BYOD – mehr Risiken als Chancen?

Law-BlogNach einer Studie im Auftrag des BITKOM aus dem Jahr 2013 nutzen ca. 71 % der Erwerbstätigen privat angeschaffte Smartphones oder Computer auch beruflich (www.bitkom.org). BYOD – Bring-Your-Own-Device – bedeutet private Mobilgeräte oder auch Software in die Unternehmens-IT einzubinden. Dahinter steht oft der Wunsch der Arbeitnehmer, von ihnen privat erworbene und oft hochwertige Smartphones oder Tablets auch beruflich einzusetzen, mithin nicht ein zweites – evtl. sogar weniger komfortables – Gerät hierfür vorzuhalten. Es ist zu erwarten, dass nicht nur, aber vor allem die jüngere IT-affine Generation „Y“ die Möglichkeit des BYOD als Selbstverständlichkeit erachtet. Für die Unternehmen kann BYOD einerseits sowohl zufriedene und produktive Mitarbeiter als auch Kosteneinsparpotential wegen ersparter Materialkosten bedeuten. Anderseits bringt BYOD auch einen gesteigerten Organisationsaufwand nicht nur für das Mobile-Device-Management, sondern auch im rechtlichen Bereich mit sich:

Zu beachten sind insb. die erhöhten Risiken was den Datenschutz anbelangt, aber auch Fragen der Lizensierung, des Arbeitsrechts (siehe hierzu den Beitrag „Ständige Erreichbarkeit – auch ein Problem für den Arbeitgeber?“ vom 7. Juli 2014) und des Steuerrechts. Nicht zuletzt sollten schon im Vorfeld Überlegungen für den Gewährleistungsfall, die Haftung bei Verlust sowie zur allgemeinen Kostentragung angestellt werden.

Im Fokus muss zunächst der Schutz von Betriebsgeheimnissen als auch die Erfüllung der gesetzlichen Datenschutzbestimmungen stehen. Gemäß § 9 BDSG ist der Unternehmer verpflichtet, die organisatorischen und technischen Maßnahmen zu treffen, die erforderlich sind, um den Schutz personenbezogener Daten zu gewährleisten. Eine Speicherung von solchen Daten (z.B. Kundendaten) etwa in einer Cloud wäre ein Verstoß gegen § 4b Abs. 2 Satz 2 BDSG und sogar gemäß § 43 Abs. 2 Nr.1, Abs. 3 BDSG bußgeldbewehrt. Außerdem sind bei unrechtmäßiger Kenntniserlangung eines Dritten von personenbezogenen Daten u.U. die Betroffenen und die Aufsichtsbehörde vom Verantwortlichen, also den Unternehmer, zu informieren (§ 42a BDSG), was nicht nur einen beträchtlichen Arbeitsaufwand, sondern in der Regel auch einen entsprechenden Imageverlust bedeutet. Der Arbeitgeber muss also sicherstellen, dass die dienstlichen Daten nicht ausgespäht oder beschädigt werden. Als gängige Schutzmaßnahmen seien hier nur Passwort-, Virenschutz- und Verschlüsselungssoftware genannt.

Schließlich hat auch der Arbeitnehmer einen Anspruch auf Schutz seiner privaten Daten auf dem Gerät. Der Arbeitgeber ist nicht berechtigt, diese im Rahmen des Mobile-Device-Managements zu überwachen, sie unterliegen dem Fernmeldegeheimnis, §§ 88 TKG, 206 I, Abs. 2 Nr. 3 StGB.

Bei der Datenspeicherung ist dringend zu empfehlen, die privaten Daten von den dienstlichen getrennt zu verwalten, damit letztere bei Beendigung des Arbeitsverhältnisses oder Umstellung des BYOD problemlos herausgegeben oder bei einem Verlust des Geräts per Fernzugriff gelöscht werden können.

Zu denken ist auch an die Erfüllung von gesetzlichen Aufbewahrungsfristen (§ 257 Abs. 1 HGB, § 147 Abs. 1 AO). Die in Betracht kommenden Dokumente sind regelmäßig mit dem Server zu synchronisieren und zu sichern.

Um die Risiken des Datenschutzes und der Datensicherung zu minimieren, kann festgelegt werden, dass nur bestimmte Anwendungen ohne Datenspeicherungen auf den Geräten (z.B. reine Virtual Desktop Infrastruktur) zugelassen werden.

Aus urheberrechtlicher Sicht ist zu bedenken, dass für den Privatgebrauch erworbene Anwendungen oft nicht beruflich genutzt werden dürfen, also ggf. weitere Lizenzen hinzu erworben werden müssen, andernfalls droht eine Haftung des Arbeitgebers (§ 99 UrhG). Dieser kann auf Unterlassung, unter Umständen auch auf Schadensersatz und Nachlizensierung in Anspruch genommen werden, §§ 98 Abs. 2 UrhG i.V.m. 278 oder 831 BGB. Selbstverständlich darf der Arbeitnehmer keine Raubkopien einsetzen.

Bei der Umsetzung von BYOD sind somit etliche Verhaltensregeln vom Mitarbeiter zu beachten. Diese und auch Fragen zur Kostentragung oder Gewährleistung können in einer individualvertraglichen Vereinbarung mit dem Mitarbeiter getroffen werden. Es empfiehlt sich jedoch bei Vorhandensein eines Betriebsrats der Abschluss einer Betriebsvereinbarung, da diese unmittelbar und zwingend für alle betroffenen Arbeitnehmer gilt (§ 77 Abs. 4 BetrVG), so dass der Arbeitgeber bei einer Änderung der Nutzungsbestimmungen nur auf den Betriebsrat, nicht jedoch auf eine Abstimmung mit jedem einzelnen Arbeitnehmer angewiesen ist. Zum anderen unterliegen Betriebsvereinbarungen nicht der strengen Inhaltskontrolle des AGB-Rechts (§§ 307 Abs. 3 Satz 1, 310 Abs. 4 Satz 3 BGB). Auch die datenschutzrechtlichen Bestimmungen im BDSG zugunsten des Arbeitnehmers können in einer Betriebsvereinbarung konkretisiert werden: Es handelt sich um eine „andere Rechtsvorschrift“ im Sinne von § 4 Abs. 1 BDSG, welche die Erhebung, Verarbeitung und Nutzung von Daten erlaubt. Werden individualvertragliche Vereinbarungen geschlossen, sollten diese für Betriebsvereinbarungen offen formuliert sein. Unabhängig vom Abschluss einer Betriebsvereinbarung wäre ein Betriebsrat ohnehin gemäß § 87 Abs. 1 Nr.1 und 6 bei der Einführung und Ausgestaltung von BYOD mitbestimmungsberechtigt.

Fazit: BYOD stellt nicht nur aus technischer Sicht, sondern auch aus juristischer Sicht eine anspruchsvolle Herausforderung dar. Als weniger aufwändige Alternative bietet sich unter Umständen das Modell des Cope (Corporate ownd personally enabled) an. Hierzu in diesem Blog in Kürze.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.