BYOD – mehr Risiken als Chancen?

BEITRAG TEILEN

Nach ein­er Studie im Auf­trag des BITKOM aus dem Jahr 2013 nutzen ca. 71 % der Erwerb­stäti­gen pri­vat angeschaffte Smart­phones oder Com­put­er auch beru­flich (www.bitkom.org). BYOD — Bring-Your-Own-Device – bedeutet pri­vate Mobil­geräte oder auch Soft­ware in die Unternehmens-IT einzu­binden. Dahin­ter ste­ht oft der Wun­sch der Arbeit­nehmer, von ihnen pri­vat erwor­bene und oft hochw­er­tige Smart­phones oder Tablets auch beru­flich einzuset­zen, mithin nicht ein zweites – evtl. sog­ar weniger kom­fort­a­bles — Gerät hier­für vorzuhal­ten. Es ist zu erwarten, dass nicht nur, aber vor allem die jün­gere IT-affine Gen­er­a­tion „Y“ die Möglichkeit des BYOD als Selb­stver­ständlichkeit erachtet. Für die Unternehmen kann BYOD ein­er­seits sowohl zufriedene und pro­duk­tive Mitar­beit­er als auch Kosteneinspar­po­ten­tial wegen ersparter Mate­ri­alkosten bedeuten. Ander­seits bringt BYOD auch einen gesteigerten Organ­i­sa­tion­saufwand nicht nur für das Mobile-Device-Man­age­ment, son­dern auch im rechtlichen Bere­ich mit sich:

Zu beacht­en sind insb. die erhöht­en Risiken was den Daten­schutz anbe­langt, aber auch Fra­gen der Lizen­sierung, des Arbeit­srechts (siehe hierzu den Beitrag „Ständi­ge Erre­ich­barkeit – auch ein Prob­lem für den Arbeit­ge­ber?“ vom 7. Juli 2014) und des Steuer­rechts. Nicht zulet­zt soll­ten schon im Vor­feld Über­legun­gen für den Gewährleis­tungs­fall, die Haf­tung bei Ver­lust sowie zur all­ge­meinen Kos­ten­tra­gung angestellt wer­den.

Im Fokus muss zunächst der Schutz von Betrieb­s­ge­heimnis­sen als auch die Erfül­lung der geset­zlichen Daten­schutzbes­tim­mungen ste­hen. Gemäß § 9 BDSG ist der Unternehmer verpflichtet, die organ­isatorischen und tech­nis­chen Maß­nah­men zu tre­f­fen, die erforder­lich sind, um den Schutz per­so­n­en­be­zo­gen­er Dat­en zu gewährleis­ten. Eine Spe­icherung von solchen Dat­en (z.B. Kun­den­dat­en) etwa in ein­er Cloud wäre ein Ver­stoß gegen § 4b Abs. 2 Satz 2 BDSG und sog­ar gemäß § 43 Abs. 2 Nr.1, Abs. 3 BDSG bußgeld­be­wehrt. Außer­dem sind bei unrecht­mäßiger Ken­nt­niser­lan­gung eines Drit­ten von per­so­n­en­be­zo­ge­nen Dat­en u.U. die Betrof­fe­nen und die Auf­sichts­be­hörde vom Ver­ant­wortlichen, also den Unternehmer, zu informieren (§ 42a BDSG), was nicht nur einen beträchtlichen Arbeit­saufwand, son­dern in der Regel auch einen entsprechen­den Imagev­er­lust bedeutet. Der Arbeit­ge­ber muss also sich­er­stellen, dass die dien­stlichen Dat­en nicht aus­ge­späht oder beschädigt wer­den. Als gängige Schutz­maß­nah­men seien hier nur Passwort‑, Viren­schutz- und Ver­schlüs­selungssoft­ware genan­nt.

Schließlich hat auch der Arbeit­nehmer einen Anspruch auf Schutz sein­er pri­vat­en Dat­en auf dem Gerät. Der Arbeit­ge­ber ist nicht berechtigt, diese im Rah­men des Mobile-Device-Man­age­ments zu überwachen, sie unter­liegen dem Fer­n­meldege­heim­nis, §§ 88 TKG, 206 I, Abs. 2 Nr. 3 StGB.

