Arbeit 4.0: „Bring Your Own Device” – ausgewählte rechtliche Fragestellungen

Es ist nicht neu, dass Arbeitnehmer zunehmend ihre privaten mobilen Endgeräte – vom Smartphone, über das Tablet, bis hin zum Laptop – für geschäftliche Zwecke nutzen. Dieser Trend wird als „Bring Your Own Device“ (BYOD) bezeichnet. Der Begriff „Mobile Device“ (MD) beschreibt hingegen mobile Endgeräte, die der Arbeitgeber dem Arbeitnehmer zur Verfügung stellt, wobei dem Arbeitnehmer die private Nutzung der unternehmenseigenen Geräte erlaubt ist. Der wesentliche Unterschied zwischen BYOD und MD ist, dass BYOD-Geräte allzu oft vom Arbeitnehmer ohne die vorherige Genehmigung seitens des Arbeitgebers einfach eingesetzt werden. Mit der geschäftlichen Nutzung stellen die privaten Endgeräte allerdings ein Arbeitsmittel entsprechend der Betriebssicherheitsverordnung (BetrSichV) dar, so dass auch die Vorschriften der BetrSichV auf BYOD anwendbar werden. Entsprechend § 5 Abs. 4 BetrSichV besteht seitens des Arbeitgebers die Pflicht, die Arbeitsmittel, die der Beschäftigte nutzt, diesem zur Verfügung zu stellen oder vor Gebrauch zu genehmigen. Diese Bereitstellungsverpflichtung entbindet den Arbeitnehmer nicht nur davon, selbst für Arbeitsmittel zu sorgen, sondern dient insbesondere dazu, die Sicherheit und den Schutz der Arbeitnehmer bei der Verwendung der Arbeitsmittel zu gewährleisten, § 1 Abs. 1 S. 1 BetrSichV. Der Arbeitgeber ist sozusagen für die Tauglichkeit und Einsatzfähigkeit der Arbeitsmittel verantwortlich. Ein privates BYOD wird aber gerade nicht vom Arbeitgeber zur Verfügung gestellt und an einer Genehmigung fehlt es des Öfteren. Allem Anschein nach wird die geschäftliche Nutzung privater Geräte vielfach stillschweigend toleriert, anstatt diese ausdrücklich zu genehmigen. Fehlt es an der Genehmigung, aber der Arbeitgeber toleriert die Verwendung, so steht dies einer Genehmigung seitens des Arbeitgebers gleich.^[1] Neben der möglicherweise fehlenden Sicherheit und dem fehlenden Schutz des Arbeitsnehmers, besitzt die Verwendung der BYOD zudem weiteres Konfliktpotenzial. Beispielhaft können etwa die generelle Ungeeignetheit eines Arbeitsmittels für die konkrete Arbeitsverrichtung oder Risiken aus dem Zusammenspiel der privaten und geschäftlichen Nutzung des Gerätes (z. B. aufgrund der Vermischung von Daten oder aufgrund der auf dem Gerät installierten Softwares) genannt werden.

Wird das Konzept BYOD (und teilweise auch MD) im Unternehmen etabliert oder ist bereits Alltag, kann die Verwendung der privaten Geräte zu einigen Risiken und Fragestellungen führen, die im Rahmen der Genehmigung vertraglich geregelt werden könnten (und sollten). Im Folgenden wird eine Auswahl der wesentlichen rechtlichen Fragestellungen zum Thema BYOD thematisiert:

1. Private Geräte sind mit privaten Softwarelizenzen ausgestattet. Welche Folgen hat die geschäftliche Nutzung?

In der Regel stattet der Beschäftigte das BYOD mit einer für die private Nutzung kostenlosen Software aus. Wird dieses Gerät nun für geschäftliche Zwecke genutzt, so liegt ein Lizenzverstoß vor, wenn die Lizenz-/Nutzungsbedingungen ausschließlich die private Nutzung (was in der Regel der Fall ist) erlauben. Wird eine Software (vorsätzlich oder fahrlässig) entgegen der Lizenzvereinbarung oder ohne erteilte Lizenz genutzt, so liegt ein Verstoß gegen das Urheberrecht vor, denn Computerprogramme sind gemäß § 2 Abs. 1 Nr. 1 UrhG und §§ 69a ff. UrhG vom Urheberrechtsschutz erfasst. Ein Urheberrechtsverstoß kann zu Unterlassungs- und Schadensersatzansprüchen (§ 97 UrhG) des (Software‑)Rechteinhabers gegenüber demjenigen, der den Verstoß begangen hat (der Arbeitnehmer) sowie gegenüber dem Arbeitgeber (§ 99 UrhG) führen.

