Sicherheitsrisiko: Bring your own device - wenn die ganze Schweiz im Homeoffice arbeitet
Die möglichen Szenarien sind vielseitig:
Ein Architekt lässt sein Handy im Zug liegen, darauf befinden sich auch geschäftliche E-Mails mit Kunden und Bauunternehmen. Das Handy wird schnell von einer Drittperson gefunden. Wegen mangelnder Verschlüsselung und Passwortschutz verschafft sich der geschickte Finder Zugang zu den geschäftlichen E-Mails. Der Finder verfügt nun über Daten zu künftigen und aktuellen Projekten, welche er teuer weiterverkaufen kann.
Ein Büromitarbeiter nutzt zu Hause seinen privaten Laptop fürs Homeoffice. Nun erhält er die Ferienfotos von der letzten Kumpel-Reise per USB-Stick und will diese während der Pause kurz auf sein Gerät laden. Was weder er noch sein Kumpel wissen: Der Stick ist mit Malware (deutsch: Schadsoftware) verseucht, sein Gerät wird unwissentlich infiziert. Im Hintergrund zügeln Cyberkriminelle die Unternehmensdaten gleich mit ab.
Eine Ärztin nutzt ihren privaten Laptop ebenfalls für geschäftliche Zwecke und verschafft sich damit Zugang auf die Krankenakten ihrer Patienten. Nun öffnet sie während der Arbeit eine private E-Mail, welche eine Schadsoftware enthält. Damit verschafft sie unbekannten Dritten nicht nur Zugang auf ihre privaten Daten, sondern auch auf die hoch sensiblen Daten ihrer Patienten.
Wie das BAG meldet, müssen wir zurzeit nicht nur mit realen Viren kämpfen, sondern auch mit Virtuellen. So wird die aktuelle Krise geschickt von Cyberkriminellen ausgenutzt, beispielsweise für den Versand von Phishing-Mails.
Falls Du als Arbeitgeber/-in das Homeoffice mit privaten Geräten angeordnet hast, wirst Du nicht darum herumkommen, Dich mit einigen arbeitsrechtlichen und datenschutzrechtlichen Fragen auseinanderzusetzen. Gehörst Du zu einer Branche, welche mit Kundendaten arbeitet, ist eine detaillierte BYOD-Regelung ein Muss.
Wir haben uns diesem Thema angenommen und möchten Dir aufzeigen, worauf Du als Arbeitgeber/-in bei der Anordnung von BYOD achten musst.
Die BYOD-Regelung: Was gehört hinein?
Wenn Du deinen Mitarbeitenden den Zugang auf die Unternehmensdaten via privaten Laptops und Handys erlaubst, solltest Du einige Punkte zwingend schriftlich regeln.
Am besten hältst Du die wichtigsten Do’s and Dont’s in einem BYOD-Reglement als Zusatz zum Arbeitsvertrag fest. Da das BYOD auch persönlichkeitsrechtliche Aspekte der Arbeitnehmer/-innen regelt, sollte es von den Mitarbeitenden unterzeichnet werden.
Sollte es später zu einer Auseinandersetzung kommen, ist es immer vorteilhaft, wenn sich die Mitarbeitenden ausdrücklich mit dem Inhalt der BYOD-Regelung einverstanden erklären.
Dein BYOD-Reglement sollte mindestens die nachfolgenden Punkte enthalten:
Das jederzeitige Widerrufsrecht des Arbeitgebers/der Arbeitgeberin
Eine Liste der erlaubten Geräte
Eine Kostentragungsregel für Anschaffungs-, Abonnements- und Wartungskosten
Vorgaben zur Trennung von privaten und geschäftlichen Daten (allenfalls mittels spezifischen Apps/Programmen)
Die Grundsätze der Datensicherheit, Datenverwendung und Speicherort
Nutzungsregeln und Hinweis auf die Haftung der Mitarbeitenden nach Art. 321e OR
Verhaltenspflichten der Mitarbeitenden, Meldepflicht bei verlorenen oder gestohlenen Geräten
Verhaltensanweisungen an Mitarbeitende bei Verdacht auf Cyberangriffe
Zugriffsrechte des Arbeitgebers/der Arbeitgeberin auf das private Gerät (beispielsweise via Fernwartung)
Eine Arbeitszeitenregelung (lediglich das Bereithalten von privaten Geräten zum Arbeitseinsatz gilt nicht als Arbeitszeit)
Eine Regelung für die Beendigung des Arbeitsverhältnisses (insbesondere zur Löschung der Daten)
Nachfolgend wird auf drei Punkte näher eingegangen:
Die Kostentragung – musst Du als Arbeitgeber/-in die Kosten für die Anschaffung und Wartung von privaten Geräten deiner Mitarbeitenden übernehmen?
Als Arbeitgeber/-in musst Du die Arbeitsmittel gemäss Art. 327 OR zur Verfügung stellen. Dass die Mitarbeitenden für die IT-Infrastruktur am Arbeitsplatz keine Kosten tragen müssen, ist offensichtlich. Wie steht es aber um Geräte, welche auch privat eingesetzt werden?
Gemäss Art. 327 Abs. 2 OR müssen die Mitarbeitenden für das selbständige Beschaffen von Arbeitsgeräten angemessen entschädigt werden, soweit nichts Anderes vereinbart ist. Eine ausdrückliche Regelung über die Kostentragung oder –teilung ist daher für Dich als Arbeitgeber/-in von Vorteil, ansonsten bist Du plötzlich mit Entschädigungsforderungen für die Gerätebeschaffung konfrontiert.
