Veröffentlichen auch Sie Ihre Arbeiten - es ist ganz einfach!
Mehr InfosDiplomarbeit, 2013, 48 Seiten
Jura - Zivilrecht / Handelsrecht, Gesellschaftsrecht, Kartellrecht, Wirtschaftsrecht
Diplomarbeit
3,0
Abkürzungsverzeichnis
I. Informationssicherheitsmanagement
I.A. Informationssicherheit
I.B. Bedrohungen und Risiken
I.C. Rechtliches Umfeld der Informationssicherheit
I.C.1. Bilaterale und multilaterale Verpflichtungen
I.C.2. Nationale Bestimmungen
I.C.3. Regelungsbedarf
II. IKT-Bedrohungen
II.A. Grundlagen
II.B. Formen der neuen IKT-Bedrohungen
II.B.1. Bring Your Own Device
II.B.1.a. Rechtliche Aspekte aus der Sicht des Unternehmers
II.B.1.b. Rechtliche Aspekte aus der Sicht des Arbeitnehmers
II.B.1.c. Weitere rechtliche Aspekte
II.B.1.d. Handlungsempfehlungen
II.B.2. Cloud Computing
II.B.2.a. Rechtliche Aspekte aus der Sicht des Unternehmers
II.B.2.b. Rechtliche Aspekte aus der Sicht des Arbeitnehmers
II.B.2.c. Weitere rechtliche Aspekte
II.B.2.d. Handlungsempfehlungen
II.B.3. Social Media
II.B.3.a. Rechtliche Aspekte aus der Sicht des Unternehmers
II.B.3.a.1 Errichten der Social-Media-Präsenz
II.B.3.a.2 Betreiben der Social-Media-Präsenz
II.B.3.a.3 ISM Social-Media-Präsenz
II.B.3.b. Rechtliche Aspekte aus der Sicht des Arbeitnehmers
II.B.3.c. Weitere rechtliche Aspekte
II.B.3.d. Handlungsempfehlungen
III. Konsequenzen für die Wirtschaft
III.A. Öffentliche Aufgaben
III.B. Aufgaben für Unternehmer
IV. Schlussfolgerung und Kritik
Internet-Quellenverzeichnis
Literaturverzeichnis
Abbildung in dieser Leseprobe nicht enthalten
Bedingt durch ständig verbesserte Informations- und Kommunikationstechnologie (IKT) sind Unternehmen im globalisierten Umfeld einer rasch steigenden Informationsdichte ausgesetzt. Unter Information wird in diesem Zusammenhang jener Anteil einer Nachricht verstanden, der für den Empfänger neu ist und daher einen Wert besitzt.[1] Wesentlicher Teil der unternehmerischen Tätigkeit ist es, in diesem Zusammenhang werthafte Leistungen zu erbringen.[2] Dies geschieht durch das Erkennen und Nutzen von Verwendbarkeiten im Informationsfluss. Ist dieser Schritt erbracht, so stellt sich rasch die Frage nach dem richtigen Umgang mit der Information. Ein verantwortungsbewusster Unternehmer wird die verfügbaren Informationen in verschiedene Kategorien einteilen. Während ein Großteil öffentlich verfügbar bleibt, gilt ein erheblich geringerer Teil als schützenswert. Hier besteht vor allem im Bereich Forschung und Entwicklung ein essenzielles Interesse am Schutz der im Unternehmen generierten Information.
Während körperliche Wertgegenstände durch Verschließen in einem entsprechenden Behältnis oder durch bauliche Maßnahmen noch relativ einfach zu schützen sind, stellt der Schutz von Informationen den Unternehmer vor völlig neue Herausforderungen. Diese immateriellen Werte sind physisch oft nicht fassbar,[3] was die Bewusstseinsbildung für den Schutz dieser betrieblichen Werte erheblich erschwert. Zudem finden die Informationen vielfach Verwendung im Betrieb des Unternehmens. Die Informationswirtschaft als Koordinatorin der Bereiche Erfassung, Speicherung, Auswahl und Bereitstellung von Informationen hat sich dadurch zur Aufgabe der Unternehmensführung entwickelt.[4] Informationssicherheit ist Teil des Managements geworden.
Der Schutz von Informationen im Unternehmen bedarf klarer Richtlinien für die Informationssicherheit, welche sich an gesetzlichen Bestimmungen, Standards und Normen, Geschäftszielen sowie an Managemententscheidungen orientieren.[5] Während die gesetzlichen Bestimmungen punktuelle Regelungen für bestimmte Themenbereiche, wie Datenschutz[6] oder Urheberrecht[7], vorgeben, bieten Standards bereits überprüfbare Handlungsanweisungen durch zielgerichtetes und koordiniertes Vorgehen nach einheitlichen Mustern.[8] Die Übereinstimmung dieser Vorgaben mit den Geschäftszielen und Managemententscheidungen ergibt die sogenannte Regelkonformität oder compliance. Hier wird deutlich, dass Juristen im Unternehmen neben der Erledigung traditioneller Aufgaben durch zunehmende wirtschaftliche Bedeutung der IKT immer häufiger mit neuen rechtlichen Themen konfrontiert werden.[9]
Eine Bedrohung im Informationssicherheitsmanagement zielt darauf ab, eine oder mehrere Schwachstellen auszunutzen, um den Verlust einer Information herbeizuführen.[10] Unter dem Risiko einer Bedrohung versteht man dagegen die Wahrscheinlichkeit des Eintritts eines Schadensereignisses in Verbindung mit der erwartbaren Schadenshöhe.[11]
Während Bedrohungen wie der Zerstörung durch höhere Gewalt oft schwer zu begegnen ist, wird das konkrete Risiko sehr stark durch das eigene Handeln beeinflusst. So kann beispielsweise die Bedrohung eines Feuers nicht zur Gänze ausgeschlossen werden. Das sich daraus ergebende Risiko kann jedoch durch bauliche Maßnahmen erheblich minimiert werden. Basis des unternehmerischen Risikomanagements ist daher detaillierte Kenntnis möglicher Bedrohungen.