Lösung: Das private BYOD sollte vor der Nutzung vom Arbeitgeber genehmigt und dem Beschäftigten eine entsprechende (zur gewerblichen Nutzung geeignete) Software zur Verfügung gestellt werden. Zudem erscheint es empfehlenswert, den Beschäftigten bezüglich möglicher Lizenzverstöße zu unterweisen und ebenfalls die Installation oder Nutzung weiterer Computerprogramme zu geschäftlichen Zwecken ohne vorherige Genehmigung zu untersagen. Wird das Gerät vom Arbeitgeber zur Verfügung gestellt, ist das MD vorab mit entsprechenden Softwares auszustatten. Zudem sollte dem Beschäftigten untersagt werden, weitere Computerprogramme ohne vorherige Genehmigung zu installieren.

2. Vermischung privater und geschäftlicher Daten auf Smartphone & Co. Ein Problem!?

Unabhängig davon, ob das private BYOD für geschäftliche Zwecke oder ob das geschäftliche MD für private Zwecke genutzt wird, findet beinahe zwangsläufig eine Vermischung von privaten und geschäftlichen Daten statt. Dabei sind verschiedene Konstellationen denkbar, in denen eine derartige Vermischung risikobehaftet sein kann.

Wird beispielsweise ein Smartphone gestohlen oder geht verloren, so ist es im Interesse des Arbeitgebers, die darauf abgespeicherten geschäftlichen Daten durch eine externe Zugriffsmöglichkeit zeitnah zu löschen. Von dem Löschungsvorgang wären (bei einer vermischten Speicherung) jedoch die geschäftlichen sowie die privaten Daten betroffen. Zum anderen wird der Arbeitgeber ein Interesse daran haben, dass ein Beschäftigter, der aus dem Unternehmen ausscheidet, sodann keinen Zugriff mehr auf geschäftliche Daten besitzt. Die dazu notwendige klare physische Trennung der Daten könnte sich durchaus schwierig gestalten, wenn sie zuvor vermischt gespeichert wurden.

Lösung: Sogenannte Container-Lösungen ermöglichen die strikte Trennung zwischen privaten und geschäftlichen Daten sowie installierten Applikationen.^[2] Der Arbeitgeber erhält eine externe Zugriffsmöglichkeit ausschließlich auf den „geschäftlichen Container“, so dass eine vom Arbeitgeber gesteuerte Verwaltung (z. B. hinsichtlich Konfiguration und Einstellung von Sicherheits-Werkzeugen) möglich ist.^[3] Nachteilig können Container-Lösungen sein, wenn sie das Nutzerverhalten der Arbeitnehmer dokumentieren (was grundsätzlich möglich ist), so dass aus datenschutzrechtlicher Sicht eine Einwilligung der Arbeitnehmer zwingend einzuholen wäre.^[4]

Die Probleme der vermischten Daten und des datenschutzrechtlichen Konflikts könnten vermieden werden, wenn das Gerät grundsätzlich keine Speicherung von geschäftlichen Daten vornehmen würde. Ein Smartphone könnte bloß als „Durchlaufposten“ (als sogenannter Thin-Client) fungieren und generell keine Speicherung von geschäftlichen Daten zulassen.^[5] Thin-Client-Geräte nutzen die Dienste und Anwendungen eines Servers, so dass alle Vorgänge und Anwendungen auf dem Server vorgenommen werden, anstatt auf dem Gerät selbst.^[6]

3. Personenbezogene Daten. Welche Pflichten hat der Arbeitgeber?

Werden personenbezogene Daten auf dem Smartphone gespeichert oder verarbeitet, ist das Datenschutzrecht zu beachten. Dies ist allein schon aufgrund der Nutzung von E-Mail-Programmen (z.B. Outlook) der Fall. Daher hat der Verantwortliche technische und organisatorische Maßnahmen zu ergreifen, um den rechtskonformen Umgang mit dem BDSG zu gewährleisten, § 9 BDSG. Mit der Geltung der Datenschutzgrundverordnung (DSGVO) zum 25. Mai 2018 bleibt diese Anforderung bestehen und wird insoweit erweitert, dass der Verantwortliche zudem den Nachweis für den rechtskonformen Umgang mit der DSGVO erbringen können muss, Art. 24 Abs. 1 DSGVO.

Lösung: Neben der Pflicht zur Einrichtung eines Passwort- und Virenschutzes kann ebenso die oben beschriebene Container-Lösung als technische und organisatorische Maßnahme den rechtskonformen Umgang mit dem Datenschutzrecht gewährleisten.^[7] Grundsätzlich sollte der Arbeitgeber sich Kontroll- und Zugriffsmöglichkeiten zusichern, um überhaupt in der Lage zu sein, die erforderlichen Maßnahmen zu erkennen und veranlassen zu können.