Anders verhält es sich mit Wartungs-, Reparatur- oder Verbindungskosten. Diese Kosten gehören zum Auslagenersatz nach Art. 327a OR, auf welchen die Mitarbeitenden zwingend Anrecht haben. Wenn eine gemischte Nutzung vorliegt, sollte eine Kostenteilung zulässig sein. Anstatt Realkostenersatz ist eine Pauschalentschädigung zulässig.
Die Nutzung – darfst Du Deinen Mitarbeitenden vorschreiben, wie sie ihr privates Gerät nutzen dürfen? Darfst Du die Nutzung beschränken und gewisse Programme verbieten?
Als Arbeitgeber/-in hast Du gegenüber deinen Mitarbeitenden ein Weisungsrecht und darfst ihnen Vorgaben zur Erfüllung ihrer Arbeiten machen. Dazu gehören auch Verhaltensverbote. Die private Nutzung des privaten Geräts während der Arbeitszeit darf eingeschränkt oder verboten werden.
Weiter ist es zulässig, wenn Du deinen Mitarbeitenden gewisse Mindestsicherheitseinstellungen vorgibst, wie Vorschriften zur Setzung von Passwörtern, automatische Bildschirmsperren und die Nutzung von Verschlüsselungsprogrammen, oder den Download und die Nutzung gewisser Apps (z.B. Container-Apps), um die Datensicherheit zu gewährleisten.
Wie sieht es aber mit dem Nutzungsverhalten in der Freizeit aus? Nutzungsbeschränkungen müssen verhältnismässig sein. Ein Verbot, gewisse Webseiten oder Programme in der Freizeit zu verwenden, geht wohl zu weit. Hier stehst Du als Arbeitnehmer/-in in der Pflicht, für die Trennung von Privat- und Geschäftsdaten Softwarelösungen bereitzustellen, damit die freizeitliche Nutzung der Geräte nicht zum Cyberrisiko für das Unternehmen wird.
Die Datensicherheit – darfst Du Dir als Arbeitgeber/-in Zugang auf die privaten Geräte Deiner Mitarbeitenden beschaffen?
Als Arbeitgeber/-in bist Du in der Pflicht, dass von dir gespeicherte Personendaten (z.B. Kundendaten) nicht durch unbefugte Dritte angesehen, bearbeitet, manipuliert oder gespeichert werden können (Art. 7 DSG). Unterlässt Du die angemessenen Sicherheitsmassnahmen, kann dies eine Haftung bspw. gegenüber Deinen Kunden zur Folge haben.
Um den Datenschutz zu gewährleisten, musst Du Dir unweigerlich Zugang auf die privaten Geräte Deiner Mitarbeitenden verschaffen können, wenn sie diese Geräte für die Arbeit nutzen. Dies setzt voraus, dass du beispielsweise mittels Fernzugriff besonders sensible Kundendaten oder allfällige Malware entfernen kannst. Da ein solcher Zugriff allenfalls ein Eingriff in die Persönlichkeitsrechte der Mitarbeitenden darstellt, muss die Zugriffsmöglichkeit und deren Rahmen klar umschrieben werden. Denn die Mitarbeitenden müssen einer solchen Zugriffsmöglichkeit zwingend zustimmen. Der Zugriff auf die privaten Daten der Mitarbeitenden ist per se nicht zulässig. Technisch muss der Zugriff deshalb auf eine Weise realisiert werden, dass der/die Arbeitgeber/-in die privaten Daten gar nicht erst sehen bzw. öffnen kann.
In diesem Zusammenhang ist noch zu erwähnen, dass die zur Fernwartung implementierten Lösungen nicht zu einer versteckten Überwachung der Mitarbeitenden führen darf. Überwachungen der Internetnutzung dürfen in der Regel nur mit Ankündigung und für alle Mitarbeitenden erfolgen (Ausnahmen sind nur unter bestimmten Voraussetzungen möglich).
Gerne unterstützen wir dich:
Um Haftungs- und Kostenfragen im Zusammenhang mit der Nutzung von privaten Geräten fürs Geschäft zu klären, ist eine BYOD-Regelung unerlässlich. Zudem kannst Du damit aktuelle Sicherheitsfragen klären und künftigen Sicherheitsrisiken vorbeugen.
Solltest Du das Ausarbeiten einer BYOD-Regelung wünschen, stehen wir Dir gerne zur Verfügung.
Anmerkung: Empfehlungen von MELANI
Möchtest du Tipps und Tricks zur technischen Umsetzung des BYOD, empfehlen Dir, die Webseite der Melde- und Analysestelle des Bundes (MELANI) aufzusuchen. MELANI stellt diverse Checklisten und Handlungsanweisungen für KMU’s bereit, welche ihre Mitarbeitenden regelmässig vom Homeoffice aus arbeiten lassen.
MELANI hat gerade im Zusammenhang mit der aktuellen, aussergewöhnlichen Situation das Merkblatt „HOME-OFFICE: SICHERER UMGANG MIT FERNZUGRIFFEN“ des Nationalen Zentrums für Cybersicherheit publiziert, um KMU’s bei der Umsetzung der Home-Office-Empfehlung des Bundesrats zu unterstützen.
Mehr Informationen zum Thema Datenschutz oder Arbeitsrecht.