Eine rechtliche Beurteilung der Informationssicherheit ist aus rein nationaler Sicht in Hinblick auf unionsrechtliche Vorgaben sowie bi- und multilaterale Sicherheitsabkommen nicht möglich. Während als bilateral[12] jene Rechtsverhältnisse bezeichnet werden, an denen nur zwei Parteien beteiligt sind, zeichnen sich multilaterale[13] Abkommen gerade durch die Beteiligung von mehr als nur zwei Parteien aus.
Prägender Faktor ist dabei eine mögliche Klassifizierung der Information, also das Versehen einer Information mit einem Klassifizierungsvermerk iSd § 2 Abs. 1 InfoSiV[14]. Damit wird der besondere Schutz der Information zur staatlichen Aufgabe. Organisatorisch verantwortlich ist hier die Informationssicherheitskommission (ISK), die sich gem. § 8 Abs. 1 InfoSiG[15] aus den Informationssicherheitsbeauftragten aller Bundesministerien zusammensetzt und unter dem Vorsitz des Bundeskanzleramts[16] steht. Sie bedient sich des Abwehramts (AbwA) im Bundesministerium für Landesverteidigung und Sport (BMLVS) für den Bereich der militärisch klassifizierten Informationen sowie des Bundesamts für Verfassungsschutz und Terrorismusbekämpfung (BVT) im Bundesministerium für Inneres (BMI) für den Bereich der zivil klassifizierten Informationen.
Der Austausch multilateral klassifizierter Informationen wird in diesem Zusammenhang praktisch auf Basis der EU-Sicherheitsvorschrift[17] bzw. der NATO-Sicherheitsvorschrift[18] aufgrund des Abkommens zwischen der Österreichischen Bundesregierung und der NATO über den Schutz von Informationen[19] vollzogen. Im rein zwischenstaatlichen Verkehr finden entsprechende bilaterale Sicherheitsabkommen bei der Definition gemeinsamer Mindeststandards für die Sicherheit auch innerhalb der Europäischen Union Anwendung. So unterhält Österreich Abkommen über den Austausch und gegenseitigen Schutz klassifizierter Informationen mit EU-Mitgliedstaaten wie der Republik Bulgarien[20] ebenso wie mit den Vereinten Nationen[21].
Im Bereich der nichtklassifizierten schützenswerten Informationen sind die unionsrechtlichen Vorgaben weniger zentral geregelt. Während der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr schwergewichtsmäßig in der europäischen Datenschutzrichtlinie[22] geregelt wird, fehlen konkrete Vorgaben über die Umsetzung gemeinsamer Mindeststandards für den Informationsschutz gänzlich.
Unter Berücksichtigung des Art. 288 Abs. 3 AEUV ist die Datenschutzrichtlinie für jeden Mitgliedstaat, an den sie gerichtet ist, hinsichtlich des zu erreichenden Ziels verbindlich, überlässt jedoch den innerstaatlichen Stellen die Wahl der Form und Mittel.
Österreich hat die Europäische Datenschutzrichtlinie durch das Datenschutzgesetz (DSG 2000) umgesetzt. Besonders ist dabei zu berücksichtigen, dass sich § 4 Z 4 DSG 2000 „auf natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten zu verwenden“[23] bezieht, während die Richtlinie lediglich auf natürliche Personen abstellt. Damit wurde der Datenschutzrichtlinie jedenfalls effektive Wirkung[24] verschafft, und die Voraussetzungen der Rechtsverbindlichkeit, Justiziabilität und Publizität[25] wurden ausreichend erfüllt.
Hier stellt sich bereits die Frage nach der Definition personenbezogener Daten. Einen ersten Ansatzpunkt dafür liefert § 4 DSG 2000 in Z 2, der die rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder das Sexualleben von natürlichen Personen taxativ aufzählt.
Private Bankverbindungen des Arbeitnehmers zum Zwecke der Entgeltverrechnung, Informationen über Lohnpfändungen oder Betriebsdarlehen fallen unter den Bereich der privaten Geschäftsdaten und damit auch unter den Begriff personenbezogener Daten.
Mitarbeiterbezogene Daten zur geschäftlichen Kommunikation, wie die Kombination aus Name, Arbeitsraum und Telefonnummer, können als Einzeldatensatz frei übermittelt werden. Die Übermittlung mehrerer Datensätze bedingt hier schon eine innerbetriebliche Koordination.
Persönliche Geschäftsdaten, wie Urlaubsansprüche oder Qualifikationen, werden zur Erfüllung gesetzlicher und vertraglicher Verpflichtungen benötigt. Ob und wie diese personenbezogenen Daten kommuniziert werden dürfen, ist detailliert innerbetrieblich festzulegen.
Berücksichtigt man hier, dass auch eine Vielzahl von Daten der Kunden und Lieferanten, wie beispielsweise Bonitätsdaten oder Insolvenzen, personenbezogen sind, so zeigt sich rasch die Vielfalt, in der diese Daten im Unternehmen auftreten.
Das InfoSiG regelt in Verbindung mit der zugehörigen InfoSiV den Schutz klassifizierter Informationen im Rahmen völkerrechtlicher Verpflichtungen für den nationalen Bereich, nimmt jedoch dabei auch keine Rücksicht auf nichtklassifizierte schutzwürdige Informationen im Unternehmen. Die Möglichkeit, sensible Daten selbst zu klassifizieren, haben österreichische Unternehmen derzeit noch nicht.
Problematisch wird hier der Empfang ausländisch klassifizierter Informationen, deren Schutzstandards sich weder in nationalen Gesetzen noch in völkerrechtlichen Verpflichtungen finden. Exemplarisch kann hier der Bereich der Controlled Unclassified Information (CUI) angeführt werden, welcher beispielsweise in den Vereinigten Staaten von Amerika Anwendung findet.[26] Hier bleibt den österreichischen Unternehmen nur der Weg über die Informationssicherheitskommission (ISK), der als obersten nationaler Sicherheitsbehörde die innerstaatliche Umsetzung völkerrechtlicher Verpflichtungen obliegt bzw. die Möglichkeit, sich vertraglich den entsprechenden Bestimmungen zu unterwerfen.
Dem Bedürfnis der Forschung und Industrie, im Rahmen ihrer internationalen Tätigkeiten auf klassifizierte Informationen zuzugreifen, hat der österreichische Gesetzgeber durch Einfügen eines Abschnitts über Sicherheitsunbedenklichkeitsbescheinigungen (SUB) für Unternehmen und Anlagen bei der InfoSiG-Novelle 2006 Rechnung getragen.[27] Diese Form der Einzelfallbezogenheit zeigt den derzeit noch vorhandenen Regelungsbedarf.