Bei der Daten­spe­icherung ist drin­gend zu empfehlen, die pri­vat­en Dat­en von den dien­stlichen getren­nt zu ver­wal­ten, damit let­ztere bei Beendi­gung des Arbeitsver­hält­niss­es oder Umstel­lung des BYOD prob­lem­los her­aus­gegeben oder bei einem Ver­lust des Geräts per Fernzu­griff gelöscht wer­den kön­nen.

Zu denken ist auch an die Erfül­lung von geset­zlichen Auf­be­wahrungs­fris­ten (§ 257 Abs. 1 HGB, § 147 Abs. 1 AO). Die in Betra­cht kom­menden Doku­mente sind regelmäßig mit dem Serv­er zu syn­chro­nisieren und zu sich­ern.

Um die Risiken des Daten­schutzes und der Daten­sicherung zu min­imieren, kann fest­gelegt wer­den, dass nur bes­timmte Anwen­dun­gen ohne Daten­spe­icherun­gen auf den Geräten (z.B. reine Vir­tu­al Desk­top Infra­struk­tur) zuge­lassen wer­den.

Aus urhe­ber­rechtlich­er Sicht ist zu bedenken, dass für den Pri­vat­ge­brauch erwor­bene Anwen­dun­gen oft nicht beru­flich genutzt wer­den dür­fen, also ggf. weit­ere Lizen­zen hinzu erwor­ben wer­den müssen, andern­falls dro­ht eine Haf­tung des Arbeit­ge­bers (§ 99 UrhG). Dieser kann auf Unter­las­sung, unter Umstän­den auch auf Schadenser­satz und Nach­lizen­sierung in Anspruch genom­men wer­den, §§ 98 Abs. 2 UrhG i.V.m. 278 oder 831 BGB. Selb­stver­ständlich darf der Arbeit­nehmer keine Raubkopi­en ein­set­zen.

Bei der Umset­zung von BYOD sind somit etliche Ver­hal­tensregeln vom Mitar­beit­er zu beacht­en. Diese und auch Fra­gen zur Kos­ten­tra­gung oder Gewährleis­tung kön­nen in ein­er indi­vid­u­alver­traglichen Vere­in­barung mit dem Mitar­beit­er getrof­fen wer­den. Es emp­fiehlt sich jedoch bei Vorhan­den­sein eines Betrieb­srats der Abschluss ein­er Betrieb­svere­in­barung, da diese unmit­tel­bar und zwin­gend für alle betrof­fe­nen Arbeit­nehmer gilt (§ 77 Abs. 4 BetrVG), so dass der Arbeit­ge­ber bei ein­er Änderung der Nutzungs­bes­tim­mungen nur auf den Betrieb­srat, nicht jedoch auf eine Abstim­mung mit jedem einzel­nen Arbeit­nehmer angewiesen ist. Zum anderen unter­liegen Betrieb­svere­in­barun­gen nicht der stren­gen Inhalt­skon­trolle des AGB-Rechts (§§ 307 Abs. 3 Satz 1, 310 Abs. 4 Satz 3 BGB). Auch die daten­schutzrechtlichen Bes­tim­mungen im BDSG zugun­sten des Arbeit­nehmers kön­nen in ein­er Betrieb­svere­in­barung konkretisiert wer­den: Es han­delt sich um eine „andere Rechtsvorschrift“ im Sinne von § 4 Abs. 1 BDSG, welche die Erhe­bung, Ver­ar­beitung und Nutzung von Dat­en erlaubt. Wer­den indi­vid­u­alver­tragliche Vere­in­barun­gen geschlossen, soll­ten diese für Betrieb­svere­in­barun­gen offen for­muliert sein. Unab­hängig vom Abschluss ein­er Betrieb­svere­in­barung wäre ein Betrieb­srat ohne­hin gemäß § 87 Abs. 1 Nr.1 und 6 bei der Ein­führung und Aus­gestal­tung von BYOD mitbes­tim­mungs­berechtigt.

Faz­it: BYOD stellt nicht nur aus tech­nis­ch­er Sicht, son­dern auch aus juris­tis­ch­er Sicht eine anspruchsvolle Her­aus­forderung dar. Als weniger aufwändi­ge Alter­na­tive bietet sich unter Umstän­den das Mod­ell des Cope (Cor­po­rate ownd per­son­al­ly enabled) an. Hierzu in diesem Blog in Kürze.

BEITRAG TEILEN