Juristische Aspekte von Bring Your Own Device
Bring Your Own Device, also die Integration privater mobiler Endgeräte in die unternehmenseigene IT-Struktur, hat sich im Alltag nicht selten zu einem Albtraum für IT-Administratoren entwickelt. Zwar sind die Devices oft smart und einfach in der Handhabung; bei der Integration der Geräte stellen sich aber zahlreiche rechtliche und technische Fragen. Damit verbunden ist ein großer Regelungs- und Verwaltungsaufwand, der die vermeintlichen Vorteile des BYOD wie Kostenersparnis und Effizienzsteigerung oft deutlich übersteigt. In diesem Beitrag zeigen wir einige der typischen Fragen bei der praktischen Umsetzung von BYOD im Unternehmen.
Schon bei privat genutzten Unternehmensgeräten ist der Zugriff auf die Geräte nur in engen Grenzen zulässig. Umso geringer sind die Zugriffsmöglichkeiten bei rein privaten Geräten, die auch betrieblich genutzt werden. Ein gezielter Zugriff des Unternehmens auf private Daten ist unzulässig und auch nicht durch §32 BDSG (Bundesdatenschutzgesetz) gedeckt.
So lässt sich der private Zugriff auch kaum durch eine entsprechende Einwilligung in eine BYOD (Bring Your Own Device)- Policy oder eine Betriebsvereinbarung regeln. Denn eine formelle Einwilligung des Arbeitnehmers wäre im Zweifel unzulässig, da nicht vollkommen freiwillig, und auch eine Betriebsvereinbarung wäre nicht geeignet, die Einwilligung des Mitarbeiters zu ersetzen. Regeln und kontrollieren lässt sich somit nur der Zugriff auf betriebliche Daten. Zudem sollte das Unternehmen in einer Vereinbarung regeln, wie mit privaten Daten umzugehen ist, die zufällig zur Kenntnis genommen werden. Bei Administratoren besteht oft die Befürchtung, sich strafbar zu machen, wenn im Auftrag des Unternehmens privat genutzte Geräte der Mitarbeiter gescannt und überwacht werden, etwa um internen Sicherheitsrichtlinien zu genügen.
Die Antwort ist nicht immer leicht – gerade dann, wenn eine vermeintliche Einwilligung des Mitarbeiters vorliegt, die am Ende aber rechtlich unwirksam ist. Allgemein gilt: Die private Kommunikation ist und bleibt privat, ein gezielter Zugriff hierauf kann unter Umständen nach §206 StGB (Strafgesetzbuch) eine Straftat darstellen. Wenn es technisch und organisatorisch nicht umsetzbar ist, die Geräte so zu administrieren, dass die private Kommunikation geheim bleibt, ist BYOD kein gangbarer Weg. Private Daten gehören immer dem Inhaber des privaten Geräts. Das Löschen von erkennbar privaten Daten auf dem privaten Device des Mitarbeiters ist unzulässig und kann zu Schadensersatzansprüchen führen und bei Vorsatz sogar eine Straftat nach §303 a StGB darstellen. Um das Problem zu umgehen, sollten dienstliche Daten daher nur in definierten und besonders geschützten Bereichen gespeichert werden und die Speicherung privater Daten dort qua Arbeitsanweisung/Vereinbarung verboten sein.
Auch eine gezielte Suche nach privaten Daten auf dem privaten Gerät kann eine Straftat darstellen, insbesondere wenn technische Schutzmaßnahmen umgangen werden. Wie verhält man sich aber, wenn man als Administrator zufällig im Rahmen seiner Tätigkeit Kenntnis einer Straftat des Mitarbeiters erhält; ein typischer Fall ist hier der Besitz sogenannter "Kinderpornografie". Hier gilt: Es besteht grundsätzlich keine Anzeigepflicht des Administrators, ein Unterlassen einer Anzeige ist nur strafbar, wenn er von besonders im §138 StGB genannten Straftaten Kenntnis erhält, etwa Mord, Planung eines Angriffskrieges, Menschenraub. Dennoch ist es nicht verboten und im genannten Fall auch moralisch geboten, eine Anzeige bei Polizei und Staatsanwaltschaft zu erstatten. Dies sollte allerdings vorab intern mit Betriebsrat, Datenschutzbeauftragtem und Vorgesetzten abgestimmt werden.