Wesentlich konkreter werden hier für den nationalen Bereich der § 22 (1) GmbHG[28], der § 82 AktG[29] sowie der § 22 (1) GenG[30], die bereits ein internes Kontrollsystem (IKS) als Teil der unternehmerischen Sorgfaltspflichten verlangen und zum Ziel haben, Risiken zu vermeiden oder zumindest zu verringern. In diesem Zusammenhang definiert sich ein IKS als Gesamtheit aller Maßnahmen zum Schutz vorhandener Informationen vor Verlusten aller Art und schließt damit ein vollständiges Inforamtionssicherheitsmanagentsystem (ISMS) ein.[31]
Die allgemeine unternehmerische Sorgfalt iSd § 347 UGB[32] ist auf jenen Vertragspartner beschränkt, für den das Geschäft unternehmensbezogen ist.[33] Sie ist im Falle eingetretener Schäden iSd § 349 UGB[34] von erheblicher Bedeutung, zumal sie schon bei leichter Fahrlässigkeit auch den entgangenen Gewinn umfasst.[35] Mangels vertraglicher Regelungen resultiert der objektive Sorgfaltsmaßstab aus der gebotenen Sorgfalt im Normalfall, wodurch sich sorgfaltswidriges Verhalten von jenem maßstabsgerechter rechtstreuer Menschen unterscheidet.[36] Hier wird letztlich überprüft, ob der Stand der Technik und die größtmögliche Sorgfalt Anwendung gefunden haben. Die Einhaltung von Standards wirkt also in all jenen Bereichen haftungsmindernd oder gar haftungsbefreiend, in denen die Erbringung vertraglich geschuldeter Leistung vom Informationsschutz abhängt.
Maßgebliches Regelwerk im Bereich des Informationssicherheitsmanagements (ISM) ist die durch die Internationale Organisation für Normung (ISO) veröffentlichte ISO 27001/2005. Ziel der Implementierung im Unternehmen ist die Erreichung von Integrität, Vertraulichkeit und Verfügbarkeit von Informationen durch einen kontinuierlichen Verbesserungsprozess[37] nach dem Plan-Do-Check-Act-Modell (PDCA-Modell)[38]. Unter Integrität versteht man in diesem Zusammenhang das Verhindern unerkannter Manipulation, während Vertraulichkeit den ungerechtfertigten Zugriff auf die Informationen verhindert.[39] Die Verfügbarkeit stellt keine Maßnahme zum Informationsschutz dar, sondern garantiert die Möglichkeit des Zugriffs für Berechtigte.
Die Implementierung des PDCA-Modells gewährleistet ständige Verbesserung durch die Phasen Planung, Durchführung, Kontrolle und Agieren. Im Wesentlichen werden im Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001/2005 Bedrohungen definiert und die Managementprozesse derart adaptiert, dass die daraus resultierenden Risiken minimiert werden. Durch die Umsetzung konkreter Handlungsvorgaben wird die Information durch ihren gesamten Lebenszyklus hinweg, also von der Erstellung bis zur Vernichtung oder Entklassifizierung, geschützt.
Aus dem beschriebenen Stufenbau wird ersichtlich, dass die rechtliche Beurteilung neuer IKT-Bedrohungen nicht aus einem geschlossenen Regelwerk abgeleitet werden kann, sondern vielmehr jede einzelne Bedrohung einer umfassenden rechtlichen Beurteilung unterworfen werden muss. Während einerseits dem Schutz einer Information Rechnung getragen wird, müssen andererseits auch die subjektiven Rechte von Unternehmern, Mitarbeitern und Dritten entsprechende Berücksichtigung finden. Es gilt dabei, gesetzliche und vertragliche Verpflichtungen zu berücksichtigen.
Die im Folgenden einer entsprechenden Würdigung unterworfenen IKT-Bedrohungen zeigen einerseits das breite Spektrum rechtlicher Einflüsse, sollen andererseits aber auch als Beispiel für den Umgang mit kommenden Bedrohungen dienen. Es liegt in der Natur der Sache, dass die Rechtslage auf neue Bedrohungen reagiert und nicht etwa umgekehrt. Die zum Zeitpunkt der Verfassung dieser Arbeit noch recht geringe Anzahl an entsprechenden Judikaten im Vergleich mit laufend steigendem Datenvolumen ist Indiz für die kontinuierliche Entwicklung neuer juristischer Aufgabenfelder.
Arbeitnehmer sind in Unternehmen, in die Organisation des Arbeitgebers, eingegliedert und nehmen dort eine bestimmte Position ein.[40] Während der Unternehmer bemüht ist, die ihm bekannten IKT-Bedrohungen in sein betriebliches Risikomanagement zu integrieren, hat der laufende Fortschritt der Technik längst dazu geführt, dass nahezu alle seine Arbeitnehmer verstärkt technische Neuerungen nutzen. Telefonieren über das Internet, das Verwenden von Hotspots via WLAN, das Tätigen von Besorgungen im Internet sowie die selbstverständliche Nutzung unzähliger Datenspeicher in Mobiltelefonen, Laptops und dergleichen sind bereits Normalität geworden.
Der Arbeitnehmer bewegt sich also längst nicht mehr ausschließlich in der realen Welt, sondern nutzt auch den virtuellen Raum für seine Aktivitäten.[41] Diese, seine virtuelle Umgebung begleitet ihn ständig, er ist quasi immer online. Aus der Betrachtung der Informationssicherheit heraus bringt er demnach eine Vielzahl von potenziellen Bedrohungen mit in das Unternehmen.
Selbstverständlich wird dies im Informationssicherheitsmanagement berücksichtigt. Ein schlichtes Verbot jedes privaten Eigentums im Arbeitsleben wird hier wohl kaum die Lösung aller Probleme sein. Vielmehr müssen Trends in ihrer Gesamtheit erfasst und beurteilt werden. Mit jeder technischen Neuerung werden auch neue rechtliche Fragen aufgeworfen, die es zu diskutieren gilt. Von Relevanz sind dabei vor allem jene Bereiche, die sich langfristig durchsetzen und erheblichen Einfluss auf das Unternehmen bzw. die Mitarbeiter haben. Es sind dies zweifelsohne nicht die neuesten Trends: Es sind die aktuellsten Bedrohungen.
