BYOD – mehr Risiken als Chancen?

BEITRAG TEILEN

Nach einer Stu­die im Auf­trag des BITKOM aus dem Jahr 2013 nut­zen ca. 71 % der Erwerbs­tä­ti­gen pri­vat ange­schaff­te Smart­phones oder Com­pu­ter auch beruf­lich (www.bitkom.org). BYOD — Bring-Your-Own-Device – bedeu­tet pri­va­te Mobil­ge­rä­te oder auch Soft­ware in die Unter­neh­mens-IT ein­zu­bin­den. Dahin­ter steht oft der Wunsch der Arbeit­neh­mer, von ihnen pri­vat erwor­be­ne und oft hoch­wer­ti­ge Smart­phones oder Tablets auch beruf­lich ein­zu­set­zen, mit­hin nicht ein zwei­tes – evtl. sogar weni­ger kom­for­ta­bles — Gerät hier­für vor­zu­hal­ten. Es ist zu erwar­ten, dass nicht nur, aber vor allem die jün­ge­re IT-affi­ne Gene­ra­ti­on „Y“ die Mög­lich­keit des BYOD als Selbst­ver­ständ­lich­keit erach­tet. Für die Unter­neh­men kann BYOD einer­seits sowohl zufrie­de­ne und pro­duk­ti­ve Mit­ar­bei­ter als auch Kos­ten­ein­spar­po­ten­ti­al wegen erspar­ter Mate­ri­al­kos­ten bedeu­ten. Ander­seits bringt BYOD auch einen gestei­ger­ten Orga­ni­sa­ti­ons­auf­wand nicht nur für das Mobi­le-Device-Manage­ment, son­dern auch im recht­li­chen Bereich mit sich:

Zu beach­ten sind insb. die erhöh­ten Risi­ken was den Daten­schutz anbe­langt, aber auch Fra­gen der Lizen­sie­rung, des Arbeits­rechts (sie­he hier­zu den Bei­trag „Stän­di­ge Erreich­bar­keit – auch ein Pro­blem für den Arbeit­ge­ber?“ vom 7. Juli 2014) und des Steu­er­rechts. Nicht zuletzt soll­ten schon im Vor­feld Über­le­gun­gen für den Gewähr­leis­tungs­fall, die Haf­tung bei Ver­lust sowie zur all­ge­mei­nen Kos­ten­tra­gung ange­stellt wer­den.

Im Fokus muss zunächst der Schutz von Betriebs­ge­heim­nis­sen als auch die Erfül­lung der gesetz­li­chen Daten­schutz­be­stim­mun­gen ste­hen. Gemäß § 9 BDSG ist der Unter­neh­mer ver­pflich­tet, die orga­ni­sa­to­ri­schen und tech­ni­schen Maß­nah­men zu tref­fen, die erfor­der­lich sind, um den Schutz per­so­nen­be­zo­ge­ner Daten zu gewähr­leis­ten. Eine Spei­che­rung von sol­chen Daten (z.B. Kun­den­da­ten) etwa in einer Cloud wäre ein Ver­stoß gegen § 4b Abs. 2 Satz 2 BDSG und sogar gemäß § 43 Abs. 2 Nr.1, Abs. 3 BDSG buß­geld­be­wehrt. Außer­dem sind bei unrecht­mä­ßi­ger Kennt­nis­er­lan­gung eines Drit­ten von per­so­nen­be­zo­ge­nen Daten u.U. die Betrof­fe­nen und die Auf­sichts­be­hör­de vom Ver­ant­wort­li­chen, also den Unter­neh­mer, zu infor­mie­ren (§ 42a BDSG), was nicht nur einen beträcht­li­chen Arbeits­auf­wand, son­dern in der Regel auch einen ent­spre­chen­den Image­ver­lust bedeu­tet. Der Arbeit­ge­ber muss also sicher­stel­len, dass die dienst­li­chen Daten nicht aus­ge­späht oder beschä­digt wer­den. Als gän­gi­ge Schutz­maß­nah­men sei­en hier nur Passwort‑, Viren­schutz- und Ver­schlüs­se­lungs­soft­ware genannt.

Schließ­lich hat auch der Arbeit­neh­mer einen Anspruch auf Schutz sei­ner pri­va­ten Daten auf dem Gerät. Der Arbeit­ge­ber ist nicht berech­tigt, die­se im Rah­men des Mobi­le-Device-Manage­ments zu über­wa­chen, sie unter­lie­gen dem Fern­mel­de­ge­heim­nis, §§ 88 TKG, 206 I, Abs. 2 Nr. 3 StGB.

