BYOD – mehr Risiken als Chancen?

BEITRAG TEILEN
LinkedInXINGXFacebookEmailPrint

Nach ein­er Studie im Auf­trag des BITKOM aus dem Jahr 2013 nutzen ca. 71 % der Erwerb­stäti­gen pri­vat angeschaffte Smart­phones oder Com­put­er auch beru­flich (www.bitkom.org). BYOD — Bring-Your-Own-Device – bedeutet pri­vate Mobil­geräte oder auch Soft­ware in die Unternehmens-IT einzu­binden. Dahin­ter ste­ht oft der Wun­sch der Arbeit­nehmer, von ihnen pri­vat erwor­bene und oft hochw­er­tige Smart­phones oder Tablets auch beru­flich einzuset­zen, mithin nicht ein zweites – evtl. sog­ar weniger kom­fort­a­bles — Gerät hier­für vorzuhal­ten. Es ist zu erwarten, dass nicht nur, aber vor allem die jün­gere IT-affine Gen­er­a­tion „Y“ die Möglichkeit des BYOD als Selb­stver­ständlichkeit erachtet. Für die Unternehmen kann BYOD ein­er­seits sowohl zufriedene und pro­duk­tive Mitar­beit­er als auch Kosteneinspar­po­ten­tial wegen ersparter Mate­ri­alkosten bedeuten. Ander­seits bringt BYOD auch einen gesteigerten Organ­i­sa­tion­saufwand nicht nur für das Mobile-Device-Man­age­ment, son­dern auch im rechtlichen Bere­ich mit sich:

Zu beacht­en sind insb. die erhöht­en Risiken was den Daten­schutz anbe­langt, aber auch Fra­gen der Lizen­sierung, des Arbeit­srechts (siehe hierzu den Beitrag „Ständi­ge Erre­ich­barkeit – auch ein Prob­lem für den Arbeit­ge­ber?“ vom 7. Juli 2014) und des Steuer­rechts. Nicht zulet­zt soll­ten schon im Vor­feld Über­legun­gen für den Gewährleis­tungs­fall, die Haf­tung bei Ver­lust sowie zur all­ge­meinen Kos­ten­tra­gung angestellt wer­den.

Im Fokus muss zunächst der Schutz von Betrieb­s­ge­heimnis­sen als auch die Erfül­lung der geset­zlichen Daten­schutzbes­tim­mungen ste­hen. Gemäß § 9 BDSG ist der Unternehmer verpflichtet, die organ­isatorischen und tech­nis­chen Maß­nah­men zu tre­f­fen, die erforder­lich sind, um den Schutz per­so­n­en­be­zo­gen­er Dat­en zu gewährleis­ten. Eine Spe­icherung von solchen Dat­en (z.B. Kun­den­dat­en) etwa in ein­er Cloud wäre ein Ver­stoß gegen § 4b Abs. 2 Satz 2 BDSG und sog­ar gemäß § 43 Abs. 2 Nr.1, Abs. 3 BDSG bußgeld­be­wehrt. Außer­dem sind bei unrecht­mäßiger Ken­nt­niser­lan­gung eines Drit­ten von per­so­n­en­be­zo­ge­nen Dat­en u.U. die Betrof­fe­nen und die Auf­sichts­be­hörde vom Ver­ant­wortlichen, also den Unternehmer, zu informieren (§ 42a BDSG), was nicht nur einen beträchtlichen Arbeit­saufwand, son­dern in der Regel auch einen entsprechen­den Imagev­er­lust bedeutet. Der Arbeit­ge­ber muss also sich­er­stellen, dass die dien­stlichen Dat­en nicht aus­ge­späht oder beschädigt wer­den. Als gängige Schutz­maß­nah­men seien hier nur Passwort‑, Viren­schutz- und Ver­schlüs­selungssoft­ware genan­nt.

Schließlich hat auch der Arbeit­nehmer einen Anspruch auf Schutz sein­er pri­vat­en Dat­en auf dem Gerät. Der Arbeit­ge­ber ist nicht berechtigt, diese im Rah­men des Mobile-Device-Man­age­ments zu überwachen, sie unter­liegen dem Fer­n­meldege­heim­nis, §§ 88 TKG, 206 I, Abs. 2 Nr. 3 StGB.

Bei der Daten­spe­icherung ist drin­gend zu empfehlen, die pri­vat­en Dat­en von den dien­stlichen getren­nt zu ver­wal­ten, damit let­ztere bei Beendi­gung des Arbeitsver­hält­niss­es oder Umstel­lung des BYOD prob­lem­los her­aus­gegeben oder bei einem Ver­lust des Geräts per Fernzu­griff gelöscht wer­den kön­nen.

Zu denken ist auch an die Erfül­lung von geset­zlichen Auf­be­wahrungs­fris­ten (§ 257 Abs. 1 HGB, § 147 Abs. 1 AO). Die in Betra­cht kom­menden Doku­mente sind regelmäßig mit dem Serv­er zu syn­chro­nisieren und zu sich­ern.