Es ist heute kaum vermeidbar, das Arbeitnehmer ihre privaten IKT-Geräte mit ins Unternehmen bringen und dort auch nutzen. Sie verwenden ein Smartphone oder einen Laptop und greifen damit auf E-Mails und Kalender zu. Die persönliche Koordination von Berufs- und Privatleben erfolgt dabei längst nicht mehr durch gelegentliches Synchronisieren der Daten zu Hause. Vielmehr greift der Arbeitnehmer in seiner Eigenschaft als Nutzer auf alle Informationen zu, die ihm auch zugänglich sind. Damit werden seine vormals privaten Gegenstände zum Teil der unternehmerischen IKT-Struktur. Der Mitarbeiter bringt sein eigenes Gerät – Bring Your Own Device (BYOD) wird zum Teil der Informationssicherheit.
Schon aus technischer Sicht ist die Verwendung von BYODs eine erhebliche Bedrohung für das betroffene Unternehmen. Neben eigenen Sicherheitskonfigurationen und -updates ist auch die alleinige Nutzung des Geräts durch den Arbeitnehmer nicht gesichert. Praktisch hat der Unternehmer keine Möglichkeit zu kontrollieren, wer Zugriff auf das Gerät hat. Immerhin ist davon auszugehen, dass der Mitarbeiter sein mobiles Endgerät auch mit nach Hause nimmt und dort selbst verwendet oder anderen Personen zur Verfügung stellt.
Auch wenn sich bei oberflächlicher Betrachtung etwa durch steigende Mitarbeiterzufriedenheit durchaus Vorteile erkennen lassen, so ergeben sich aus rechtlicher Sicht erhebliche Probleme, deren Lösung eine unternehmerische BYOD-Strategie auf Basis einer umfassenden rechtlichen Beurteilung sein muss. Dabei sind die Aspekte des Unternehmens ebenso zu berücksichtigen wie jene der Arbeitnehmer und die sich aus gesetzlichen Bestimmungen oder Verträgen ergebenden Rahmenbedingungen.
Aus Sicht des Informationssicherheitsmanagements ist die oberste Maxime die strikte Trennung von privaten und dienstlichen Informationen. Damit wird einerseits den Richtlinien des Datenschutzgesetzes Rechnung getragen, welches im § 10 Abs. 1 DSG 2000 die Überlassung von Daten nur bei Gewähr rechtmäßiger und sicherer Datenverwendung erlaubt, und andererseits sind die betrieblichen Sicherheitsvorschriften zu erfüllen.
Im Rahmen der Datensicherheitsmaßnahmen ist der Unternehmer verpflichtet, iSd § 14 Abs. 1 DSG 2000[42] Maßnahmen zur Gewährleistung der Datensicherheit zu treffen, die Zerstörung, Verlust und den Zugriff Unbefugter verhindern. Dies umfasst auch die Belehrung der Arbeitnehmer iSd § 14 Abs. 2 Z 3 DSG 2000 sowie die Berechtigung zum Betrieb der Datenverarbeitungsgeräte iSd § 14 Abs. 2 Z 6 DSG 2000. Grundsatz ist dabei stets das Handeln nach Treu und Glauben gem. § 6 Abs. 1 Z 1 DSG 2000 iSd allgemeinen Regelungskonzepts des § 914 ABGB zur Übung des redlichen Verkehrs.[43]
Im Falle eines Schadens haftet der Unternehmer gegenüber Dritten für das Verschulden seiner Mitarbeiter iSd § 33 Abs. 2 DSG 2000 nach den allgemeinen Bestimmungen des Bürgerlichen Rechts, wobei ihn gem. § 33 Abs. 3 DSG 2000 auch noch die Beweislastumkehr trifft. Mögliche Dritte sind hier Kunden oder Lieferanten, deren Daten kompromittiert werden. Zusätzlich zur Verpflichtung zum Datenschutz auf Basis der unionsrechtlichen RL 94/46/EG, national abgeleitet in § 10 Abs. 1 DSG 2000, treffen den Unternehmer hier noch mögliche Geheimhaltungspflichten aufgrund vertraglicher Vereinbarungen.
Sofern der Unternehmer als „sonstige Person“, die iSd § 3 Abs. 1 Z 2 InfoSiG Zugang zu klassifizierten Inhalten erhalten kann, wenn dies für die Ausübung einer im öffentlichen Interesse gelegenen Tätigkeit erforderlich ist,[44] einen Schaden verursacht, so legt eine Auslegung prima facie nahe, „dass ein Staatsgeheimnis iSd § 255 StGB einer streng geheimen Information nach § 2 Abs 2 Z 4 InfoSiG entspricht[45] “. Den Strafrahmen für die öffentliche Bekannt- oder Zugänglichmachung bemisst § 252 Abs. 2 StGB[46] mit Freiheitsstrafen von sechs Monaten bis zu fünf Jahren.
Ein weiterer Aspekt ist die Regelung beim Auftreten etwaiger Schäden am Gerät selbst. Hier unterscheidet der § 1014 ABGB zwischen Schäden ex causa mandati und jenen ex occasione mandati und verpflichtet den Arbeitgeber nur zum Ersatz der arbeitsadäquaten Schäden, nicht jedoch weiterer Schäden, die der Arbeitnehmer zufällig erleidet.[47] Relevant ist also letztlich, ob das Gerät zum Zeitpunkt der Beschädigung privat oder betrieblich genutzt worden ist.
Die wichtigste Frage aus der Sicht des Unternehmers wird sich spätestens bei der Auflösung des Dienstverhältnisses stellen, nämlich die nach dem Zugriff auf die Daten des Unternehmens auf privaten Geräten eines ehemaligen Arbeitnehmers. Nach dem Regelkonzept des § 11 Abs. 5 DSG 2000[48] wären diese Daten dem Arbeitgeber zu übergeben oder zu vernichten. Eine Kontrollmöglichkeit ist daraus jedoch nicht abzuleiten. Immerhin ändert eine Beendigung des Arbeitsverhältnisses[49] nichts an der Eigentümereigenschaft am Gerät.
