X
Digital
der unternehmer

Bring Your Own Device – Chancen und Risken für Unternehmer

(Bild: © iStock/Maryviolet) (Bild: © iStock/Maryviolet)

BYOD“ ist in aller Munde. Der rasante Vorstoß von Smartphones gepaart mit dem, vor allem in Österreich verfügbaren Angebot günstiger Flat-Rate-Tarife führt dazu, dass immer mehr Mitarbeiter ihr gewohntes Privathandy auch beruflich ohne Mehrkosten nutzen können und wollen. Die Mehrheit der Unternehmen stellt sich diesem unaufhaltsamen Trend nicht in den Weg, mit dem naiven Glauben sich nicht rechtlich absichern zu müssen.

Die Verwendung des zumeist „hipperen“ Privatgeräts erhöht die Motivation, erspart dem Mitarbeiter das Mitführen zweier Geräte und dem Unternehmen Anschaffungs- und Wartungskosten für Firmengeräte. Zusätzlich führt BYOD zu erweiterter Erreichbarkeit der Mitarbeiter auch außerhalb der Arbeitszeit, bindet die Mitarbeiter enger ans Unternehmen, kann allerdings mangels konkreter Vereinbarungen zu unerwarteten und teils unangenehmen Kosten- und Haftungsfolgen führen.

In der nachstehenden überblicksartigen Abhandlung werden die wichtigsten der vielfältigen rechtlichen Problemstellungen thematisiert um vor allem Sensibilität dafür zu schaffen, welche Punkte zwingend einer vertraglichen Regelung bedürfen um die vermeintliche win-win-Situation rechtlich abzusichern.

1. Einleitung

Jüngsten paneuropäischen Studien zufolge wird der Übergang zwischen Freizeit und Arbeitszeit immer fließender und schwerer abgrenzbar. Es zeigt sich ein Trend von Work-Life-Balance zu Work-Life-Blending. Rund 75 % der befragten Büroangestellten erledigen während ihrer Arbeit private Aufgaben. Umgekehrt arbeiten aber genauso viele Mitarbeiter in ihrer Freizeit. 4 von 10 Mitarbeiter geben dabei an, dass sie dadurch effizienter arbeiten und somit persönlichen Stress minimieren können. Diese Effizienz kommt sohin den Unternehmen zu Gute.

Problematisch an diesem Phänomen, welches in der Praxis oftmals nur in Kombination mit BYOD vorkommt, ist die großteils fehlende Aufklärung durch die Unternehmen über die Gefahren der Nutzung und die damit einhergehende fehlende Kenntnis der jeweiligen Sicherheitsrichtlinien.

Zu beachten ist dabei auch, dass vor allem technikaffine Mitarbeiter bewusst die vom Unternehmen aufgestellten Sicherheitsbarrieren umgehen um Clouds wie Dropbox nutzen zu können. Diese Anstrengungen können für Unternehmen sehr gefährlich werden, weshalb klare Regeln und vor allem spürbare Sanktionen unumgänglich erscheinen.

Auch private Apps mit großer Reichweite wie Facebook oder WhatsApp, welche nicht gerade für ihre strengen Datenschutzrichtlinien bekannt sind und teils unbemerkt auf Adressen-, Kalender-, Kontakt- und E-Maildaten zugreifen, stellen den sicherheitsbewussten Unternehmer auf eine schwere Probe. Was ist zu unternehmen um auf der „sicheren Seite“ zu sein? Überwiegen die Chancen oder die Risken?

2. Problemstellung

2.1. Trennung der Daten

Vorab ist zwingend abzuklären auf welche Firmeninformationen die Mitarbeiter zugreifen müssen, um sinnvoll mit dem Handy arbeiten zu können und inwiefern das Unternehmen Zugriff auf das Privatgerät des Mitarbeiters benötigt. Dabei erscheint es unerlässlich die sensiblen Unternehmensdaten nicht lokal auf dem Endgerät zu speichern sondern lediglich einen mobilen Zugriff über einen Terminalserver oder einer Cloud-Containerlösung zu ermöglich. Dies kann rein technisch durch Software-Lösungen wie MDM – „Mobile Device Management“ – gewährleistet werden. Dem Unternehmer muss dabei der Zugriff auf die privaten Daten des Mitarbeiters unbedingt verwehrt bleiben. Der einvernehmliche Zugriff auf das Gerät ist aber zwingend notwendig, sei es zum Sichern oder Löschen von Daten, für die Fernwartung, Entfernung von Viren oder Einrichtung einer Firewall (vgl Günter Leissler, BYOD und Datenschutz – ein unlösbarer Widerspruch? ecolex 2014, 307 [309] mwN).