Umgang mit dem Firmengerät
Das Unternehmen ist gesetzlich verpflichtet, bestimmte Daten wie etwa steuerlich relevante Unterlagen zu speichern und die betriebliche Kommunikation zu protokollieren. Auf der anderen Seite dürfen rein private Daten nicht ohne oder gegen den Willen des Mitarbeiters auf Unternehmenslaufwerken gespeichert werden. Am einfachsten zu regeln und zu administrieren wäre dies über ein Verbot der privaten Nutzung. Dann würden allerdings die Mitarbeiter wenig für BYOD zu begeistern sein. Trotzdem sind aus IT-Sicherheitsaspekten klare Vorgaben zwingend nötig, die auch die private Nutzung der Geräte beschränken. Ist der Mitarbeiter mit diesen Einschränkungen nicht einverstanden, lässt er sich vertraglich auch nicht dazu zwingen, da es ja sein Privatgerät ist. Die Durchführung einer BYOD ist dann aber nicht zulässig, weil die Informationssicherheit nicht gewährleistet werden kann.
Stets ist der Zugriff durch Dritte (Familie, Freunde) auf dienstliche Daten durch technische und organisatorische Maßnahmen zu unterbinden. So sollte etwa die lokale Haltung betrieblicher Daten unmöglich sein beziehungsweise ist bei einer Trennung von privaten und geschäftlichen Daten der Zugriff auf den betrieblichen Bereich stets mit sicherem Passwort zu begrenzen und die lokalen Daten sind mit aktueller Verschlüsselungstechnik zu sichern. Die Löschung gespeicherter Daten muss so erfolgen, dass diese nicht wiederherstellbar sind. Ungenutzte drahtlose Kommunikationsschnittstellen des mobilen Endgeräts wie Bluetooth müssen durch den Nutzer deaktiviert werden. Soweit dies nicht umsetzbar ist, ist BYOD eigentlich nicht zulässig. Denn selbst wenn die Weitergabe der Geräte an Dritte mit einer Dienstweisung verboten ist: Da es sich um ein Privatgerät handelt, muss der Arbeitgeber wissen, dass trotz aller Richtlinien in der Praxis auch Familienmitglieder die Geräte nutzen und so auf Unternehmensdaten zugreifen können.
Haftungsrisiken
Interessant ist auch die Frage, ob der Unternehmer haftet, wenn das private Gerät des Arbeitnehmers verlorengeht oder beschädigt wird. Da die Nutzung des Privatgeräts für das Unternehmen und in dessen Kenntnis und Interesse erfolgt, ist die Nutzung des Privatgeräts auch betrieblich veranlasst. Dies hat zur Folge, dass eine Beschädigung oder Verlust des Geräts während der üblichen Arbeitszeit dem Arbeitgeber zuzurechnen ist und grundsätzlich von ihm zu ersetzen ist. Ein eventuelles Mitverschulden des Mitarbeiters ist aus Gründen der "beschränkten Arbeitnehmerhaftung" gerade bei einfacher Unachtsamkeit (Smartphone fällt herunter) ausgeschlossen. Ob die Nutzung auch außerhalb der Arbeitszeit betrieblich veranlasst ist, ist dann im Einzelfall zu klären. Fraglich ist, wer bei Datenverlust haftet, etwa wenn Familienmitglieder versehentlich Daten löschen oder diese durch Schadsoftware auf den Geräten verloren gehen und dadurch dem Unternehmen Schäden entstehen.