Um die Risiken des Daten­schutzes und der Daten­sicherung zu min­imieren, kann fest­gelegt wer­den, dass nur bes­timmte Anwen­dun­gen ohne Daten­spe­icherun­gen auf den Geräten (z.B. reine Vir­tu­al Desk­top Infra­struk­tur) zuge­lassen wer­den.

Aus urhe­ber­rechtlich­er Sicht ist zu bedenken, dass für den Pri­vat­ge­brauch erwor­bene Anwen­dun­gen oft nicht beru­flich genutzt wer­den dür­fen, also ggf. weit­ere Lizen­zen hinzu erwor­ben wer­den müssen, andern­falls dro­ht eine Haf­tung des Arbeit­ge­bers (§ 99 UrhG). Dieser kann auf Unter­las­sung, unter Umstän­den auch auf Schadenser­satz und Nach­lizen­sierung in Anspruch genom­men wer­den, §§ 98 Abs. 2 UrhG i.V.m. 278 oder 831 BGB. Selb­stver­ständlich darf der Arbeit­nehmer keine Raubkopi­en ein­set­zen.

Bei der Umset­zung von BYOD sind somit etliche Ver­hal­tensregeln vom Mitar­beit­er zu beacht­en. Diese und auch Fra­gen zur Kos­ten­tra­gung oder Gewährleis­tung kön­nen in ein­er indi­vid­u­alver­traglichen Vere­in­barung mit dem Mitar­beit­er getrof­fen wer­den. Es emp­fiehlt sich jedoch bei Vorhan­den­sein eines Betrieb­srats der Abschluss ein­er Betrieb­svere­in­barung, da diese unmit­tel­bar und zwin­gend für alle betrof­fe­nen Arbeit­nehmer gilt (§ 77 Abs. 4 BetrVG), so dass der Arbeit­ge­ber bei ein­er Änderung der Nutzungs­bes­tim­mungen nur auf den Betrieb­srat, nicht jedoch auf eine Abstim­mung mit jedem einzel­nen Arbeit­nehmer angewiesen ist. Zum anderen unter­liegen Betrieb­svere­in­barun­gen nicht der stren­gen Inhalt­skon­trolle des AGB-Rechts (§§ 307 Abs. 3 Satz 1, 310 Abs. 4 Satz 3 BGB). Auch die daten­schutzrechtlichen Bes­tim­mungen im BDSG zugun­sten des Arbeit­nehmers kön­nen in ein­er Betrieb­svere­in­barung konkretisiert wer­den: Es han­delt sich um eine „andere Rechtsvorschrift“ im Sinne von § 4 Abs. 1 BDSG, welche die Erhe­bung, Ver­ar­beitung und Nutzung von Dat­en erlaubt. Wer­den indi­vid­u­alver­tragliche Vere­in­barun­gen geschlossen, soll­ten diese für Betrieb­svere­in­barun­gen offen for­muliert sein. Unab­hängig vom Abschluss ein­er Betrieb­svere­in­barung wäre ein Betrieb­srat ohne­hin gemäß § 87 Abs. 1 Nr.1 und 6 bei der Ein­führung und Aus­gestal­tung von BYOD mitbes­tim­mungs­berechtigt.

Faz­it: BYOD stellt nicht nur aus tech­nis­ch­er Sicht, son­dern auch aus juris­tis­ch­er Sicht eine anspruchsvolle Her­aus­forderung dar. Als weniger aufwändi­ge Alter­na­tive bietet sich unter Umstän­den das Mod­ell des Cope (Cor­po­rate ownd per­son­al­ly enabled) an. Hierzu in diesem Blog in Kürze.

BEITRAG TEILEN
LinkedInXINGXFacebookEmailPrint

Über den autor

Aktuelles

Weitere Beiträge des Autors

Krankgeschrieben nach der Kündigung: Wie viel Beweiswert hat ein ärztliches Attest?

Nach der Kündigung kommt die Krankschreibung bis zum Ende der Kündigungsfrist, danach startet der Arbeitnehmer sofort im neuen Job? Ein ärztliches Attest kann viel aussagen - oder auch nicht. Das Bundesarbeitsgericht hat neue Regeln dafür aufgestellt, wie Arbeitgeber mit diesem Balanceakt umgehen können.   (mehr …)

Doppelarbeitsverhältnisse: Müssen Arbeitnehmer sich Urlaub anrechnen lassen?

Wenn der neue Job schon begonnen hat, obwohl noch gar nicht klar ist, ob das alte Arbeitsverhältnis wirksam beendet wurde, können Arbeitnehmer in beiden Arbeitsverhältnissen Urlaubsansprüche haben. Das BAG hat geklärt, wie Unternehmen damit umgehen sollten.   Nach einer (fristlosen) Kündigung und dem Beginn eines neuen Arbeitsverhältnisses ergeben sich häufig Fragen, wie sich die gleichzeitig bestehenden Arbeitsverhältnisse aufeinander auswirken. Zum...