BYOD – mehr Risiken als Chancen?

BEITRAG TEILEN
LinkedInXINGXFacebookEmailPrint

Nach einer Stu­die im Auf­trag des BITKOM aus dem Jahr 2013 nut­zen ca. 71 % der Erwerbs­tä­ti­gen pri­vat ange­schaff­te Smart­phones oder Com­pu­ter auch beruf­lich (www.bitkom.org). BYOD — Bring-Your-Own-Device – bedeu­tet pri­va­te Mobil­ge­rä­te oder auch Soft­ware in die Unter­neh­mens-IT ein­zu­bin­den. Dahin­ter steht oft der Wunsch der Arbeit­neh­mer, von ihnen pri­vat erwor­be­ne und oft hoch­wer­ti­ge Smart­phones oder Tablets auch beruf­lich ein­zu­set­zen, mit­hin nicht ein zwei­tes – evtl. sogar weni­ger kom­for­ta­bles — Gerät hier­für vor­zu­hal­ten. Es ist zu erwar­ten, dass nicht nur, aber vor allem die jün­ge­re IT-affi­ne Gene­ra­ti­on „Y“ die Mög­lich­keit des BYOD als Selbst­ver­ständ­lich­keit erach­tet. Für die Unter­neh­men kann BYOD einer­seits sowohl zufrie­de­ne und pro­duk­ti­ve Mit­ar­bei­ter als auch Kos­ten­ein­spar­po­ten­ti­al wegen erspar­ter Mate­ri­al­kos­ten bedeu­ten. Ander­seits bringt BYOD auch einen gestei­ger­ten Orga­ni­sa­ti­ons­auf­wand nicht nur für das Mobi­le-Device-Manage­ment, son­dern auch im recht­li­chen Bereich mit sich:

Zu beach­ten sind insb. die erhöh­ten Risi­ken was den Daten­schutz anbe­langt, aber auch Fra­gen der Lizen­sie­rung, des Arbeits­rechts (sie­he hier­zu den Bei­trag „Stän­di­ge Erreich­bar­keit – auch ein Pro­blem für den Arbeit­ge­ber?“ vom 7. Juli 2014) und des Steu­er­rechts. Nicht zuletzt soll­ten schon im Vor­feld Über­le­gun­gen für den Gewähr­leis­tungs­fall, die Haf­tung bei Ver­lust sowie zur all­ge­mei­nen Kos­ten­tra­gung ange­stellt wer­den.

Im Fokus muss zunächst der Schutz von Betriebs­ge­heim­nis­sen als auch die Erfül­lung der gesetz­li­chen Daten­schutz­be­stim­mun­gen ste­hen. Gemäß § 9 BDSG ist der Unter­neh­mer ver­pflich­tet, die orga­ni­sa­to­ri­schen und tech­ni­schen Maß­nah­men zu tref­fen, die erfor­der­lich sind, um den Schutz per­so­nen­be­zo­ge­ner Daten zu gewähr­leis­ten. Eine Spei­che­rung von sol­chen Daten (z.B. Kun­den­da­ten) etwa in einer Cloud wäre ein Ver­stoß gegen § 4b Abs. 2 Satz 2 BDSG und sogar gemäß § 43 Abs. 2 Nr.1, Abs. 3 BDSG buß­geld­be­wehrt. Außer­dem sind bei unrecht­mä­ßi­ger Kennt­nis­er­lan­gung eines Drit­ten von per­so­nen­be­zo­ge­nen Daten u.U. die Betrof­fe­nen und die Auf­sichts­be­hör­de vom Ver­ant­wort­li­chen, also den Unter­neh­mer, zu infor­mie­ren (§ 42a BDSG), was nicht nur einen beträcht­li­chen Arbeits­auf­wand, son­dern in der Regel auch einen ent­spre­chen­den Image­ver­lust bedeu­tet. Der Arbeit­ge­ber muss also sicher­stel­len, dass die dienst­li­chen Daten nicht aus­ge­späht oder beschä­digt wer­den. Als gän­gi­ge Schutz­maß­nah­men sei­en hier nur Passwort‑, Viren­schutz- und Ver­schlüs­se­lungs­soft­ware genannt.

Schließ­lich hat auch der Arbeit­neh­mer einen Anspruch auf Schutz sei­ner pri­va­ten Daten auf dem Gerät. Der Arbeit­ge­ber ist nicht berech­tigt, die­se im Rah­men des Mobi­le-Device-Manage­ments zu über­wa­chen, sie unter­lie­gen dem Fern­mel­de­ge­heim­nis, §§ 88 TKG, 206 I, Abs. 2 Nr. 3 StGB.

Bei der Daten­spei­che­rung ist drin­gend zu emp­feh­len, die pri­va­ten Daten von den dienst­li­chen getrennt zu ver­wal­ten, damit letz­te­re bei Been­di­gung des Arbeits­ver­hält­nis­ses oder Umstel­lung des BYOD pro­blem­los her­aus­ge­ge­ben oder bei einem Ver­lust des Geräts per Fern­zu­griff gelöscht wer­den kön­nen.

Zu den­ken ist auch an die Erfül­lung von gesetz­li­chen Auf­be­wah­rungs­fris­ten (§ 257 Abs. 1 HGB, § 147 Abs. 1 AO). Die in Betracht kom­men­den Doku­men­te sind regel­mä­ßig mit dem Ser­ver zu syn­chro­ni­sie­ren und zu sichern.

