zurück zum Artikel

Mit dem Schlagwort „Bring Your Own Device“ (BYOD) assoziieren viele IT-Administratoren und Geschäftsführer Begriffe wie „IT-Wildwuchs“ und „unkontrollierte Schatten-IT“. Doch die Anwender setzen oft schon jetzt ihre Privatgeräte beruflich ein. Wer hiervor die Augen verschließt und nichts tut, belügt sich selbst.

Die Spielarten von BYOD sind vielfältig. Sie reichen von der gelegentlichen Nutzung des privaten Smartphones für geschäftliche Telefonate bis zur vollständig eigenverantwortlichen Beschaffung und Administration privater Laptops durch einzelne Mitarbeiter. BYOD bezieht sich in der aktuellen Diskussion zwar grundsätzlich auf mobile Endgeräte, aber ein Großteil der im Artikel beschriebenen Aspekte gilt auch für Heimarbeitsplätze.

Bei einem BYOD-Szenario sind verschiedene Grundkonstellationen denkbar:

• Der Arbeitgeber erlaubt die dienstliche Nutzung privater Endgeräte außerhalb des Unternehmensnetzes,
• er erlaubt sie innerhalb des Unternehmensnetzes

• der Arbeitnehmer hat sich gegenüber dem Arbeitgeber dazu verpflichtet, private Endgeräte beruflich zu nutzen.

Doch oft liegt ein ganz anderer Fall vor: Ein Angestellter bringt einfach seinen Privat-Laptop mit in die Firma und arbeitet damit. Was zur Frage führt: Ist BYOD ohne Zustimmung des Arbeitgebers erlaubt?

Allgemeine Antwort: Nein. Der Einsatz privater Endgeräte bedarf der Erlaubnis des Arbeitgebers. Fehlt diese, kann der Arbeitgeber arbeitsrechtlich vorgehen und gegebenenfalls Schadensersatz fordern – zum Beispiel für die Beseitigung von Viren, die über ein ungenügend geschütztes Notebook ins Firmennetz eindringen konnten.

Relevant ist in diesem Fall, ob der Arbeitnehmer mit dem eigenen Gerät auf die Unternehmens-IT zugegriffen hat. Nur Mitbringen und ein bisschen Strom verbrauchen reicht in der Regel nicht für eine Kündigung. Unternehmensdaten ohne Erlaubnis des Arbeitgebers auf private Endgeräte zu speichern, könnte hingegen den Verdacht eines strafbaren Verrats von Geschäfts- oder Betriebsgeheimnissen begründen.

Aber: Weiß der Arbeitgeber von der Nutzung privater Endgeräte und duldet diese, ist die Rechtslage unklar. Eine sogenannte „betriebliche Übung“ könnte nach einer Weile das Recht begründen, private Endgeräte beruflich nutzen zu dürfen.

Es ist also auf jeden Fall ratsam, eine BYOD-Regelung einzuführen, und zwar so bald wie möglich. Dabei hat der Arbeitgeber verschiedene Optionen. Er kann grundsätzlich anweisen, ob und in welchem Rahmen er BYOD zulässt. Falls er es erlaubt, kann er Nutzungsregeln aufstellen. Sein Direktionsrecht wird allerdings umso schwächer, je mehr es in den privaten Lebensbereich des Arbeitnehmers eindringt. Über die private Nutzung fremden Privateigentums kann er nicht disponieren.

Theoretisch ließen sich im Arbeitsvertrag der Mitarbeiter detaillierte Regelungen zur Nutzung privater Endgeräte und deren Kontrolle treffen. Solche individuellen Regelungen sind aber nicht empfehlenswert. Zum einen ist dieses Verfahren, gerade im Hinblick auf bestehende Arbeitsverhältnisse, sehr aufwendig und jede Änderung bedarf der Zustimmung des Mitarbeiters. Zum anderen unterliegen solche Regelungen grundsätzlich der recht strengen AGB-Kontrolle. Das heißt: Klauseln, die den Arbeitnehmer unangemessen benachteiligen oder überraschend sind, sind unwirksam.

Existiert ein Betriebsrat, ist eine Betriebsvereinbarung meist der einfachere Weg. Eine solche gilt automatisch für alle Arbeitsverhältnisse.