Sofern nicht eine Betriebsvereinbarung iSd § 97 Abs. 1 Z 17 ArbVG[50] bereits Maßnahmen zur Sicherung der von den Arbeitnehmern eingebrachten Gegenstände regelt bzw. nicht bereits im Arbeitsvertrag[51] entsprechende Regelungen über die Löschung der unternehmenseigenen Daten auf privaten Geräten getroffen wurden, bleibt letztlich wohl nur eine mögliche Verfolgung iSd § 11 Abs. 1 UWG[52], um die Weitergabe der Daten an potenziell folgende Arbeitgeber zu verhindern.
Der Arbeitnehmer verwendet also privates Eigentum für die Erbringung seiner Dienstleistung,[53] obwohl dies dem grundsätzlichen Regelungskonzept des § 1157 Abs. 1 ABGB widerspricht, wonach der Dienstgeber für alle Gerätschaften auf seine Kosten zu sorgen hat. Dabei kommt es notgedrungen zu rechtlichem Konfliktpotenzial.
Verursacht der Arbeitnehmer bei der Verwendung seines privaten Geräts einen Schaden im Unternehmen, so liegt ein Fall der Dienstnehmerhaftung nach DHG[54] vor, welches den Ersatz von Schäden regelt, die ein Dienstnehmer bei der Erbringung seiner Arbeitsleistung dem Dienstgeber oder Dritten zufügt.[55] Während im Falle einer entschuldbaren Fehlleistung der Arbeitnehmer iSd § 2 Abs. 3 DHG überhaupt nicht haftet, besteht im Bereich der Fahrlässigkeit ein richterliches Mäßigungsrecht, welches bei leichter Fahrlässigkeit auch zum gänzlichen Erlassen führen kann.[56]
Jedes BYOD ist mit Software ausgestattet, wobei bei Endgeräten für Verbraucher grundsätzlich davon auszugehen wäre, dass diese nicht für die gewerbliche Nutzung bestimmt ist. Im Falle einer betrieblichen Verwendung entsteht daher möglicherweise ein Verstoß gegen die lizenzrechtliche Vereinbarung, wodurch sich schadenersatzrechtliche Konsequenzen ergeben können.
Aus steuerlicher Sicht ergibt sich aus der betrieblichen Nutzung eines mobilen Endgeräts durch Arbeitnehmer noch kein Sachbezug. Wird jedoch vom Unternehmer ein über den konkreten Aufwandsersatz hinausgehender Bezug geleistet, so resultieren daraus die Lohn- und Sozialversicherungspflicht.[57]
Gerade weil im Bereich BYOD kaum Judikatur vorhanden ist, sind möglichst detaillierte vertragliche Regelungen im Unternehmen von größter Bedeutung, um die erkannten Risiken entsprechend zu minimieren. Immerhin ist der Unternehmer ungeteilt für die Datensicherheit verantwortlich, ohne jedoch über ein wirkliches Kontrollinstrument zu verfügen. Ist er bemüht, durch entsprechende Kontrolle sein BYOD-Risiko zu definieren, so obliegen ihm sehr enge Schranken.
Wesentlichstes Kriterium ist die Frage, ob der Unternehmer die Verwendung des privaten Geräts im Unternehmen erlaubt hat. Ist dies der Fall, so bleiben ihm die Kontrollrechte nach § 24 DSG 2000, ansonsten bedingt die Einführung von Kontrollmaßnahmen iSd § 96 Abs. 1 Z 3 ArbVG[58] die Zustimmung des Betriebsrates.
Ein effektives Instrument der unternehmerischen BYOD-Strategie ist das Mobile Device Management (MDM), also die Verwaltung der Mobilgeräte durch einen Administrator. Dadurch hat der Unternehmer die Möglichkeit, sich gewisse Zugriffs- und Administratorenrechte in Bezug auf die privaten Endgeräte seiner Arbeitnehmer zu verschaffen, um beispielsweise Firmendaten vom Gerät zu löschen.[59] Gleichzeitig verhindert das MDM den Zugriff auf private Daten, schützt also den Unternehmer vor möglicherweise ungewollter Ausspähung privater Daten seiner Mitarbeiter.
Am Beispiel des in schadenersatzrechtlichen Angelegenheiten dispositiv anwendbaren § 1014 ABGB zeigt sich deutlich, wie relevant die Berücksichtigung der unternehmerischen BYOD-Strategie bereits bei der Erstellung des Arbeitsvertrages ist, zumal bei späterer Berücksichtigung ein Verschlechterungsverbot gegenüber den Arbeitnehmern besteht. Die Richtlinienerstellung in Zusammenarbeit mit dem Betriebsrat iSd § 96 Abs. 1 Z 3 ArbVG[60] bzw. iSd § 10 Abs. 1 AVRAG[61] in Unternehmen ohne Betriebsrat ermöglicht den Verweis auf das MDM in der jeweils gültigen Fassung.
Die im vorhergehenden Kapitel angesprochenen lizenzrechtlichen Problemstellungen kann das Unternehmen durch die Anwendung eines Software-Lizenz-Asset-Management-Prozess (SLAMP) überwinden. Dabei werden die im Unternehmen benötigten Lizenzen zentral verwaltet und im Bedarfsfall zur Verfügung gestellt. Es wird demnach Sorge getragen, dass die benötigte Lizenz zur richtigen Zeit am richtigen Computer zum bestmöglichen Preis zur Verfügung steht. Außerdem werden Unterlizenzierungen und die Verwendung von privaten Raubkopien auf unternehmenseigenen Rechnern verhindert.[62]
Im nächsten Gedankenschritt wäre die Software dann nicht mehr auf dem Endgerät installiert, sondern würde überhaupt zentral verwaltet. Unabhängig davon, ob die Software innerbetrieblich zur Verfügung gestellt oder in einer Cloud verfügbar gehalten wird, spricht man von Software as Service (SaS). Im Falle einer Auslagerung an Softwareanbieter befinden wir uns also bereits im Cloud Computing, welchem sich das folgende Kapitel widmet.
Insgesamt zeigt sich deutlich, dass aus der Sicht des Unternehmers für die Implementierung einer BYOD-Strategie erheblicher Aufwand zu bewältigen ist und rechtliche Nachteile resultieren. In diesem Sinne ist primär davon abzuraten, die Verwendung privater mobiler Endgeräte zu erlauben oder auch nur zu dulden.