Bei der Daten­spei­che­rung ist drin­gend zu emp­feh­len, die pri­va­ten Daten von den dienst­li­chen getrennt zu ver­wal­ten, damit letz­te­re bei Been­di­gung des Arbeits­ver­hält­nis­ses oder Umstel­lung des BYOD pro­blem­los her­aus­ge­ge­ben oder bei einem Ver­lust des Geräts per Fern­zu­griff gelöscht wer­den kön­nen.

Zu den­ken ist auch an die Erfül­lung von gesetz­li­chen Auf­be­wah­rungs­fris­ten (§ 257 Abs. 1 HGB, § 147 Abs. 1 AO). Die in Betracht kom­men­den Doku­men­te sind regel­mä­ßig mit dem Ser­ver zu syn­chro­ni­sie­ren und zu sichern.

Um die Risi­ken des Daten­schut­zes und der Daten­si­che­rung zu mini­mie­ren, kann fest­ge­legt wer­den, dass nur bestimm­te Anwen­dun­gen ohne Daten­spei­che­run­gen auf den Gerä­ten (z.B. rei­ne Vir­tu­al Desk­top Infra­struk­tur) zuge­las­sen wer­den.

Aus urhe­ber­recht­li­cher Sicht ist zu beden­ken, dass für den Pri­vat­ge­brauch erwor­be­ne Anwen­dun­gen oft nicht beruf­lich genutzt wer­den dür­fen, also ggf. wei­te­re Lizen­zen hin­zu erwor­ben wer­den müs­sen, andern­falls droht eine Haf­tung des Arbeit­ge­bers (§ 99 UrhG). Die­ser kann auf Unter­las­sung, unter Umstän­den auch auf Scha­dens­er­satz und Nach­li­zen­sie­rung in Anspruch genom­men wer­den, §§ 98 Abs. 2 UrhG i.V.m. 278 oder 831 BGB. Selbst­ver­ständ­lich darf der Arbeit­neh­mer kei­ne Raub­ko­pien ein­set­zen.

Bei der Umset­zung von BYOD sind somit etli­che Ver­hal­tens­re­geln vom Mit­ar­bei­ter zu beach­ten. Die­se und auch Fra­gen zur Kos­ten­tra­gung oder Gewähr­leis­tung kön­nen in einer indi­vi­du­al­ver­trag­li­chen Ver­ein­ba­rung mit dem Mit­ar­bei­ter getrof­fen wer­den. Es emp­fiehlt sich jedoch bei Vor­han­den­sein eines Betriebs­rats der Abschluss einer Betriebs­ver­ein­ba­rung, da die­se unmit­tel­bar und zwin­gend für alle betrof­fe­nen Arbeit­neh­mer gilt (§ 77 Abs. 4 BetrVG), so dass der Arbeit­ge­ber bei einer Ände­rung der Nut­zungs­be­stim­mun­gen nur auf den Betriebs­rat, nicht jedoch auf eine Abstim­mung mit jedem ein­zel­nen Arbeit­neh­mer ange­wie­sen ist. Zum ande­ren unter­lie­gen Betriebs­ver­ein­ba­run­gen nicht der stren­gen Inhalts­kon­trol­le des AGB-Rechts (§§ 307 Abs. 3 Satz 1, 310 Abs. 4 Satz 3 BGB). Auch die daten­schutz­recht­li­chen Bestim­mun­gen im BDSG zuguns­ten des Arbeit­neh­mers kön­nen in einer Betriebs­ver­ein­ba­rung kon­kre­ti­siert wer­den: Es han­delt sich um eine „ande­re Rechts­vor­schrift“ im Sin­ne von § 4 Abs. 1 BDSG, wel­che die Erhe­bung, Ver­ar­bei­tung und Nut­zung von Daten erlaubt. Wer­den indi­vi­du­al­ver­trag­li­che Ver­ein­ba­run­gen geschlos­sen, soll­ten die­se für Betriebs­ver­ein­ba­run­gen offen for­mu­liert sein. Unab­hän­gig vom Abschluss einer Betriebs­ver­ein­ba­rung wäre ein Betriebs­rat ohne­hin gemäß § 87 Abs. 1 Nr.1 und 6 bei der Ein­füh­rung und Aus­ge­stal­tung von BYOD mit­be­stim­mungs­be­rech­tigt.

Fazit: BYOD stellt nicht nur aus tech­ni­scher Sicht, son­dern auch aus juris­ti­scher Sicht eine anspruchs­vol­le Her­aus­for­de­rung dar. Als weni­ger auf­wän­di­ge Alter­na­ti­ve bie­tet sich unter Umstän­den das Modell des Cope (Cor­po­ra­te ownd per­so­nal­ly enab­led) an. Hier­zu in die­sem Blog in Kür­ze.

BEITRAG TEILEN