Aus juristischer Sicht müssen IT- und Datensicherheit gewährleistet sein. Das folgt aus dem Datenschutzrecht beziehungsweise den allgemeinen Risikomanagementpflichten. BYOD stellt für das Risikomanagement des gesamten Unternehmens – nicht nur der IT – eine besondere Herausforderung dar, weil IT und Daten an eine natürliche Person auf mobile, leicht transportable Endgeräte mit in der Regel großen Datenspeichern ausgelagert werden.

Zunächst ist es erforderlich, das BYOD-Spektrum zu definieren, denn die notwendigen technischen Maßnahmen hängen stark von der jeweiligen BYOD-Auslegung ab. Üblicherweise sind folgende Punkte zu beachten:

• Festlegung von Positivlisten: Empfehlenswert ist eine Bezeichnung der jeweiligen Gerätetypen und Softwareversionen, insbesondere als Orientierung für die Mitarbeiter.
• Maßnahmen zum Arbeitgeberzugriff: Die Methoden und Prozesse zur Fernadministration und zur Fernlöschung des Geräts sollten definiert und explizit Gegenstand von entsprechenden Vereinbarungen sein.
• Datenschutz: Beschreibung, wie berufliche und private Daten getrennt werden, zum Beispiel mittels virtueller, mobiler oder webbasierter Anwendungen auf zentralen Servern.
• Aufbewahrungspflichten: Festzulegen ist, welche Daten darunter fallen und welche Maßnahmen zur Archivierung vorgeschrieben sind.

Ob BYOD datenschutzrechtlich zulässig ist, hängt weiter davon ab, ob die privaten Endgeräte überhaupt geeignet sind, einen angemessenen Schutz der dienstlichen, personenbezogenen Daten vor der unbefugten Kenntnisnahme Dritter zu gewährleisten. In der Regel dürfte es unzulässig sein, besondere Arten von personenbezogenen Daten wie gesundheitsrelevante Informationen, Kontodaten oder solche, die durch ein Berufsgeheimnis besonders geschützt sind, auf privaten IT-Systemen zu verarbeiten. Denn die technischen und organisatorischen Sicherheitsmaßnahmen sind nur mit erhöhtem Aufwand auf privaten Endgeräten gewährleistet.

Verbindungsfragen

Auch Verbindungsfragen sind wichtig

Festlegen sollte man auch, wie die mobile Netzanbindung erfolgen soll – über UMTS, DSL, WLAN oder andere Techniken? Und soll dafür eine geschäftliche oder eine private SIM-Karte eingesetzt werden? Aus Arbeitgebersicht sprechen für eine geschäftliche SIM-Karte die bessere Verhandlungsposition, die das Unternehmen bei Vertragsgesprächen mit Providern hat sowie die mögliche Kontrolle über die verwendeten Nummernkreise.

Je nach technischer Lösung kann es bei BYOD vorkommen, dass der Arbeitnehmer personenbezogene Daten, etwa von Kunden, auf sein privates Gerät kopiert. Im Datenschutzrecht gilt das Gebot, zu unterschiedlichen Zwecken erhobene Daten zu trennen. Eine Vermischung von privaten und geschäftlichen personenbezogenen Daten ist deshalb unzulässig. So ein Verstoß gegen das Bundesdatenschutzgesetz kann bis zu 50 000 Euro kosten.

Aus Datenschutzsicht ist es insbesondere fraglich, ob die Verarbeitung und Nutzung auf privaten Endgeräten der Mitarbeiter noch dem Arbeitgeber zugerechnet werden kann oder ob eine Datenübermittlung vorliegt. Letzteres bedarf grundsätzlich entweder der Erlaubnis des Betroffenen (in der Regel nicht praktikabel) oder eines gesetzlichen Erlaubnistatbestandes; denkbar, aber ebenfalls nicht praktikabel, wäre die Vereinbarung einer Auftragsdatenverarbeitung mit dem Arbeitnehmer.

