Dahinter verbirgt sich die Idee, dass der Arbeitnehmer sein privates mobiles Endgerät, etwa sein iPad, auch geschäftlich nutzt.
Als vorteilhaft aus Firmensicht stellt sich auf den ersten Blick die Tatsache dar, dass das Unternehmen kein Geld für die Anschaffung ausgeben muss und die Geräte länger halten, weil sie besser behandelt werden. Der Arbeitnehmer arbeitet umso motivierter, weil es für ihn angenehmer ist, sein eigenes Gerät nutzen zu dürfen. Dennoch gibt es einige Fallen, die man umgehen sollte, sofern man BYOD im eigenen Unternehmen umsetzen möchte. Denn lässt man dem Arbeitnehmer eine völlige Wahlfreiheit der Geräte, muss einem bewusst sein, dass ein erheblicher zusätzlicher Organisationsaufwand entsteht, um den Wildwuchs in der IT-Landschaft sicherheitstechnisch in den Griff zu bekommen, etwa im Bereich Verschlüsselung, Vierenschutz, Lizenzen, Programme, aktueller Stand der Technik oder technisch-organisatorische Maßnahmen gemäß Anlage zu § 9 BDSG.
Aber selbst wenn man einen Gerätetyp vorgibt, entsteht eine Vielzahl von (datenschutz)-rechtlichen Fragestellungen, die man bereits im Vorfeld geklärt haben sollte. Das Hauptproblem besteht darin, dass das mobile Gerät kein Betriebsmittel des Unternehmens ist, sondern Eigentum des jeweiligen Arbeitnehmers. Die auf dem Gerät erstellten und gespeicherten Unternehmensdaten sind jedoch Eigentum der Firma. Wenn das Unternehmen die Nutzung privater Geräte zu geschäftlichen Zwecken zulässt, muss dies im Bewusstsein geschehen, dass Einfluss- und Kontrollmöglichkeiten aus der Hand gegeben werden. Zum Teil kann dies durch rechtliche Regelungen wieder eingefangen werden. Dies ist aber natürlich nur in begrenztem Maße möglich, weil der Arbeitnehmer sich die Nutzung seines eigenen Gerätes nicht übermäßig vorschreiben lassen will, da es sonst für ihn nicht mehr attraktiv ist. Probleme können etwa entstehen, wenn sich der Arbeitnehmer weigert, erforderliche Software zu installieren oder einen bestimmten Datentarif für seinen Mobilfunkvertrag abzuschließen.
Abgrenzung zwischen privat und geschäftlich
Nicht nur im Hinblick auf die Eigentumsverhältnisse, sondern auch in Bezug auf die Nutzung des Gerätes muss eine Abgrenzung zwischen privat und geschäftlich von Anfang an klargestellt werden, etwa zu welchem Zeitpunkt und in welcher Intensität die private Nutzung erfolgen darf. Aufgrund der Nutzung des privaten Endgerätes im Alltag kann man nicht ausschließen, dass Unternehmensdaten in die Hände von Familienmitgliedern und Freunden des Arbeitnehmers geraten, sodass umso intensiver über Schutzmöglichkeiten für die Unternehmensdaten nachgedacht werden muss. Eine Containerlösung zum Schutz der Unternehmensdaten ist daher eine sinnvolle Vorgehensweise.
Unabdingbar sind auch vertragliche Regelungen bezüglich des Ersatzes, der Kosten bei Verlust oder Reparatur bzw. der Haftung für weitergehende Schäden. Auch die Eigentumsverhältnisse an den installierten Apps sowie der Umgang mit den Unternehmensdaten, wenn ein Mitarbeiter aus dem Unternehmen ausscheidet, müssen geregelt sein. Bei der Synchronisation der Daten über einen Cloud-Dienst ist zu beachten, dass ein ordnungsgemäßer Vertrag über Auftragsdatenverarbeitung abgeschlossen wird, da der Arbeitgeber sonst als Auftraggeber bußgeldpflichtig werden kann. Zudem sind insbesondere bei Datenübermittlungen in Nicht-EU-Staaten die datenschutzrechtlichen Probleme sehr komplex.
Die vertragliche Haftungsbegrenzung ist sehr aufwendig und es bleiben zahlreiche datenschutz- und sicherheitsrechtliche Risiken bestehen. Die Verwendung privater Endgeräte ist haftungsrechtlich nicht empfehlenswert. Wer trotzdem den Schritt wagt, muss sich vertraglich richtig absichern.
Text: Norbert Rauch
atarax GmbH & Co. KG