2.2. Arbeitsrechtliche Vereinbarungen

Da dem Unternehmer sohin schon aus Sicherheitsgründen die Möglichkeit des Zugriffs auf das private Endgerät eingeräumt werden muss, ist es zweckmäßig eine BYOD Richtlinie oder, sofern ein Betriebsrat eingerichtet ist, eine Betriebsvereinbarung gemäß § 97 Abs 1 Z 1 ArbVG abzuschließen, da gemäß § 96 Abs 1 Z 3 ArbVG bei der Einführung von technischen Kontrollmaßnahmen, die die Menschenwürde berühren, ohnehin die Einbindung des Betriebsrates gesetzlich gefordert ist. Für den Fall, dass kein Betriebsrat eingerichtet ist, muss die Zustimmung des Mitarbeiters gemäß § 10 AVRAG dafür eingeholt werden, dass für einen gewissen Zeitraum auf sein Privatgerät vom Unternehmen zugegriffen werden darf. Die Dauer ist dabei in beiden Fällen ausdrücklich festzuhalten, andernfalls diese Vereinbarung jederzeit fristlos von einem der Vertragspartner aufgekündigt werden könnte (vgl Windisch-Altieri, Von „Bring your OWN DEVICE“ [BYOD] bis „Bring your own ANYthing“ [BYOX] AnwBl 2013, 467)

Zusätzlich bedarf es des Abschlusses einer individuellen BYOD-Policy, worin die jeweiligen Rechte und Pflichten ausführlich beschrieben werden, da der Unternehmer gemäß § 14 DSG ausreichende Maßnahmen für die Datensicherheit zu treffen hat. Der Mitarbeiter ist darauf hinzuweisen, wie er mit den personenbezogenen Daten umzugehen hat, wie das Gerät für den Verlust- / Diebstahlsfalle abgesichert werden muss, welche rechtlichen Konsequenzen ihn gegebenenfalls treffen können und, dass er den Zugriff zu dulden hat. Ein Handy ohne PIN-Code-Verschlüsselung oder gesicherter Bildschirmsperre entspricht den geforderten Sicherheitsmaßnahmen jedenfalls nicht.

BYOD kann auch zu Mehr- und Überstundenarbeit führen und somit zu zusätzlichen Entgeltansprüchen der Mitarbeiter. Daneben wird die effektive Kontrolle der Arbeitszeiten durch den Arbeitgeber schwieriger und besteht die Gefahr der Verletzung von Arbeitnehmerschutzvorschriften. Der fließende Übergang von Freizeit zu Arbeitszeit und die permanente Möglichkeit seine Mails zu checken, um up to date zu bleiben, birgt die Gefahr, dass der Arbeitgeber die gemäß § 26 Abs 1 AZG von ihm zu führende Arbeitsaufzeichnungspflicht alleine nicht bewältigen kann. Es muss daher vertraglich vereinbart werden, dass der Mitarbeiter seine Arbeitszeiten außerhalb der Kernarbeitszeiten selbstständig aufzeichnet und empfiehlt sich für die Geltendmachung von Überstunden auch eine vertragliche Verfallsregel zu treffen oder die Möglichkeit eines All-In-Vertrages zu prüfen (vgl Martin Huger/Hans Georg Laimer, BYOD und Arbeitsrecht, ecolex 2014, 303 [304]).