Um die Risi­ken des Daten­schut­zes und der Daten­si­che­rung zu mini­mie­ren, kann fest­ge­legt wer­den, dass nur bestimm­te Anwen­dun­gen ohne Daten­spei­che­run­gen auf den Gerä­ten (z.B. rei­ne Vir­tu­al Desk­top Infra­struk­tur) zuge­las­sen wer­den.

Aus urhe­ber­recht­li­cher Sicht ist zu beden­ken, dass für den Pri­vat­ge­brauch erwor­be­ne Anwen­dun­gen oft nicht beruf­lich genutzt wer­den dür­fen, also ggf. wei­te­re Lizen­zen hin­zu erwor­ben wer­den müs­sen, andern­falls droht eine Haf­tung des Arbeit­ge­bers (§ 99 UrhG). Die­ser kann auf Unter­las­sung, unter Umstän­den auch auf Scha­dens­er­satz und Nach­li­zen­sie­rung in Anspruch genom­men wer­den, §§ 98 Abs. 2 UrhG i.V.m. 278 oder 831 BGB. Selbst­ver­ständ­lich darf der Arbeit­neh­mer kei­ne Raub­ko­pien ein­set­zen.

Bei der Umset­zung von BYOD sind somit etli­che Ver­hal­tens­re­geln vom Mit­ar­bei­ter zu beach­ten. Die­se und auch Fra­gen zur Kos­ten­tra­gung oder Gewähr­leis­tung kön­nen in einer indi­vi­du­al­ver­trag­li­chen Ver­ein­ba­rung mit dem Mit­ar­bei­ter getrof­fen wer­den. Es emp­fiehlt sich jedoch bei Vor­han­den­sein eines Betriebs­rats der Abschluss einer Betriebs­ver­ein­ba­rung, da die­se unmit­tel­bar und zwin­gend für alle betrof­fe­nen Arbeit­neh­mer gilt (§ 77 Abs. 4 BetrVG), so dass der Arbeit­ge­ber bei einer Ände­rung der Nut­zungs­be­stim­mun­gen nur auf den Betriebs­rat, nicht jedoch auf eine Abstim­mung mit jedem ein­zel­nen Arbeit­neh­mer ange­wie­sen ist. Zum ande­ren unter­lie­gen Betriebs­ver­ein­ba­run­gen nicht der stren­gen Inhalts­kon­trol­le des AGB-Rechts (§§ 307 Abs. 3 Satz 1, 310 Abs. 4 Satz 3 BGB). Auch die daten­schutz­recht­li­chen Bestim­mun­gen im BDSG zuguns­ten des Arbeit­neh­mers kön­nen in einer Betriebs­ver­ein­ba­rung kon­kre­ti­siert wer­den: Es han­delt sich um eine „ande­re Rechts­vor­schrift“ im Sin­ne von § 4 Abs. 1 BDSG, wel­che die Erhe­bung, Ver­ar­bei­tung und Nut­zung von Daten erlaubt. Wer­den indi­vi­du­al­ver­trag­li­che Ver­ein­ba­run­gen geschlos­sen, soll­ten die­se für Betriebs­ver­ein­ba­run­gen offen for­mu­liert sein. Unab­hän­gig vom Abschluss einer Betriebs­ver­ein­ba­rung wäre ein Betriebs­rat ohne­hin gemäß § 87 Abs. 1 Nr.1 und 6 bei der Ein­füh­rung und Aus­ge­stal­tung von BYOD mit­be­stim­mungs­be­rech­tigt.

Fazit: BYOD stellt nicht nur aus tech­ni­scher Sicht, son­dern auch aus juris­ti­scher Sicht eine anspruchs­vol­le Her­aus­for­de­rung dar. Als weni­ger auf­wän­di­ge Alter­na­ti­ve bie­tet sich unter Umstän­den das Modell des Cope (Cor­po­ra­te ownd per­so­nal­ly enab­led) an. Hier­zu in die­sem Blog in Kür­ze.

BEITRAG TEILEN
LinkedInXINGXFacebookEmailPrint

Über den autor

Aktuelles

Weitere Beiträge des Autors

Alternative Feiertagsregelungen: Wie Unternehmen auf religiöse Vielfalt Rücksicht nehmen können

Was tun, wenn Arbeitnehmer Weihnachten nicht feiern? In einer multikulturellen Arbeitswelt stehen Unternehmen vor der Herausforderung, religiöse Vielfalt zu berücksichtigen – besonders, wenn es um Feiertage geht. Das deutsche Arbeitsrecht bietet flexible Lösungen, von Gleitzeit über Sonderurlaub bis hin zum Tausch von Feiertagen.   Auch die Bemühungen der US-amerikanischen Regierung, Inklusions- und Vielfaltsmaßnahmen zurückzudrängen, ändern nichts daran, dass wir in...

Mann bewirbt sich auf Job für „Sekretärin“: Entschädigung wegen Diskriminierung?

Die Sekretärin, der Mechaniker – alte Stereotype in Stellenanzeigen können Unternehmen teuer zu stehen kommen. Sogenannte AGG-Hopper versuchen, Fehler auszunutzen und auf Entschädigung zu klagen. Das klappt nicht immer, doch die Fälle lehren viel darüber, worauf Arbeitgeber achten sollten, wenn sie eine Stelle ausschreiben. In letzter Zeit kommt es vermehrt zu Streitigkeiten aufgrund angeblicher Diskriminierung im Bewerbungsverfahren. Es gibt eine...