4. BYOD-Smartphone wird gestohlen oder geht verloren. Wer haftet?

Mit dem Verlust des Smartphones ist die Frage nach der Haftung für das Gerät selbst sowie der darauf enthaltenen Daten verbunden. Zur Prüfung, inwieweit sich die Haftung auf den Arbeitnehmer oder den Arbeitgeber erstreckt, ist auf den allgemeinen Grundsatz des innerbetrieblichen Schadensausgleiches^[8] aus der Arbeitnehmerhaftung zurückzugreifen. Demnach hat der Arbeitnehmer grundsätzlich bei einer vorsätzlich und grob fahrlässig begangenen Pflichtverletzung die volle Haftung zu übernehmen, sofern der Verlust auf normaler Fahrlässigkeit beruht, ist die Haftung anteilig geteilt und im Fall von leichter Fahrlässigkeit trägt der Arbeitgeber die volle Haftung.^[9] Die Beweislast trägt der Arbeitnehmer (Beweislastumkehr aus § 619a BGB) zum einen für die Pflichtverletzung seitens des Arbeitnehmers und zum anderen für den Grad des Verschuldens.^[10]

Lösung: Sofern ein Schaden auf die Pflichtverletzung des Arbeitnehmers (im Rahmen der Arbeitsverrichtung) zurückzuführen ist, greift die Arbeitnehmerhaftung und zwar unabhängig davon, ob der Schaden auf dem Verlust eines Smartphones oder auf dem Verlust von Daten basiert. Zur Haftungsverteilung ist der Grad an Fahrlässigkeit der pflichtverletzenden Handlung zu ermitteln. Sofern das Smartphone abhandenkommt, kann im Übrigen wenigstens der Datenverlust vermieden werden, wenn beispielsweise die (zuvor unter 2 genannte) Thin-Client-Lösung genutzt wird. Ebenso wäre ein Zugriffsrecht des Arbeitgebers auf das Smartphone zur sofortigen Löschung der Daten möglich, das im Rahmen der Container-Lösung den Zugriff und die Löschung ausschließlich geschäftlicher Daten ermöglichen würde.

5. Datenklau aufgrund mangelhafter Sicherheitseinstellung. Wer haftet?

Ist das Smartphone oder der Laptop unzureichend gegen Cyber-Angriffe geschützt und werden aufgrund dessen Daten manipuliert oder entwendet, stellt sich unmittelbar die Frage, wer für die Sicherheitseinstellungen verantwortlich ist und die Haftung trägt.

Grundsätzlich hat der Arbeitgeber die zur Verfügung gestellten Arbeitsmittel vor Verwendung und die BYOD im Rahmen der Genehmigung mit den nötigen Sicherheitseinstellungen auszustatten. Sollten Daten aufgrund unzureichender Sicherungsvorkehrungen ausgespäht, manipuliert oder abgegriffen werden, so trägt grundsätzlich der Arbeitgeber die Haftung.

Anders ist der Fall zu bewerten, wenn der Cyber-Angriff erst durch ein pflichtwidriges Verhalten des Arbeitnehmers ermöglicht wird. Führt eine Pflichtverletzung des Arbeitnehmers zu einem Schaden ist der bereits genannte innerbetriebliche Schadensausgleich zur Ermittlung der Haftungsverteilung heranzuziehen. Beispielsweise könnte ein grob fahrlässiges Verhalten (und damit die volle Haftung) des Arbeitnehmers angenommen werden, wenn dieser die vom Arbeitgeber implementierte Sicherheitseinstellung außer Betrieb setzt, um das neueste Handyspiel zu installieren.

Lösung: Es ist zu empfehlen, die privaten Geräte der Arbeitnehmer grundsätzlich zu genehmigen und nicht bloß stillschweigend zu tolerieren. Dabei erscheint es sinnvoll grundsätzliche Regeln für den Umgang mit BYOD im Unternehmen zu entwerfen und mit dem Arbeitnehmer eine schriftliche Vereinbarung (sei es im Arbeitsvertrag oder der Betriebsvereinbarung) zu treffen. Die Vereinbarung ist Voraussetzung für die erlaubte Verwendung der BYOD und legt den zulässigen und unzulässigen Umgang, die Zuständigkeit der Aktualisierung von Softwares etc. fest.

6. Vereinbarung über Bring Your Own Device ist empfehlenswert. Mit welchem Inhalt?

Die vorausgegangenen aufgeworfenen Fragestellungen haben bereits einen Überblick darüber gegeben, welche Inhalte in einer Vereinbarung sinnvollerweise zu regeln wären, wenn dem Arbeitnehmer die Möglichkeit eingeräumt wird, seine privaten Endgeräte für die Arbeitsverrichtung zu nutzen.