Hier gilt, dass das Unternehmen Maßnahmen zu treffen hat, damit eben dies technisch ausgeschlossen ist (also keine lokale Datenhaltung, regelmäßige Synchronisation et cetera). Denn auch wenn die Schäden nur dadurch entstehen können, dass der Arbeitnehmer gegen Dienstanweisungen verstoßen hat – etwa das Gerät an Dritte weitergegeben oder den Passwortschutz umgangen hat –, es handelt sich immer noch um sein Privatgerät. Ob diese Vorgaben überhaupt arbeitsrechtlich gültig sind, ist unklar. Wenn die technische Sicherung aber so leicht zu umgehen ist, handelt es sich in erster Linie um ein Organisationsverschulden des Unternehmens; eine Mithaftung des Arbeitnehmers ist fraglich oder jedenfalls begrenzt. Setzt ein Unternehmen Dienstleister bei der Datenverarbeitung ein, so ist, soweit es um personenbezogene Daten geht, zwingend ein Vertrag zur Auftragsdatenverarbeitung abzuschließen.
Zudem sind umfangreiche technisch-organisatorische Maßnahmen zum Datenschutz zu regeln und diese zu kontrollieren. Aber beim BYOD gilt, auch wenn dies teilweise anders gesehen wird: Der Arbeitnehmer, der auf seinen privaten Endgeräten betriebliche Daten verarbeitet, ist keine externe Stelle. Es ist also kein formeller Vertrag erforderlich. Dies ändert aber nichts daran, dass umfangreiche Sicherungsmaßnahmen getroffen werden müssen. In anderen Bereichen ist BYOD von vornherein rechtlich ausgeschlossen. So gelten in bestimmten Berufen wie Ärzte oder Rechtsanwälte besondere Sorgfaltsund Geheimnispflichten. Aber auch bei anderen gesundheitsrelevanten Daten, Daten aus der Personalabteilung, Kreditkarten und Kontodaten ist es schwer vorstellbar, wie auf Privatgeräten eine so sichere Umgebung geschaffen werden kann, dass eine Kenntnis unberechtigter Dritter ausgeschlossen werden kann.
Behördenzugriffe und Audits
Grundsätzlich können Aufsichtsbehörden im Datenschutz im Rahmen einer Betriebsprüfung gemäß §38 IV BDSG auch Einsicht auf Computer und Arbeitsgeräte verlangen. Werden personenbezogene Unternehmensdaten auf privaten Geräten verarbeitet, muss es grundsätzlich für Behörden auch möglich sein, dies zu überprüfen. Es gibt aber noch kein klares Verfahren, wie das Prüfungsrecht und das Recht der informationellen Selbstbestimmung des Mitarbeiters an seinen privaten Daten in Einklang zu bringen sind. Um dagegen die Lizenzsituation abbilden zu können, sind interne Audits notwendig. Teilweise werden auch vertraglich von Softwareherstellern Audits vorgeschrieben und von ihnen durchgeführt. Hier ist ein Zugriff auch auf die privaten Geräte erforderlich und eine besondere Regelung notwendig, da ja auch gegebenenfalls private Software Gegenstand des Audits ist. Willigt der Arbeitnehmer nicht ein, ist BYOD nicht möglich. Durch BYOD kann übrigens die Nutzung einer an sich kostenlosen Software kostenpflichtig oder ganz unzulässig werden. Software-Anbieter räumen Lizenzen nämlich für unterschiedliche Nutzungsarten und -intensitäten ein. In der Regel unterscheiden sich Lizenzen in Bezug auf private und geschäftliche Nutzung.
Fazit
Die rechtlich saubere und dennoch praktikable Umsetzung von BYOD bedarf einiges an organisatorischem und technischem Aufwand. Ohne eine klare Trennung von privaten und betrieblichen Daten und Anwendungen ist BYOD faktisch nicht durchzuführen.
Christian Regnery, LL.M., ist Rechtsanwalt und Fachanwalt für IT-Recht, gewerblichen Rechtsschutz und Urheber-und Medienrecht aus Berlin und berät für die intersoft consulting services AG bundesweit Unternehmen im Datenschutz und IT-Compliance.
1.09.2014/Christian Regnery/dr