Einfacher lösbar sind diese datenschutzrechtlichen Herausforderungen über technische Ansätze, bei denen datenschutzrechtlich keine Übermittlung vorliegt, etwa durch die Speicherung geschäftlicher Daten in einem abgeschlossenen, verschlüsselten Bereich (Container). Dessen Kontrolle muss vollständig in der Hand des Unternehmens liegen, insbesondere was die Verwaltung des Zugriffs auf die Daten angeht.

Andere datenschutzkompatible Lösungen, bei denen die Anwendung und die zugehörigen Daten vollständig im Unternehmenskontext verbleiben, sind zum Beispiel Virtualisierungslösungen oder Datentrennung in Containern.

Private Daten sind tabu

Private Daten sind tabu

Umgekehrt sollten die Einsichts-, Nutzungs- und Zugriffsrechte des Arbeitgebers hinsichtlich der auf dem privaten Gerät gespeicherten personenbezogenen Daten des Arbeitnehmers klar und unter Berücksichtigung der Grenzen des Beschäftigtendatenschutzes geregelt sein. Denn ohne konkreten Verdacht, dass der Mitarbeiter eine Straftat begangen hat, ist grundsätzlich ein Zugriff auf dessen private Daten unzulässig. Selbst wenn ein solcher Verdacht vorläge, brächte die Abwägung der Interessen von Arbeitgeber und Arbeitnehmer im Einzelfall eine gewisse Rechtsunsicherheit mit sich.

Der Zugriff auf private Daten unter Überwindung von Sicherheitsmechanismen des Arbeitnehmers kann sogar als Ausspähen, Abfangen oder Verändern von Daten mit Freiheits- oder Geldstrafe geahndet werden. Der IT-Administrator, der es trotzdem macht, macht sich strafbar und riskiert seinen Job. Als Lösung bieten sich wiederum der Vertragsweg, die schriftliche, dokumentierte Einwilligung des Mitarbeiters in die Kontrolle, oder die Technik an, zum Beispiel in Form einer Trennung von privaten und beruflichen Daten durch Virtualisierung oder in separaten Containern.

Bei einem eventuell nötigen Fernlöschen (Remote Wipe) wiederum lassen sich die privaten Daten meist nicht aussparen. Auch dafür sollte man zuvor das Einverständnis des Mitarbeiters eingeholt haben.

Haftung bei Verlust

Die Datenschutzrisiken stellen sich noch einmal komplexer dar, wenn Mitarbeiter auf ihren privaten Endgeräten Dienste von Cloud-Providern nutzen, die ihren Sitz außerhalb der Europäischen Union haben. Dann müsste durch spezielle Vereinbarungen ein angemessenes Datenschutzniveau hergestellt werden – einfacher ist, die Nutzung solcher Dienstleister in der Betriebsvereinbarung auszuschließen.

Was ganz teuer werden kann: Verliert der Mitarbeiter sein privates Endgerät oder wird es ihm gestohlen und funktionieren die notwendigen Maßnahmen wie Remote Wipe nicht oder zu spät, können Geschäftspartner, deren Daten mit dem Gerät verloren gegangen sind, zivilrechtliche, wettbewerbsrechtliche und datenschutzrechtliche Ansprüche auf Schadensersatz erheben. Dafür sind Geschäftsführer oder Vorstandsmitglieder haftbar, deren D&O-Versicherung (Organ- oder Manager-Haftpflichtversicherung) solche Fälle hoffentlich abdeckt.

Unkritischer aus Sicht des Arbeitgebers ist die Pflege der BYOD-Geräte. Grundsätzlich obliegt es dem Eigentümer des Endgerätes, die Hard- und Software instand zu halten. Sowohl für das private Gerät selbst als auch für das installierte Betriebssystem und die Anwendungssoftware ist ohne explizit anders lautende Vereinbarung der Mitarbeiter zuständig, selbst wenn er sie für betriebliche Zwecke nutzt. Eine Verlagerung dieser Pflichten auf den Arbeitgeber oder eine entsprechende Verpflichtung des Mitarbeiters bedürfen einer Vereinbarung.

Kostenfragen klären

Kostenfragen klären

Bei Zuschüssen sollte geregelt sein, ob sie als rückzahlbares Darlehen bei vorzeitigem Ausscheiden des Mitarbeiters oder als „verlorener Zuschuss“ gedacht sind. Möglicherweise ist auch eine jährliche Beteiligung des Arbeitgebers an den Kosten sinnvoll.