Daneben sollten in Hinblick auf die Haftungsproblematik gemäß DHG für den Fall des Verlusts von Daten oder anderer durch den Mitarbeiter verursachter Schäden Verhaltensregeln manifestiert werden, damit sich der Arbeitgeber bei Inanspruchnahme durch Dritte beim Dienstnehmer leichter regressieren kann. Für den Fall der Beendigung des Arbeitsverhältnisses hat der Unternehmer Anspruch auf Herausgabe aller in seinem Eigentum stehenden Gegenstände und Unterlagen. Sollte die Zuordnung der privaten und beruflichen Daten am Gerät nicht eindeutig möglich sein, muss vertraglich geregelt werden, welche Daten herauszugeben sind und ob lokale Backups am Endgerät ausnahmslos gelöscht werden. § 1014 ABGB, welcher analog auch auf Dienstverhältnisse anzuwenden ist, regelt den Ersatzanspruch für alle notwendigen und nützlichen Aufwendungen. Ebenso wird grundsätzlich dem Mitarbeiter ein Anspruch auf Schadenersatz gebühren, wenn er das Gerät im Sinne des Unternehmers verwendet, sich aufgrund der beruflichen Nutzung die Wahrscheinlichkeit des Schadenseintritts erhöht und ihn mangelndes oder geringes Verschulden trifft. Zur Vermeidung diesbezüglicher Unsicherheiten ist auch hier eine vertragliche Regelung zu empfehlen, wobei die dispositive Norm des § 1014 ABGB grundsätzlich zu Lasten des Arbeitnehmers abbedungen werden kann, diesbezüglich allerdings immer auf den Einzelfall abzustellen sein wird (vgl dazu Martin Huger/Hans Georg Laimer, aaO, 304f; Rainer Knyrim/Bernhard Horn, Bring Your Own Device – Ein Trend hält Einzug in Österreichs Unternehmen, ecolex 2013, 365).

2.3. Rollenverteilung im Datenschutzrecht

Ein vielfach unberücksichtigtes Problem betrifft den Datenschutz. Bei der Verwendung des Privathandys bearbeitet ein Mitarbeiter nicht nur die am Gerät gespeicherten Unternehmensdaten, sondern er hat darüber hinaus auch für deren sicheren und gesetzestreuen Einsatz zu sorgen. Er übt dabei eine dem datenschutzrechtlichen Auftraggeber ähnliche Rolle aus, da er eine weitgehend uneingeschränkte Befugnis bei der Wahl des Mitteleinsatzes hat (Günter Leissler, aaO, 307f).

Darüber hinaus erfüllt er auch wesentliche Merkmale des datenschutzrechtlichen Dienstleisters, da er die Unternehmensdaten auf seinem Gerät aufbewahrt, weshalb der datenschutzrechtlichen Rollenverteilung besondere Aufmerksamkeit geschenkt werden muss. Um BYOD daher gesetzeskonform umzusetzen, sollte nicht nur auf die strikte Trennung von privaten und beruflichen Daten geachtet werden, sondern darüber hinaus auch die Daten am Gerät entsprechend verschlüsselt und die vorinstallierten Sicherheitskonfigurationen entsprechend modifiziert bzw. ersetzt werden.

Problematisch daran ist der Umstand, dass die aktuellen Geräte der Smartphone-Marktführer nicht für den Einsatz sensibler Unternehmensdaten konzipiert sind und aufgrund der Vielzahl vorinstallierter Apps und der vorkonfigurierten Sicherheitseinstellungen dem Gerätehersteller und einzelnen Lizenzgebern Zugriff auf das Endgerät erhalten bleibt. Diese Unsicherheiten müssen sohin zur Gewährung des notwendigen absoluten Datenschutzes unterbunden werden. Mit der generellen Blockade oft sinnvoller Sicherheitsupdates würde allerdings über kurz oder lang Hackern Tür und Tor geöffnet. Dies könnte dadurch verhindert werden, indem das Unternehmen die Geräte selbst wartet und aktuell hält, wobei dies wiederum mit nicht unbeträchtlichen Kosten und Aufwand verbunden wäre. (vgl Günter Leissler, aaO, 309 mwH auf die rechtlichen Konsequenzen und die Aufklärungspflicht).

