Rechtliche Fallstricke bei BYOD

Nutzen Arbeitnehmer private Telekommunikationsmittel für dienstliche Zwecke, ergeben sich aus arbeitsrechtlicher Sicht zahlreiche Fragestellungen. Sieben Problemfelder können hierbei identifiziert werden.

Wir wollen immer und überall erreichbar sein und Zugriff auf Informationen haben – auch unterwegs. Schon 67 Prozent aller Berufstätigen arbeiten laut einer Bitkom-Studie aus dem Jahr 2013 mit Handy oder Smartphone – mit einem dienstlichen oder dem privaten.

Auf den ersten Blick liegen die Vorteile des Gebrauchs privater Telekommunikationsmittel für dienstliche Zwecke auf der Hand: Die Arbeitnehmer nutzen vertraute Technik und ersparen sich den Transport mehrerer Geräte. Für den Arbeitgeber ist der Mitarbeiter theoretisch ständig erreichbar.

Doch damit sind die Themen nicht erschöpft. Die Methode „bring your own device“ (BYOD) eröffnet eine Vielzahl arbeitsrechtlicher Fragestellungen – in vielen Arbeitsverhältnissen wird aber allein aus Pragmatismus über viele Aspekte hinweggegangen. Doch nicht erst, wenn die Auflösung des Arbeitsverhältnisses im Raume steht, kann dieses Vorgehen für beide Seiten böse Überraschungen bergen.

Dabei lassen sich je nach Struktur des Arbeitsverhältnisses und des Unternehmens die wesentlichen Aspekte in Arbeitsverträgen, Dienstanweisungen, Richtlinien oder Betriebsvereinbarungen vereinbaren und/oder regeln. Zu beachten ist dabei nur, dass bei Existenz eines Betriebsrates dieser in zahlreiche Fragen zur Nutzung von Informationstechnologie einzubeziehen ist.

Daher sollte sich die Parteien über folgende Punkte Gedanken gemacht haben:

1. Problemfeld Arbeitszeit

Über das private Handy ist der Arbeitnehmer ständig erreichbar – auch nach Feierabend und im Urlaub. Doch der Mitarbeiter darf laut Arbeitszeitgesetz höchstens zehn Stunden am Tag und maximal 48 Stunden in der Woche beschäftigt werden – diese Regelung schließt die Erreichbarkeit per E-Mail und Telefon ein. Die Arbeit am Sonntag ist sogar grundsätzlich verboten.

Selbst bei der Nutzung von Geräten des Unternehmens stellen daher inzwischen viele große Arbeitgeber beispielsweise die Weiterleitung von E-Mails auf das Firmenhandy ein.

Eine Alternative besteht darin, den dienstlichen E-Mail-Account auf dem privaten Handy manuell zu deaktivieren. Auch diese Lösung sollte der Arbeitnehmer allerdings mit dem Arbeitgeber besprechen. Auch zur unternehmensinternen Klarstellung sollte eine Regelung getroffen werden, in welchen Zeiträumen E-Mails gesendet und beantwortet werden müssen.

2. Problemfeld Kosten

In Zeiten von Flatrates und speziellen Business Rates ist die Kostentragung hinsichtlich der laufenden Gebühren eher von abnehmender Bedeutung. Eine – pauschal anteilige – Kostentragung auch bei Fortbestehen des privaten Mobilfunkvertrages durch den Arbeitgeber lässt sich einzelvertraglich regeln. Der Arbeitnehmer hat den hierdurch entstehenden geldwerten Vorteil jedoch zu versteuern. Alternativ kann der Arbeitnehmer den Anteil der beruflich verursachten Kosten ermitteln und dem Arbeitgeber in Rechnung stellen. Dies ist für den Arbeitnehmer jedoch recht aufwändig.

Ein großer Vorteil von BYOD für den Arbeitgeber besteht darin, dass der Arbeitnehmer bei der Nutzung privater Geräte die Anschaffungskosten für diese trägt. Darüber hinaus wird dieser in aller Regel Sorge tragen, dass seine Geräte technisch auf einem aktuellen Stand sind.

3. Problemfeld Rufnummer

Was viele Arbeitnehmer nicht wissen: Soll der Mobilfunkvertrag auf den Arbeitgeber übertragen werden, damit die lästige Kostenermittlung wegfällt, überträgt der Arbeitnehmer in aller Regel auch seine Rufnummer auf den Arbeitgeber – und gibt diese beim Ausscheiden aus dem Unternehmen endgültig auf.

