Buchstabengetreu

Inhaltsverzeichnis

Die Spielarten von BYOD sind vielfältig. Sie reichen von der gelegentlichen Nutzung des privaten Smartphones für geschäftliche Telefonate bis zur vollständig eigenverantwortlichen Beschaffung und Administration privater Laptops durch einzelne Mitarbeiter. BYOD bezieht sich in der aktuellen Diskussion zwar grundsätzlich auf mobile Endgeräte, aber ein Großteil der im Artikel beschriebenen Aspekte gilt auch für Heimarbeitsplätze.

Bei einem BYOD-Szenario sind verschiedene Grundkonstellationen denkbar:

• Der Arbeitgeber erlaubt die dienstliche Nutzung privater Endgeräte außerhalb des Unternehmensnetzes,
• er erlaubt sie innerhalb des Unternehmensnetzes

• der Arbeitnehmer hat sich gegenüber dem Arbeitgeber dazu verpflichtet, private Endgeräte beruflich zu nutzen.

Doch oft liegt ein ganz anderer Fall vor: Ein Angestellter bringt einfach seinen Privat-Laptop mit in die Firma und arbeitet damit. Was zur Frage führt: Ist BYOD ohne Zustimmung des Arbeitgebers erlaubt?

Allgemeine Antwort: Nein. Der Einsatz privater Endgeräte bedarf der Erlaubnis des Arbeitgebers. Fehlt diese, kann der Arbeitgeber arbeitsrechtlich vorgehen und gegebenenfalls Schadensersatz fordern – zum Beispiel für die Beseitigung von Viren, die über ein ungenügend geschütztes Notebook ins Firmennetz eindringen konnten.

Relevant ist in diesem Fall, ob der Arbeitnehmer mit dem eigenen Gerät auf die Unternehmens-IT zugegriffen hat. Nur Mitbringen und ein bisschen Strom verbrauchen reicht in der Regel nicht für eine Kündigung. Unternehmensdaten ohne Erlaubnis des Arbeitgebers auf private Endgeräte zu speichern, könnte hingegen den Verdacht eines strafbaren Verrats von Geschäfts- oder Betriebsgeheimnissen begründen.

Aber: Weiß der Arbeitgeber von der Nutzung privater Endgeräte und duldet diese, ist die Rechtslage unklar. Eine sogenannte „betriebliche Übung“ könnte nach einer Weile das Recht begründen, private Endgeräte beruflich nutzen zu dürfen.

Es ist also auf jeden Fall ratsam, eine BYOD-Regelung einzuführen, und zwar so bald wie möglich. Dabei hat der Arbeitgeber verschiedene Optionen. Er kann grundsätzlich anweisen, ob und in welchem Rahmen er BYOD zulässt. Falls er es erlaubt, kann er Nutzungsregeln aufstellen. Sein Direktionsrecht wird allerdings umso schwächer, je mehr es in den privaten Lebensbereich des Arbeitnehmers eindringt. Über die private Nutzung fremden Privateigentums kann er nicht disponieren.

Theoretisch ließen sich im Arbeitsvertrag der Mitarbeiter detaillierte Regelungen zur Nutzung privater Endgeräte und deren Kontrolle treffen. Solche individuellen Regelungen sind aber nicht empfehlenswert. Zum einen ist dieses Verfahren, gerade im Hinblick auf bestehende Arbeitsverhältnisse, sehr aufwendig und jede Änderung bedarf der Zustimmung des Mitarbeiters. Zum anderen unterliegen solche Regelungen grundsätzlich der recht strengen AGB-Kontrolle. Das heißt: Klauseln, die den Arbeitnehmer unangemessen benachteiligen oder überraschend sind, sind unwirksam.

Existiert ein Betriebsrat, ist eine Betriebsvereinbarung meist der einfachere Weg. Eine solche gilt automatisch für alle Arbeitsverhältnisse.

Aus juristischer Sicht müssen IT- und Datensicherheit gewährleistet sein. Das folgt aus dem Datenschutzrecht beziehungsweise den allgemeinen Risikomanagementpflichten. BYOD stellt für das Risikomanagement des gesamten Unternehmens – nicht nur der IT – eine besondere Herausforderung dar, weil IT und Daten an eine natürliche Person auf mobile, leicht transportable Endgeräte mit in der Regel großen Datenspeichern ausgelagert werden.

Zunächst ist es erforderlich, das BYOD-Spektrum zu definieren, denn die notwendigen technischen Maßnahmen hängen stark von der jeweiligen BYOD-Auslegung ab. Üblicherweise sind folgende Punkte zu beachten:

• Festlegung von Positivlisten: Empfehlenswert ist eine Bezeichnung der jeweiligen Gerätetypen und Softwareversionen, insbesondere als Orientierung für die Mitarbeiter.
• Maßnahmen zum Arbeitgeberzugriff: Die Methoden und Prozesse zur Fernadministration und zur Fernlöschung des Geräts sollten definiert und explizit Gegenstand von entsprechenden Vereinbarungen sein.
• Datenschutz: Beschreibung, wie berufliche und private Daten getrennt werden, zum Beispiel mittels virtueller, mobiler oder webbasierter Anwendungen auf zentralen Servern.
• Aufbewahrungspflichten: Festzulegen ist, welche Daten darunter fallen und welche Maßnahmen zur Archivierung vorgeschrieben sind.

Ob BYOD datenschutzrechtlich zulässig ist, hängt weiter davon ab, ob die privaten Endgeräte überhaupt geeignet sind, einen angemessenen Schutz der dienstlichen, personenbezogenen Daten vor der unbefugten Kenntnisnahme Dritter zu gewährleisten. In der Regel dürfte es unzulässig sein, besondere Arten von personenbezogenen Daten wie gesundheitsrelevante Informationen, Kontodaten oder solche, die durch ein Berufsgeheimnis besonders geschützt sind, auf privaten IT-Systemen zu verarbeiten. Denn die technischen und organisatorischen Sicherheitsmaßnahmen sind nur mit erhöhtem Aufwand auf privaten Endgeräten gewährleistet.