Zusammengefasst, sollte eine Vereinbarung – neben allgemeinen Punkten, wie das Inkrafttreten und die Beendigung der Vereinbarung – Folgendes enthalten:

• Auf dem Gerät sind die geschäftlichen Daten von den privaten Daten des Arbeitnehmers strikt zu trennen (beispielsweise mithilfe der Container-Lösung). Der Arbeitnehmer hat zudem das Gerät vor dem Zugriff durch Dritte zu schützen und einen Passwort-Schutz einzurichten. Auf die geschäftlichen Daten erhält der Arbeitgeber ein Zugriffsrecht, so dass eine kurzfristige Löschung der Daten durch den Arbeitgeber – beispielsweise im Falle des Verlustes des Gerätes – möglich ist.
• Bei Beendigung des Arbeitsverhältnisses ist der Arbeitnehmer verpflichtet, alle geschäftlichen Daten dem Arbeitgeber zu übergeben und auf dem Gerät restlos zu löschen.
• Werden personenbezogene Daten, auf dem Gerät gespeichert oder verarbeitet, bleibt der Arbeitgeber als verantwortliche Stelle im Sinne des Datenschutzrechts für den rechtskonformen Umgang verantwortlich. Entsprechend hat er technische und organisatorische Maßnahmen zur Gewährleistung des Datenschutzrechts zu veranlassen. Daher sollte der Arbeitgeber Sicherheitseinstellungen hinsichtlich des Betriebssystems und Schutzeinstellungen (beispielsweise Virenschutzprogramme) festlegen, die zudem vom Arbeitnehmer nicht verändert oder deaktiviert werden dürfen. Ebenso sollte der Arbeitnehmer verpflichtet werden, Aktualisierungen/Updates von Programmen nach Anweisung oder Bereitstellung durch den Arbeitgeber auf den Geräten unverzüglich vorzunehmen. Zudem ist der Arbeitnehmer verpflichtet, personenbezogene Daten, die nicht mehr benötigt werden, umgehend zu löschen.
• Mit Blick auf das Arbeitszeitgesetz erscheint es zudem empfehlenswert, einen Hinweis auf die höchstzulässige werktägliche Arbeitszeit in die Vereinbarung aufzunehmen. Beispielsweise derart, dass der Arbeitnehmer über die werktäglich vereinbarte Arbeitszeit nicht verpflichtet ist, geschäftliche Tätigkeiten (beispielsweise E-Mails zu beantworten oder Telefonate anzunehmen) vorzunehmen.
• Zudem kann eine Regelung über die Verteilung der entstehenden Kosten vereinbart werden. Beispielsweise, inwieweit sich der Arbeitgeber an den laufenden Kosten aus dem Mobilfunkvertrag beteiligt und wie sich die Kosten für Reparatur, Wartung etc. zwischen dem Arbeitgeber und dem Arbeitnehmer verteilen.

Autorin: Kathrin Nitsche | Mai 2017

__________________________________

Quellen:

[1] Wink, BetrSichV Abschnitt 2. § 5, in: Kollmer/Klindt/Schucht (Hrsg.), Arbeitsschutzgesetz, Kommentar, 2016, Rn. 3.

[2] Brandt, 2. Abschnitt 4. Kapitel § 29. II, in: Hauschka/Moosmayer/Lösler (Hrsg.), Corporate Compliance, 2016, Rn. 155.

[3] Conrad, Teil F § 37, in: Auer-Reinsdorff/Conrad (Hrsg.), Handbuch IT- und Datenschutzrecht, 2016, Rn. 299.

[4] Conrad, Teil F § 37, in: Auer-Reinsdorff/Conrad (Hrsg.), Handbuch IT- und Datenschutzrecht, 2016, Rn. 289.

[5] Brandt, 2. Abschnitt 4. Kapitel § 29. II, in: Hauschka/Moosmayer/Lösler, Corporate Compliance, 2016, Rn. 155.

[6] Pruß/Sarre, Technisches Glossar (Thin Client/Fat Client), in: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2016.

[7] Raif/Nann, Arbeitsrecht 4.0 Möglichkeiten und Hürden in der digitalen Arbeitswelt, GWR 2016, S. 222.

[8] Der innerbetriebliche Schadensausgleich hat seinen Ursprung in dem Richterrecht, aufgrund mangelnder gesetzlicher Regelung. Dazu vergleiche: Schwab, Haftung im Arbeitsverhältnis – 1. Teil: Haftung des Arbeitsnehmers, NZA-RR 2016, S. 173.

[9] Schreiber, BGB § 619a Beweislast bei Haftung des Arbeitnehmers, in: Schulze (Hrsg.), Bürgerliches Gesetzbuch, 2017, Rn. 6.

[10] Schreiber, BGB § 619a Beweislast bei Haftung des Arbeitnehmers, in: Schulze (Hrsg.), Bürgerliches Gesetzbuch, 2017, Rn. 6.