Alternativ kann der Unternehmer seinen Mitarbeitern Choose Your Own Device (CYOD) anbieten. Bei diesem Modell wählt der Arbeitnehmer ein entsprechendes mobiles Endgerät aus, welches durch den Arbeitgeber angeschafft wird. Die Hardware und Software des Geräts werden in die IKT-Struktur des Unternehmens eingebunden, und im Anschluss geht das Gerät zur dienstlichen und privaten Nutzung ins Eigentum des Mitarbeiters über. Datenschutzrechtliche Problemstellungen werden durch Mobile Device Management hintangehalten. Das CYOD bietet dem Unternehmer also die Möglichkeit, der unternehmerischen Sorgfaltspflicht zu entsprechen, gleichzeitig aber auf die persönlichen Bedürfnisse seiner Arbeitnehmer einzugehen.
Die Auslagerung von Dienstleistungen und Arbeitsprozessen in andere Unternehmen zur Senkung von Kosten ist bereits lange unter dem Stichwort Outsourcing bekannt. Cloud-basierte Dienstleistungen bieten Unternehmen ein neues Auslagerungsmodell, indem sie auf der Nutzung einer technologisch wesentlich stärker standardisierten, dafür jedoch weitgehend dynamischen, orts- und umgebungsunabhängigen Infrastruktur und Diensterbringung basieren.[63] Es werden also zentral verfügbar gehaltene Leistungen bei Bedarf bereitgestellt. Die dynamische Anpassung der Leistung ermöglicht eine Berechnung der Kosten nach dem tatsächlichen Verbrauch.
Die Angebote an Clouds sind bereits ausgesprochen umfangreich. Wesentliche Kategorisierungsmöglichkeiten ergeben sich aus Cloud-Liefermodellen und Cloud-Servicemodellen. Beispiele für Cloud-Liefermodelle sind die Public Cloud und die Private Cloud. Primäres Unterscheidungsmerkmal ist die Möglichkeit des Zugriffs auf die Informationen in der Cloud. „Während man unter Public Cloud die jedermann zugängliche Abrufbarkeit von Rechenleistungen, IT-Infrastrukturdienstleistungen und Anwendungen für eine unbestimmte Vielzahl von Nutzern versteht, ermöglicht die Private Cloud eine spezifisch auf die Bedürfnisse eines einzelnen Kunden ausgerichtete visualisierte Rechenumgebung. [64] “
Exemplarisch können für den Bereich der Cloud-Servicemodelle die Umsetzungsmöglichkeiten Software-as-a‑Service (SaaS) und Platform-as-a-Service (PaaS) angeführt werden. Das SaaS stellt dem Nutzer komplette Anwendungen, also Standardsoftware auf Basis einer Cloud-Infrastruktur zur Verfügung, auf die er über das Internet zugreifen kann. Das PaaS ermöglicht dagegen dem Nutzer eine Plattform in der Cloud, in der er auf benutzerdefinierte Anwendungen zugreifen kann, also Entwicklungsmöglichkeiten hat.[65]
Die unternehmerische Sorgfaltspflicht findet auch dann Anwendung, wenn sich die Daten des Unternehmens in einer Cloud befinden. Während eine Public Cloud für die Auslagerung sensibler Informationen ohnehin von vornherein ausscheidet, ist die Datenspeicherung in einer Private Cloud durchaus möglich. Hier sind Maßnahmen für den Schutz der Information durch die Anwendung von Kryptografie noch relativ einfach möglich. Datenschutzrechtlich geschützte Informationen, wie beispielsweise personenbezogene Daten iSd § 4 Abs. 1 DSG 2000[66], müssen einer bestimmbaren Person zugeordnet werden können.[67] Genau das wird durch den Einsatz von Kryptografie erfolgreich verhindert.
Nutzt das Unternehmen die Cloud nicht nur als Speichermedium, sondern auch als Cloud‑Service, so können die Daten nur dann verschlüsselt werden, wenn auch der Cloud-Anbieter die Möglichkeit zur Entschlüsselung hat.[68] Jedenfalls müssen die Informationen unverschlüsselt in der Cloud zur Verfügung stehen, um bearbeitet werden zu können. Damit hat zumindest der Betreiber der Cloud die Möglichkeit, auf diese Daten zuzugreifen. Das Hochladen der Daten in die Cloud ist praktisch mit einer Datenübermittlung gleichzusetzen. Überlässt ein Unternehmen im Zuge des Cloud-Service einem Cloud-Betreiber Daten, so hat es sich iSd § 10 Abs. 1 DSG 2000[69] von der rechtmäßigen und sicheren Datenverwendung zu überzeugen.
Schon das DSG 2000 verweist auf vertragliche Vereinbarungen mit dem Anbieter. Im unternehmerischen Bereich wird im Zuge eines Security Aspect Letter (SAL) der gesamte Aufgabenkreis der Informationssicherheit detailliert geregelt. Sich von der rechtmäßigen und sicheren Datenverwendung zu überzeugen lässt dem Unternehmer weitgehend Handlungsspielraum. Jedenfalls wird man dies voraussetzen können, wenn die Verlässlichkeit des Anbieters durch staatliche oder zertifizierte Stellen nachgewiesen wurde.
Durch die Informationssicherheitskommission (ISK) werden für den Bereich zivil klassifizierter Informationen und durch das Abwehramt (AbwA) für den Bereich militärisch klassifizierter Informationen Sicherheitsunbedenklichkeitsbescheinigungen (SUB) auf Basis der Sicherheitsunbedenklichkeitsbescheinigungsverordnung[70] (SUBV) für verlässlichkeitsgeprüfte Unternehmen ausgestellt. Im internationalen Verkehr wird unter Berücksichtigung der entsprechenden bi- oder multilateralen Verpflichtungen von Facility Security Clearances (FSC) gesprochen. Für den Unternehmer ist in Hinblick auf seinen Cloud-Anbieter von Relevanz, dass jeweils die Verlässlichkeit des Unternehmens als auch die Lagermöglichkeit für klassifizierte Informationen gegeben ist.