Auch die Synchronisierung muss so konfiguriert sein, dass die Daten nicht vermischt werden und es tunlichst zu keiner Datenweitergabe ins EWR-Ausland kommt um keine Genehmigung durch die Datenschutzkommission gemäß § 13 DSG erforderlich zu machen. Aufpassen wird man bei den gängigen Cloudspeichern wie Google und Dropbox müssen, welche oftmals automatisierte Datensicherungen und Synchronisierungen durchführen, wobei die Daten diesfalls nicht mehr mit den vom Unternehmen implementierten Datenschutzmaßnahmen geschützt wären (vgl Rainer Knyrim/Bernhard Horn, aaO, 367 mwN).

2.4. Lizenzdschungel Urheberrecht

Aufgrund der obgenannten Problematik darf das Betriebssystem am Endgerät vom Mitarbeiter nicht verändert und dessen Konfiguration nicht manipuliert werden. Das sog. „jailbreaking“ (Apple) oder „rooting“ (Android) muss strikt unterbunden werden. Jedwede Wartung, Support oder Kontrolle sollte vom Unternehmen selbst durchgeführt werden.

Darüber hinaus sollte das Unternehmen nur gewisse Hardware freigeben und über die erlaubten Apps eine sog. „Whitelist“ anfertigen, welche unbedenkliche Programme beinhaltet. Dabei ist wiederum darauf zu achten, dass eine Vielzahl von Apps nur für den privaten Bereich kostenlos zur Verfügung gestellt wird und sohin beim unternehmerischen Gebrauch Urheberrechtsverletzungen drohen, für welche der Unternehmer gemäß §§ 81 Abs 1, 88 UrhG haftet. (Windisch-Altieri, aaO, 467; Rainer Knyrim/Bernhard Horn, aaO, 366).

3. Fazit

Allen Regelungen zum Trotz bleibt eine Unsicherheitskomponente! Der Mensch! Hält sich der Mitarbeiter an die strengen Regeln? Versucht er sie zu umgehen? Sind die vereinbarten Regeln in der Praxis umsetzbar ohne das Privatgerät zu sehr einzuschränken und bleibt vom vermeintlichen Synergieeffekt überhaupt etwas übrig?

Durch den Abschluss einer BYOD-Policy ist jedem Mitarbeiter vor Augen zu führen, welche Konsequenzen ein Verstoß haben kann und muss zu Lasten des Mitarbeiters eine möglichst klare Regelung getroffen werden, um im Streitfall so wenig wie möglich Interpretationsspielraum zu lassen.

Die rechtlichen Problemstellungen können mittels Richtlinie oder Betriebsvereinbarung und zusätzlicher individueller, auf die Hardware abgestimmter Einzelvereinbarung klar geregelt werden, um für den Fall der Fälle gerüstet zu sein. Der vor allem technische Aufwand um eine saubere Trennung zwischen beruflichen und privaten Daten zu gewährleisten fordert dabei jede IT-Abteilung und sollte ständig auf dem Prüfstand stehen; mangels ausreichender Kapazitäten, könnte dies auch an Spezialisten ausgelagert werden.

Diesem voran steht jeweils die beiderseitige Freiwilligkeit. BYOD kann nicht gegen den Willen einer der Parteien durchgesetzt werden. Neben dem Konsens über die Rechte und Pflichten sowie der Herstellung der technischen Voraussetzungen, ist Unternehmen dringend anzuraten, Vereinbarungen entsprechend den obigen Ausführungen abzuschließen.

Wichtig erscheint zudem die Bewusstseinsbildung auf Seiten der Arbeitnehmer, dass diesen aufgrund der Bearbeitung von Unternehmensdaten am Privatgerät eine besondere Verantwortung zukommt, mit welcher äußerst umsichtig umzugehen ist. Sollte sich dieses Bewusstsein durchsetzen und auch von Seiten der Unternehmen anhand von Schulungen und Seminaren gefördert werden, kann sich die Nutzung des Privatgerätes für berufliche Tätigkeiten durchaus vom Risiko zur Chance entwickeln.

Autor:

Mag. Rene Bauer, RAA, Gütlbauer Sieghartsleitner Pichlmair Rechtsanwälte, Wels

0 Kommentare zu “Bring Your Own Device – Chancen und Risken für Unternehmer

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.