z. B. Einsatz von Verschlüsselungstechniken, Antivirensoftware
Trennung: private und dienstliche Daten
Umgang mit Verlust/Diebstahl/Verkauf der Geräte
Zugriffsrechte des Arbeitgebers
12
„Bring Your Own Device“
- Datenschutzrechtliche Anforderungen -
Verlassen des Betriebes – der Mitarbeiter beendet sein Arbeitsverhältnis
 Sicherstellung, dass die dienstlichen Daten nicht auf dem Gerät des
Beschäftigten verbleiben
 der Arbeitgeber hat ein legitimes Interesse an der weiteren Nutzung der
dienstlichen Daten
13
„Bring Your Own Device“
- Lizenzrechtliche Fragestellungen -
Lizenzrechtliche Fragestellungen
 Privater Smartphone-Vertrag wird für Unternehmenszwecke genutzt
 Lizenzrechtliche Fragen müssen geklärt werden – private und
gewerbliche Nutzung sind an unterschiedliche Lizenzbedingungen
geknüpft
 ansonsten Haftungsprobleme des Mitarbeiters bzw. des
Unternehmens
14
„Bring Your Own Device“
- Beteiligungsrechte des Betriebsrats -
BetrVG
Beteiligungsrecht
§ 80 Abs. 1
Nr. 1
Überwachung bestehender Gesetze, Verordnungen,
Unfallverhütungsvorschriften, Tarifverträge und
Betriebsvereinbarungen
§ 80 Abs. 2
Rechtzeitige und umfassende Information
§ 80 Abs. 3
i.V.m.
§ 40 Abs. 1
Hinzuziehung von Sachverständigen
§ 87 Abs. 1
Nr. 6
Mitbestimmung bei der Einführung von technischen
Einrichtungen, die dazu bestimmt sind, das Verhalten oder
die Leistung der Arbeitnehmer zu überwachen
15
„Bring Your Own Device“
- Beteiligungsrechte des Betriebsrats -
BetrVG
Beteiligungsrecht
§ 87 Abs. 1
Nr. 1
Fragen der Ordnung des Betriebs und des Verhaltens der
Arbeitnehmer im Betrieb
§ 87 Abs. 1
Nr. 2
Beginn und Ende der täglichen Arbeitszeit einschließlich der
Pausen sowie die Verteilung der Arbeitszeit auf die
einzelnen Wochentage
§ 77
Abschluss von Betriebsvereinbarungen
16
„Bring Your Own Device“
- Regelungsbedarf-
Regelungsbedarf













Voraussetzung für die Teilnahme an BYOD
Welche Mitarbeiter? – Welche mobilen Geräte?
Eingesetzte Software – genutzter Leistungsumfang
Trennung: private und dienstliche Daten
Umgang mit Verlust/Diebstahl/Verkauf der Geräte
Ortung/Fernlöschung
Arbeitszeit – Nutzung außerhalb der Arbeitszeit
Zugriffsrechte des Arbeitgebers
Klärung lizenzrechtlicher Fragen
Haftung
Kostenerstattung für Providergebühren, Software, Reparatur
Daten- und Geheimnisschutz
Beendigung des Arbeitsverhältnisses
17
„Bring Your Own Device“
- Regelungsbedarf-
Eckpunkte einer Betriebsvereinbarung
 Gegenstand und Geltungsbereich
 eingesetzte Hardware
 Hardwarebeschreibung – angebundene mobile Geräte
 eingesetzte Software – genutzter Leistungsumfang
 Ausschluss von Leistungs- oder Verhaltenskontrollen
 Trennung: private und dienstliche Daten
 Umgang mit Verlust/Diebstahl/Verkauf der Geräte
 Ortung/Fernlöschung
 Arbeitszeit – Nutzung außerhalb der Arbeitszeit
 technische und/oder organisatorische Regelung zur Einhaltung der
Arbeitszeit
 Nutzung der Geräte in Kraftfahrzeugen
18
„Bring Your Own Device“
- Regelungsbedarf-
Eckpunkte einer Betriebsvereinbarung








Zugriffsberechtigungskonzept
Umgang mit Protokollierungen
Lizenzrechtlicher Fragen
Haftung
Kostenerstattung für Providergebühren, Software, Reparatur
Beendigung des Arbeitsverhältnisses
Rechte des Betriebsrats
Schlussbestimmungen
19

Download Report