Der Arbeitnehmer kann dies nur vermeiden, indem er beim klaren „bring your own device“ bleibt – und selbst Vertragspartner des Mobilfunkvertrages bleibt. Wird der bestehende private Vertrag aufgestockt auf eine geschäftliche Flatrate, ist eine Vereinbarung zu treffen, für welchen Zeitraum und unter welchen Bedingungen der Arbeitgeber die höheren Kosten weiter trägt, falls der Arbeitnehmer aus dem Unternehmen ausscheidet.

4. Problemfeld Kontrollverlust über Daten

Es muss nicht einmal böse Absicht sein, wenn Firmendaten beim Backup in Bereichen des privaten Computers landen, die hierfür nicht vorgesehen sind. Auf der anderen Seite kann sich Persönliches plötzlich auf dem Firmenserver wiederfinden – das kann die E-Mail sein, in der über die Arbeit geschimpft wird oder ein für den Arbeitnehmer ungünstiges Urlaubsfoto. Ein Spannungsfeld bildet häufig die Rechtmäßigkeit der Verarbeitung und Sicherheit der personenbezogenen Arbeitnehmerdaten und die Sicherheit von Betriebs- und Geschäftsgeheimnissen. Dem Arbeitgeber ist es aber grundsätzlich verboten, die privaten Daten zu speichern oder gar zu verwenden, und auch bei der Überwachung der Gerätenutzung des Mitarbeiters gibt es gesetzliche Grenzen.

Die Lösung kann nur technischer Art sein: Die Daten müssen (software-)technisch getrennt und somit separat gespeichert werden. Das kann für E-Mails über verschiedene E-Mail-Accounts bei gleichzeitiger Untersagung der privaten Nutzung der Firmen-IT erreicht werden. Einige Hersteller von Smartphones halten für diese Problematik bereits Lösungen in ihren Betriebssystemen bereit.

5. Problemfeld IT-Sicherheit

Die Mitarbeiter müssen umfassend sensibilisiert werden, welche Gefahren den privaten und unternehmensbezogenen Daten durch E-Mail-Anhänge und Apps drohen. Um einen möglichst hohen Stand an Sicherheit zu gewährleisten, ist die Verschlüsselung jeglicher privater und unternehmensbezogener Daten sinnvoll – und zwar auch auf den Wechselmedien. Durchsetzen kann diese Notwendigkeit die IT-Abteilung, indem sie dem Mitarbeiter den umfassenden Fernzugriff auf das Unternehmensnetzwerk nur bei konsequenter Verschlüsselung der Daten gewährt

6. Problemfeld Eigentumsverhältnisse

Das Handy gehört dem Mitarbeiter, doch die Geschäftsdaten dem Unternehmen. Und so seltsam es auch anmutet, wenn der Arbeitgeber plötzlich sagt: Gib mir mal Dein Handy – aus Unternehmenssicht gibt es keine Alternative zu diesem (Daten-)Herausgaberecht. Aus Sicht des Unternehmens muss dieses Recht vertraglich vereinbart werden und zwar mit Fristen, wie lange und unter welchen Konditionen der Arbeitnehmer sein Handy zur Verfügung stellen muss, um die Daten des Arbeitgebers zu sichern, oder alternativ, welche Fernzugriffsrechte dem Arbeitgeber eingeräumt werden, damit dieser seine Interessen wahrnehmen kann.

Denn der Arbeitgeber muss jederzeit die Möglichkeit haben, auf seine Firmendaten zuzugreifen, sie zu sichern und im Falle einer Trennung auch von dem privaten Gerät zu löschen. Darüber hinaus müssen Einstellungen auf dem Gerät des Arbeitnehmers vorgenommen werden und Arbeitnehmer verpflichtet werden können, Sicherheitsmaßnahmen bei der Nutzung des Geräts zu dulden beziehungsweise einzuhalten.

