Aktenzeichen BYOD häufig ungelöst

E-GovernmentManagementRegulierung

Längst schon ist BYOD gängige Praxis in Unternehmen. Wie die beiden IT-Anwälte der Wirtschaftskanzlei DLA Pieper in ihrem Beitrag jedoch feststellen, fehlt es bislang an einer einschlägigen Rechtsprechung zum Umgang mit der geschäftlichen Nutzung privater Devices. Grund genug, den dringendsten Anwendungsfragen für einen wirksamen Rechtsrahmen nachzugehen.

Pohle_Imping_DLA_PieperIn welchen Branchen und Fachbereichen findet BYOD denn am ehesten statt?

Diese Thematik lässt sich nicht an einzelnen Branchen oder Fachbereichen festmachen, vielmehr am Alter. Insbesondere junge, technik-affine Mitarbeiter wünschen sich, ihre privaten Endgeräte auch dienstlich nutzen zu dürfen. Je innovativer ein Unternehmen anmutet (z.B. Start-ups) desto eher ist BYOD dort Thema. Aber auch bei anderen Unternehmensarten aus steht es schon auf der Agenda.

Will ein Unternehmen BYOD professionell einführen, wie sollte es vorgehen?

Zunächst sollte der IST-Stand im Unternehmen, also wer bereits sein privates Endgerät geschäftlich nutzt, analysiert werden. Anschließend sollten dann die BYOD-Ziele bestimmt werden, zum Beispiel Kostenreduzierung durch weniger Firmen-Hardware, Produktivitätssteigerung. Der wichtigste Teil ist allerdings das Gewichten von Risiken, bevor der rechtliche Rahmen bestimmt werden kann. Da geht es dann um das Abwägen der Risiken von so einer mobilen Nutzung sensibler Firmendaten über viele unterschiedliche Endgeräte. Dann geht es an die Formulierung der Richtlinien. Ganz wichtig dabei: das Sicherstellen der Akzeptanz dieser Vorgaben bei den Mitarbeitern. Erst wenn diese Schritte durchlaufen sind, kann es an die Implementierung gehen.

Thema Haftung: Wer haftet bei Schäden, Reparaturen oder Verlust? Oder kann das zwischen Mitarbeiter und Unternehmen frei vereinbart werden? Wenn das Unternehmen Eingriffe an privaten Geräten vornehmen muss, darf es das rein rechtlich? Wo fängt schuldhaftes Verhalten des Mitarbeiters/Unternehmens an?

Die Themen und Fallkonstellationen rund um das Thema Haftung sind vielschichtig. Einschlägige Rechtsprechung zu diesen Themen im BYOD Umfeld existiert nicht, es gelten die allgemeinen gesetzlichen Regelungen, präzisiert durch die allgemeine arbeits- und zivilrechtliche Rechtsprechung. Kurzum: Die BYOD-spezifische Rechtslage ist gegenwärtig nicht geklärt. Entsprechend empfiehlt es sich dringend, haftungsrechtlich relevante Themen in BYOD-Richtlinien zu regeln und für das Arbeitsverhältnis verbindlich zu implementieren, das heißt Verantwortlichkeiten, Befugnisse und gegebenenfalls Haftungsmaßstäbe zu regeln. Fehlt eine solche Regelung, ist die Rechtslage durchaus kompliziert und einzelfallbezogen. Das gilt für den Zugriff des Arbeitgebers auf das Endgerät des Arbeitnehmers, der keinesfalls stets und ohne weiteres zulässig ist. Auch ist der Arbeitnehmer außerhalb der Maßstäbe zur gefahrgeneigten Arbeit hinsichtlich des Umgangs mit Firmendaten von einer persönliche Haftung freigestellt, entsprechendes gilt für den Arbeitgeber für den Umgang mit privaten Daten des Mitarbeiters.

Wie lässt sich sicherstellen, dass private Daten privat bleiben und betriebliche im Unternehmen?

Die Trennung zwischen privaten und Unternehmensdaten sollte konsequent erfolgen. In erster Linie sollten technische Lösungen durch Remotezugriff auf das Firmennetzwerk einerseits und lokalen Festplatten oder privater externer Speicher-Ressourcen andererseits eingesetzt werden. Werden private und Unternehmensdaten auf einem einzigen privaten Speicherplatz gespeichert, muss trotzdem eine logische Trennung machbar sein. Sei es falls das Unternehmen auf Unternehmensdaten zugreifen will oder sie bei Beendigung des Arbeitsverhältnisses herausverlangt. Die technischen Möglichkeiten müssen um klare Weisungen an den Mitarbeiter ergänzt werden.

Geht ein privates Gerät verloren, welche Handhabe hat das Unternehmen, etwa bezüglich Remote Wipe?

Das hängt im Ergebnis von der Ausgestaltung ab. Sofern auf dem Endgerät ein virtualisiertes System (zum Beispiel Citrix) installiert ist, kann der Arbeitgeber bei Geräteverlust direkt reagieren und die Serververbindung einseitig beenden, ohne die Zustimmung des Mitarbeiters einholen zu müssen. Im Übrigen bedarf jeder Eingriff der vorherigen Zustimmung, die zwischen den Parteien für den Fall des Verlustes im Interesse der Schadensvermeidung vereinbart sein sollte.

Wie müssen Support und Wartung geregelt sein?

Wichtig ist vor allem, dass die Beteiligten sich über das Thema Gedanken machen und eine Vereinbarung treffen. Handelt es sich nicht mehr um Einzelfälle, ist eine vertragliche Absprache über ein vom Arbeitgeber an den Arbeitnehmer zahlbares Nutzungsentgelt, die Verantwortlichkeit für die Wartung sowie die Erstattung der vom Mitarbeiter verauslagten Kosten für Providergebühren, Reparatur- sowie Software- und Update-Kosten zwingend zu empfehlen. Um Urheberrechtsverletzungen vorbeugen zu können, muss das Unternehmen sich darum kümmern, dass ausreichende Lizenzen für die betriebliche Nutzung der auf dem privaten Endgerät gespeicherten Software vorhanden sind beziehungsweise erworben werden. Im Übrigen sollte zwischen den Parteien die Frage beantwortet sein, wer die rechtliche Verantwortung für das (auch) dienstlich genutzte Endgerät trägt, also wer für den Verlust des Gerätes, der Ersatzbeschaffung sowie die Konsequenzen des Nutzungsausfalls einzustehen hat.

CYOD (Choose Your Own Device)

Mittlerweile kursieren neue Kürzel wie CYOD (Choose Your Own Device). Danach können die Mitarbeiter aus einem festen Pool von Unternehmensgeräten für sie geeignetste auswählen. Was ist davon zu halten?

Der Arbeitgeber steht im Rahmen der Einführung von BYOD vor erheblichen Herausforderungen nicht nur in kaufmännischer sondern vor allem rechtlicher Hinsicht. Um diese zum einen “in den Griff zu bekommen”, andererseits aber auch dem Bedürfnis der Belegschaft nach der Nutzung von auch im privaten Bereich bevorzugten Technologie zu entsprechen, ist CYOD ein guter Schritt in Richtung Praktikabilität und Handhabbarkeit. Hier ist die Grundgesamtheit der Endgeräte bereits festgelegt. Der Arbeitgeber muss jetzt noch den Nutzungsrahmen setzen, um beim Gebrauch der Geräte die Kontrolle über das Nutzungsverhalten der Anwender zu behalten.