Generell hat der Arbeitgeber eine Schutzpflicht für die Gegenstände, die der Arbeitnehmer berechtigterweise in den Betrieb einbringt, sofern ein innerer Zusammenhang mit der Arbeitsleistung besteht – zum Beispiel ein privates Kfz oder private Arbeitskleidung. Für BYOD ist die Rechtslage noch nicht geklärt. Sofern der Mitarbeiter die privaten Endgeräte auf Weisung des Arbeitgebers am Arbeitsplatz nutzt und er hierfür keinen finanziellen Ausgleich erhält, dürfte aber eine Haftung des Arbeitgebers grundsätzlich zu bejahen sein.

Das gilt auch dann, wenn andere Mitarbeiter eine Mitschuld an der Beschädigung trifft. Gegen eine Haftung des Arbeitgebers sprächen die Nutzung von privaten Endgeräten ohne oder gegen dessen Willen, die Zahlung eines finanziellen Ausgleichs für die Bereitstellung und ein etwaiges Mitverschulden des Mitarbeiters.

Ohne vertragliche Reglung der betrieblichen Nutzung privater Endgeräte ist der Mitarbeiter bei Beschädigung oder Verlust im Übrigen nicht verpflichtet, ein Ersatzgerät anzuschaffen. Allerdings muss der Mitarbeiter arbeitsfähig bleiben. Es sollte also geregelt sein, wer die Kosten für die Reparatur oder die Neubeschaffung des Geräts (zu welchem Anteil) übernimmt.

Im Rahmen der privaten Nutzung des privaten Endgerätes können auch berufliche Daten in Mitleidenschaft gezogen werden. Wenn die Kinder beispielsweise auf dem BYOD-Tablet versehentlich Daten löschen, können erhebliche Schäden entstehen. Eine klare Regelung, wer das private System im Rahmen des BYOD-Programms wie nutzen darf, ist ratsam – wobei das Direktionsrecht des Arbeitgebers in der rein privaten Nutzungssphäre kaum noch spürbar ist.

Für den Verlustfall sollten Maßnahmen definiert und Prozesse aufgesetzt werden. Der Mitarbeiter muss wissen, was genau er zu veranlassen hat, um eine möglichst schnelle Fernlöschung auslösen zu lassen.
Zu überlegen ist, ob man nicht

BYOD zum Anlass nimmt, über neue Infrastruktur-Techniken nachzudenken. Wenn das Unternehmen beispielsweise sowohl den Desktop als auch Applikationen über eine Virtual Desktop Infrastructure (VDI) zur Verfügung stellt, trägt es so Sorge, dass sich keine kritischen Unternehmensdaten auf den privaten Endgeräten einnisten. Viele der erwähnten Schwierigkeiten hat man so elegant umgangen.

Kritisch kann die Nutzung von Software auf privaten Endgeräten sein, wenn der Arbeitgeber lediglich die Lizenz zur Nutzung von Software auf in seinem Eigentum stehenden Systemen erworben hat. Denn dann ist das Aufspielen auf ein BYOD-Device nicht gedeckt, da dieses ja dem Arbeitnehmer gehört. Andersherum umfasst die Privatlizenz des Mitarbeiters häufig nicht die kommerzielle Nutzung. In beiden Fällen drohen zusätzliche Lizenzgebühren.

Die leidigen Lizenzen

Die leidigen Lizenzen

Darum ist es abzuwägen, ob eine zentrale Softwarebeschaffung oder Eigenbezug durch den Mitarbeiter stattfinden soll. Als Beispiel sei auf das Home-Use-Programm von Microsoft hingewiesen, das als Teil des Volumenlizenzprogramms zur Verfügung steht. Es erlaubt, dass Mitarbeiter Software auch auf ihrem Heimrechner installieren.

Was gerne vergessen wird: In manchen Verträgen mit Geschäftspartnern existieren Geheimhaltungsvereinbarungen, die die ausschließliche Speicherung von Daten auf Rechnern vorsehen, die im alleinigen Eigentum des Arbeitgebers stehen. Diese Daten dürfen nicht auf BYOD-Endgeräten landen; oder man passt die Verträge an.