7. Problemfeld ausgediente Endgeräte

Auch nach der Beendigung der geschäftlichen Nutzungsphase ist die Datensicherheit wichtig. Das betrifft sowohl den geplanten als auch den ungeplanten Austausch der mobilen Geräte durch einen Defekt oder Diebstahl. Allein das Zurücksetzen auf den Auslieferungszustand ist meist keine ausreichende Löschung, um die Sicherheit der Daten zu gewährleisten. Vielmehr ist die Inanspruchnahme geeigneter Datenlöschdienstleister sinnvoll. Auch hierbei ist wiederum die Trennung von unternehmensbezogenen und privaten Daten entsprechend der Vereinbarung mit dem Mitarbeiter essentiell. Darüber hinaus ist in Hinblick auf ein mögliches Ende von Lizenzvereinbarungen eine Vereinbarung zur Deinstallation von Firmensoftware erforderlich.

Checkliste für eine Nutzungsvereinbarung

Ohne Vorliegen einer Nutzungsvereinbarung sollte der dienstliche Gebrauch privater Geräte nicht gestattet werden. Folgende Aspekte sollten darin geregelt sein:

  1. Vertraulichkeit: Nutzung der Geräte alleine durch den zugangsberechtigten Arbeitnehmer
  2. Einwilligung: Einwilligung des Arbeitnehmers in Erhebung und Verwendung der Nutzungsdaten
  3. IT / Datensicherheit: Arbeitgeber macht Vorgaben zu
    1. Mobile device management-System (getrennte Speicherung von privaten und dienstlichen Daten, Verschlüsselung von Daten, etc.)
    2. Systemeinstellungen, etwa Passwortschutz
    3. Zugangsparameter zur Unternehmens-IT
    4. Upgrade-Verpflichtung
    5. Der Mitarbeiter übernimmt die Verantwortung für selbst installierte Apps
    6. Vorgaben zur Installation von Software (inklusive Virenschutz) und Apps sowie Berechtigung zur Entfernung von schädlicher/unzulässiger Software bzw. Apps
    7. Verbot von Jailbreaks und Cloud-Diensten bezüglich betrieblicher Daten
    8. Befugnis des Arbeitgebers, wie mit unternehmensbezogenen Daten auf dem Gerät des Arbeitnehmers genauso wie mit Daten auf unternehmenseigenen IT-Geräten zu verfahren ist (Datenzugriff, -veränderung, -sperrung und –löschung)
    9. Verpflichtung des Mitarbeiters zur Ergreifung von Sicherheitsmaßnahmen gemäß § 9 BDSG
    10. Einspielung von Sicherheits-Patches
    11. Berechtigung des Unternehmers zum Remote-Zugriff auf Geräte der Arbeitnehmer und zur zentralen Sperrung und Löschung von Daten im Fall von Diebstahl oder Verlust
    12. Lizenzkonforme Nutzung von Apps und Software, Lizenzprüfung bei selbst installierten Apps und ggf. Haftungsfreistellung
    13. Herausgabe des Endgerätes für Lizenzprüfungen, Toolgestützte Lizenzprüfungen
  4. Umfang der Nutzung: Nutzung außerhalb der vertraglichen Arbeitszeit / Datenroaming im Ausland, Abruffrequenz der dienstlichen E-Mails auf Dienstreisen
  5. Herausgabepflicht: Selbstverpflichtung des Arbeitnehmers, dem Arbeitgeber das Gerät – zeitlich befristet – herauszugeben zur Kontrolle der Einhaltung der Regelungen, Sicherung der Firmendaten, Reparaturen, Systemeinstellungen, Löschungen
  6. Mobilfunkvertrag: Beachtung der Vorgaben des Mobilfunkvertrages
  7. Kostenregelung: Kostentragung im Hinblick auf Anschaffung, laufende Gebühren, Übernahme von Mehrkosten, Erstattung von Kosten (z.B. bei Benutzung einer privaten SIM-Karte), Wartung/Support/Austausch
  8. Haftungsverteilung:
    1. Pflicht zur unmittelbaren Information des Arbeitgebers bei Verlust oder Diebstahl ( § 42a BDSG)
    2. Haftungsfreistellung des Unternehmens und seiner Organe bei Lizenzverstößen
    3. Ersatzpflicht bei Beschädigung oder Verlust des Endgerätes
    4. Reparatur- und Wartungsleistungen
  9. Beendigung: Verpflichtung zur Herausgabe der dienstlichen Daten; Pflicht zur Überlassung des Gerätes zur Deinstallation/Löschung von Daten