Unternehmen ohne SUB können sich einem Informationsicherheitsaudit unterwerfen. Mögliche Zertifizierungen erfolgen hier auf Basis der ISO 27001. Diese Audits sind ausschließlich von solchen Dienstleistern anzubieten, die iSd Akkreditierungsgesetzes 2012 dazu berechtigt sind. Gem. § 3 Abs. 1 AkkG 2012[71] ist der der Bundesminister für Wirtschaft, Familie und Jugend die zuständige Akkreditierungsstelle.
Verfügt der Cloud-Anbieter über kein entsprechendes Zertifikat, so obliegt die Verpflichtung zur Überprüfung dem Unternehmer selbst. Dies gestaltet sich vor allem in Hinblick auf mögliche Auslagerungen von Servern in verschiedene Staaten und die jeweils unterschiedlichen rechtlichen Regelungen ausgesprochen schwierig.
Der Unternehmer sieht sich hier einem Bedrohungsspektrum gegenüber, das von IKT‑Bedrohungen, wie unsicheren Schnittstellen, über mögliche unlautere Mitarbeiter bis hin zur unsicheren Infrastruktur reicht. Gleichzeitig kann der Cloud-Anbieter nicht jedem seiner Kunden seine gesamte Sicherheitsarchitektur offenlegen, ohne diese gleichzeitig ad absurdum zu führen.
Wesentliches Element beim Zugriff auf Informationen ist neben der generellen Möglichkeit auch die Notwendigkeit des Zugriffs, das sogenannte need to know[72]. Der Unternehmer muss demnach im Zuge seiner unternehmerischen Sorgfaltspflicht auch sicherstellen, dass seine Mitarbeiter nur dann auf sensible Informationen in der Cloud zugreifen, wenn die unmittelbare Erfüllung ihrer dienstlichen Aufgaben dies erfordert. Besonders relevant ist in diesem Zusammenhang ein möglicher Zugriff nach Beendigung des Dienstverhältnisses.
Arbeitnehmer ist, wer aufgrund eines privatrechtlichen Vertrages einem anderen in persönlicher Abhängigkeit zur Dienstleistung verpflichtet ist.[73] Im Grunde zielt die arbeitsrechtliche Definition des Arbeitnehmers also nicht unbedingt auf die körperliche Präsenz des Arbeitnehmers im Unternehmen ab.
Während flexible Arbeitszeitmodelle, wie die gleitende Arbeitszeit iSd § 4b Abs. 1 AZG[74], bereits durchaus etabliert sind, bietet das Cloud Computing dem Arbeitnehmer eine neue Art der Flexibilität. Durch die Möglichkeit des Zugriffs auf notwendige Informationen in der Cloud anstatt im Unternehmen bietet sich das ergebnisorientierte Arbeiten als Alternative zur körperlichen Präsenz.
Die genaue Abgrenzung zur werkvertraglichen Tätigkeit ist durch Betriebsvereinbarungen oder personenbezogen im Arbeitsvertrag zu erläutern, zumal das ergebnisorientierte Arbeiten sich nur schwer von der Herstellung eines bestimmten Erfolges gegen Entgelt iSd § 1165 ff ABGB[75] abgrenzen lässt. Wesentliche Merkmale zur Abgrenzung sind hier der Grad der Eingliederung in die Organisation und die persönliche Abhängigkeit.[76]
Zum Zugriff auf Informationen in der Cloud sind im Rahmen der gesetzlichen Bestimmungen auch Behörden berechtigt. Durch das Auslagern von Servern seitens des Cloud-Anbieters oder die Kooperation mit ausländischen Unternehmern sieht sich der Cloud-Nutzer deren Normen gegenüber. Auch durch bi- oder multilaterale Abkommen können ausländische Normen Einfluss auf die Datensicherheit nehmen.
Exemplarisch kann hier das Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism [77] (USA PATRIOT) angeführt werden. Dieses Gesetz zur Bekämpfung des Terrorismus erlaubt Zugriff auf Informationen von US-Unternehmen auch innerhalb der Europäischen Union (EU), ohne dass die betroffenen Kunden davon in Kenntnis gesetzt werden müssen.
Das Safe-Harbor-Abkommen[78] zwischen der Europäischen Union und den Vereinigten Staaten von Amerika ist aufgrund der starken wirtschaftlichen Verbindungen zwischen den beiden Partnern entstanden und regelt im Kern, dass US-Unternehmen sich freiwillig datenschutzrechtlichen Mindeststandards der EU iSd Europäischen Datenschutzrichtlinie[79] unterwerfen und damit die Übermittlung personenbezogener Daten möglich wird. Bereits mehr als 4 000 US Unternehmen haben diese Möglichkeit genutzt.[80] Der PATRIOT Act erlaubt selbstverständlich auch Zugriff auf diese Informationen.
Notwendig wurde dieses Abkommen, weil das amerikanische Rechtssystem den Begriff Datenschutz kaum benutzt.[81] Einzelne haben kein mit europäischen Standards vergleichbar umfassendes Recht auf Datenschutz.[82]
Die durch den Unternehmer zu berücksichtigenden Normen gehen demnach weit über die nationalen Normen hinaus.
[...]