Die Einführung von BYOD ist nach dem Betriebsverfassungsgesetz mitbestimmungspflichtig. BYOD beinhaltet sowohl Fragen zur Ordnung des Betriebes und zum Verhalten der Arbeitnehmer im Betrieb als auch im Hinblick auf die Einführung und Anwendung einer technischen Einrichtung zur Überwachung von Verhalten und Leistung. Der Betriebsrat kann sein Mitbestimmungsrecht erzwingen. Einseitige Arbeitgeberentscheidungen sind rechtswidrig und unwirksam. Eine frühzeitige Einbindung des Betriebsrates ist also angeraten.

Für bestimmte betriebliche Dokumente bestehen handels- und steuerrechtliche Aufbewahrungsfristen. Die sich daraus ergebende Pflicht zur revisionssicheren Aufbewahrung gilt auch für Dokumente, die im Rahmen des mobilen Einsatzes entstanden sind. Beispielsweise können geschäftliche E-Mails (auch E-Mails sind Geschäftsbriefe) oder Protokolle von Vor-Ort-Beratungen in diese Kategorie fallen.
Erstens ist das Unternehmen dafür verantwortlich, dass diese Dokumente über den gesamten Zeitraum von in der Regel zehn Jahren unveränderlich und wiederauffindbar sind. Zweitens hat insbesondere die Finanzverwaltung nach den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) das Recht, jederzeit unmittelbar Zugriff auf die Daten zu erhalten – also im Extremfall auf das Privatgerät eines Mitarbeiters. Ohne Regeln und technische Maßnahmen zur Datenfilterung und -archivierung sind diese Anforderungen nicht zu erfüllen. Sinnvoll ist ein regelmäßiges Kopieren der Daten auf entsprechend eingerichtete Unternehmensserver – auch dies ist ein Punkt, der in einer BYOD-Vereinbarung verpflichtend gemacht werden sollte.

Fazit

BYOD Compliance – beziehungsweise die darüberstehende, allgemeine Mobile Device Compliance – erfordert sowohl ein funktionierendes technisches Konzept als auch datenschutz-, arbeits-, zivil-, straf- und lizenzrechtlich belastbare Regelungen mit den Mitarbeitern respektive dem Betriebsrat. Keinesfalls sollte BYOD ungeregelt einfach nur geduldet werden. Bestehende IT Policies müssen überprüft und an den Stand der Technik angepasst werden.

Regelungsbedürftig durch klare IT-Richtlinien sind vor allem: IT-Sicherheit und Datenschutz, Eigentumsverhältnisse und Verantwortlichkeiten, Wartung und Support-Prozesse, Abläufe bei Verlust des mobilen Endgerätes sowie beim Austritt des Mitarbeiters und die Abrechnung regelmäßiger Kosten. Hinzu kommen regulatorische Vorgaben für das Archivieren der Kommunikation und dokumentationspflichtiger Korrespondenz – E-Mails gelten als Geschäftsbriefe.

Besonders wichtig ist es, vertrauliche Unternehmensdaten und sensible personenbezogene Daten auf privaten Endgeräten möglichst nicht zu speichern, im Ausnahmefall zumindest hinreichend zu separieren und zu verschlüsseln. Das setzt eine gewisse Mindestausstattung der privaten Endgeräte voraus. Die Softwarenutzung auf diesen Geräten muss lizenzrechtlich gedeckt sein.

Mit klaren, frühzeitig eingeführten Regeln ist BYOD in den Griff zu bekommen. Dass diese Regeln in Kommunikation mit den Mitarbeitern entwickelt werden sollten, versteht sich von selbst.

Der Autor Marc Oliver Hoormann, LL.M. ist Rechtsanwalt und Manager bei der PricewaterhouseCoopers Legal AG Rechtsanwaltsgesellschaft (PwC Legal) / (js [1])

URL dieses Artikels:
https://www.heise.de/-1562586

Links in diesem Artikel:
[1] mailto:js@ix.de

Copyright © 2012 Heise Medien