Seite 5: Die leidigen Lizenzen

Inhaltsverzeichnis

Die leidigen Lizenzen

Darum ist es abzuwägen, ob eine zentrale Softwarebeschaffung oder Eigenbezug durch den Mitarbeiter stattfinden soll. Als Beispiel sei auf das Home-Use-Programm von Microsoft hingewiesen, das als Teil des Volumenlizenzprogramms zur Verfügung steht. Es erlaubt, dass Mitarbeiter Software auch auf ihrem Heimrechner installieren.

Was gerne vergessen wird: In manchen Verträgen mit Geschäftspartnern existieren Geheimhaltungsvereinbarungen, die die ausschließliche Speicherung von Daten auf Rechnern vorsehen, die im alleinigen Eigentum des Arbeitgebers stehen. Diese Daten dürfen nicht auf BYOD-Endgeräten landen; oder man passt die Verträge an.

Die Einführung von BYOD ist nach dem Betriebsverfassungsgesetz mitbestimmungspflichtig. BYOD beinhaltet sowohl Fragen zur Ordnung des Betriebes und zum Verhalten der Arbeitnehmer im Betrieb als auch im Hinblick auf die Einführung und Anwendung einer technischen Einrichtung zur Überwachung von Verhalten und Leistung. Der Betriebsrat kann sein Mitbestimmungsrecht erzwingen. Einseitige Arbeitgeberentscheidungen sind rechtswidrig und unwirksam. Eine frühzeitige Einbindung des Betriebsrates ist also angeraten.

Für bestimmte betriebliche Dokumente bestehen handels- und steuerrechtliche Aufbewahrungsfristen. Die sich daraus ergebende Pflicht zur revisionssicheren Aufbewahrung gilt auch für Dokumente, die im Rahmen des mobilen Einsatzes entstanden sind. Beispielsweise können geschäftliche E-Mails (auch E-Mails sind Geschäftsbriefe) oder Protokolle von Vor-Ort-Beratungen in diese Kategorie fallen.
Erstens ist das Unternehmen dafür verantwortlich, dass diese Dokumente über den gesamten Zeitraum von in der Regel zehn Jahren unveränderlich und wiederauffindbar sind. Zweitens hat insbesondere die Finanzverwaltung nach den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) das Recht, jederzeit unmittelbar Zugriff auf die Daten zu erhalten – also im Extremfall auf das Privatgerät eines Mitarbeiters. Ohne Regeln und technische Maßnahmen zur Datenfilterung und -archivierung sind diese Anforderungen nicht zu erfüllen. Sinnvoll ist ein regelmäßiges Kopieren der Daten auf entsprechend eingerichtete Unternehmensserver – auch dies ist ein Punkt, der in einer BYOD-Vereinbarung verpflichtend gemacht werden sollte.

Fazit

BYOD Compliance – beziehungsweise die darüberstehende, allgemeine Mobile Device Compliance – erfordert sowohl ein funktionierendes technisches Konzept als auch datenschutz-, arbeits-, zivil-, straf- und lizenzrechtlich belastbare Regelungen mit den Mitarbeitern respektive dem Betriebsrat. Keinesfalls sollte BYOD ungeregelt einfach nur geduldet werden. Bestehende IT Policies müssen überprüft und an den Stand der Technik angepasst werden.

Regelungsbedürftig durch klare IT-Richtlinien sind vor allem: IT-Sicherheit und Datenschutz, Eigentumsverhältnisse und Verantwortlichkeiten, Wartung und Support-Prozesse, Abläufe bei Verlust des mobilen Endgerätes sowie beim Austritt des Mitarbeiters und die Abrechnung regelmäßiger Kosten. Hinzu kommen regulatorische Vorgaben für das Archivieren der Kommunikation und dokumentationspflichtiger Korrespondenz – E-Mails gelten als Geschäftsbriefe.

Besonders wichtig ist es, vertrauliche Unternehmensdaten und sensible personenbezogene Daten auf privaten Endgeräten möglichst nicht zu speichern, im Ausnahmefall zumindest hinreichend zu separieren und zu verschlüsseln. Das setzt eine gewisse Mindestausstattung der privaten Endgeräte voraus. Die Softwarenutzung auf diesen Geräten muss lizenzrechtlich gedeckt sein.

Mit klaren, frühzeitig eingeführten Regeln ist BYOD in den Griff zu bekommen. Dass diese Regeln in Kommunikation mit den Mitarbeitern entwickelt werden sollten, versteht sich von selbst.

Der Autor Marc Oliver Hoormann, LL.M. ist Rechtsanwalt und Manager bei der PricewaterhouseCoopers Legal AG Rechtsanwaltsgesellschaft (PwC Legal) / (js)
(map)