[1] Vgl. Gabler Verlag, Gabler Wirtschaftslexikon,
http://wirtschaftslexikon.gabler.de/Archiv/7464/information-v9.html (25.06.2013)
[2] Vgl. Schummer, Allgemeines Unternehmensrecht7 (2008) 11
[3] Vgl. Nagy/Gvozdanovic, Der Informationssicherheitsberater und das Eisbergprinzip (2006) 7
[4] Vgl. Schauer, Betriebswirtschaftslehre2 (2009) 21
[5] Vgl. Nagy/Gvozdanovic, Der Informationssicherheitsberater und das Eisbergprinzip (2006) 25
[6] DSG 2000 BGBl I 1999/165
[7] UrhG BGBl I 1936/111
[8] Vgl. Nagy/Gvozdanovic, Der Informationssicherheitsberater und das Eisbergprinzip (2006) 17
[9] Vgl. Jaksch-Ratajczak, Aktuelle Rechtsfragen der Internetnutzung (2010) 16
[10] Vgl Eckert, IT-Sicherheit7 (2012) 16
[11] Vgl Eckert, IT-Sicherheit7 (2012) 18
[12] Karollus/Köck/Stadlmeier/Leidenmühler, Völkerrecht Glossar2, (2009) 7
[13] Karollus/Köck/Stadlmeier/Leidenmühler, Völkerrecht Glossar2, (2009) 36
[14] InfoSiV BGBl I 2003/548
[15] InfoSiG BGBl I 2002/23
[16] Vgl. Bundeskanzleramt, Geschäftseinteilung des Bundeskanzleramts, http://www.bka.gv.at/gfe/gfe_org.aspx?org=I/12&ebene=abteilung&par=I&super=&jahr=&monat= (28.06.2013)
[17] 2001/264/EG
[18] C-M(2202)49
[19] BGBl 1996/18
[20] Abkommen zwischen der Österreichischen Bundesregierung und der Regierung der Republik Bulgarien über den Austausch und den gegenseitigen Schutz klassifizierter Informationen, BGBl I 2008/159
[21] Abkommen zwischen der Österreichischen Bundesregierung und den Vereinten Nationen über den Austausch und gegenseitigen Schutz klassifizierter Informationen mit dem gemäß Sicherheitsratsresolution 1904 (2009) errichteten Büro der Ombudsperson, BGBl III 2012/117
[22] RL 95/46/EG
[23] DSG 2000 BGBl I 1999/165
[24] Vgl. Schroeder, Grundkurs Europarecht2 (2011) Rz 44
[25] Vgl. Borchardt, Die Rechtlichen Grundlagen der Europäischen Union4 (2010) Rz 522
[26] Vgl. President of the United States, Executive Order 13556 of November 4, 2010
[27] Vgl. Stadlmeier, Informationssicherheit, InfoSiG und InfoSiVO, ZÖR 2007, 61
[28] GmbHG BGBl I 1997/114
[29] AktG BGBl I 1997/114
[30] GenG BGBl I 2008/70
[31] Vgl. Kersten/Reuter/Schröder, IT-Sicherheitsmanagement nach ISO 27001 und Grundschutz (2008) 2
[32] UGB BGBl I 2005/120
[33] Vgl. Keiner t , Das neue Unternehmensrecht (2006) Rz 257
[34] UGB BGBl I 2005/120
[35] Vgl. Keinert, Das neue Unternehmensrecht (2006) Rz 256
[36] Vgl. Riedler, Zivilrecht IV3 (2010) Rz 2/35
[37] Vgl. Hanser, Der Kontinuierliche Verbesserungsprozess4 (2008) 11
[38] Bundeskanzleramt, Österreichisches Informationssicherheitshandbuch (2013) 38
[39] Vgl Eckert, IT-Sicherheit7 (2012) 14
[40] Vgl. Jabornegg/Resch/Strasser, Arbeitsrecht3 (2008) Rz 47
[41] Vgl. Theißen, Risiken informations- und kommunikationstechnischer Implantate in Hinblick auf Datenschutz und Datensicherheit in Dreier/Sester/Spieker Schriften des Zentrums für angewandte Rechtswissenschaft (2009) 60
[42] DSG 2000 BGBl I 1999/165
[43] ABGB BGBl I 1916/69
[44] Vgl. Stadlmeier, Informationssicherheit, InfoSiG und InfoSiVO, ZÖR 2007, 87
[45] Stadlmeier, Informationssicherheit, InfoSiG und InfoSiVO, ZÖR 2007, 90
[46] StGB, BGBl I 1974/60
[47] OGH 31.05.1983, 4 Ob 35/82
[48] DSG 2000 BGBl I 1999/165
[49] Vgl. Jabornegg/Resch/Strasser, Arbeitsrecht3 (2008) Rz 549
[50] ArbVG, BGBl I 2005/8
[51] Vgl. Jabornegg/Resch/Strasser, Arbeitsrecht3 (2008) Rz 158
[52] UWG, BGBl 1984/448
[53] Vgl. Jabornegg/Resch/Strasser, Arbeitsrecht3 (2008) Rz 47
[54] DHG BGBl I 1965/80
[55] Vgl. Riedler, Zivilrecht IV3 (2010) Rz 4/1
[56] Vgl. Riedler, Zivilrecht IV3 (2010) Rz 4/2
[57] Vgl. Jabornegg/Resch/Strasser, Arbeitsrecht3 (2008) Rz 328
[58] ArbVG BGBl I 2010/101
[59] Vgl. Baumgartner/Ewald, Apps und Recht (2013) Rz 334
[60] ArbVG, BGBl I 2005/8
[61] AVRAG BGBl I 1999/179
[62] Vgl. Groll, 1x1 des Lizenzmanagements (2009) 15
[63] Vgl. Lubich, Sicheres Cloud Computing in Lang (Hrsg) CIO Handbuch (2012) 63
[64] Duisberg, Gelöste und ungelöste Rechtsfragen im IT-Outsourcing und Cloud Computing (2011) 50
[65] Vgl. Buxmann/Lehmann/Draisbach/Knoll/Diefenbach/Ackermann, Cloud Computing und Software as a Service: Konzeption und Preisgestaltung in Onlinerecht (2011) 22
[66] DSG 2000 BGBl I 1999/165
[67] Vgl. Köhler/Arndt/Fetzer, Recht des Internet7 (2011) Rz 974
[68] Vgl. Köhler/Arndt/Fetzer, Recht des Internet7 (2011) Rz 975
[69] DSG 2000 BGBl I 1999/165
[70] SUBV, BGBl II 2006/195
[71] AkkG 2012, BGBl I 2012/28
[72] Vgl. Bundesministerium für Landesverteidigung und Sport, Geheimschutzvorschrift S90619/1‑SI/2011 Rz 51
[73] Vgl. Jarbornegg/Resch/Strasser, Arbeitsrecht3 (2008) Rz 46
[74] Arbeitszeitgesetz , BGBl I 2007/61
[75] ABGB, RGBl 1916/69
[76] Vgl. Jarbornegg/Resch/Strasser, Arbeitsrecht3 (2008) Rz 54
[77] USA PATRIOT ACT of 2001, 107th Congress (2001-2002), H.R.3612ENR
[78] RL 2000/520/EG
[79] RL 95/46/EG
[80] Vgl. U.S. Department of Commerce, Helping US companies export, http://export.gov/safeharbor/ (06.08.2013)
[81] Vgl. Feiler, Information Security Law in the EU and the U.S. (2012) 12
[82] Vgl. Feiler, Information Security Law in the EU and the U.S. (2012) 13
Kommentare