Ausgabe 10, Special Arbeitsrecht - 2013
Mit dem eigenen Tablet zur Arbeit
In vielen Unternehmen erfreut sich das Phänomen „Bring your own device“ (BYOD) immer größerer Beliebtheit. Oft gibt es aber für die Verwendung von privaten Computern, Tablets oder Smartphones des Arbeitnehmers keine hinreichenden Regelungen. Dies kann zu erheblichen Problemen für Unternehmen führen, insbesondere unter den Aspekten IT-Sicherheit, Datenschutz und Datenzugriff.
Zu den klassischen Arbeitgeberpflichten gehört auch die Bereitstellung der je nach Tätigkeit erforderlichen Arbeitsmittel, wie Computer oder Mobiltelefone. Hierbei entspricht die betriebliche Ausstattung häufig nicht dem letzten Stand der Technik, was angesichts der Produktzyklen der Hersteller sowie – ganz profan – der damit einhergehenden Kosten für den Arbeitgeber nicht völlig überraschend ist. Gerade technikaffine Arbeitnehmer äußern vor diesem Hintergrund häufig den Wunsch, ihre eigenen, modernen Geräte auch betrieblich nutzen zu können. Die Vorteile für den Arbeitgeber liegen auf der Hand: Während aus seiner Sicht Anschaffungskosten vermieden werden, erhöht die Nutzung von Geräten, die dem neuesten Stand der Technik entsprechen, auch die Mitarbeiterzufriedenheit. Häufig wird in der allgemeinen Euphorie allerdings übersehen, dass die Benutzung privater Geräte zu beruflichen Zwecken eine ganze Reihe von Folgefragen aufwirft, deren einheitliche Regelung im gesamten Unternehmen sachgerecht und somit empfehlenswert ist.
Technische Gesichtspunkte
In technischer Hinsicht stellen sich für den Arbeitgeber zunächst wesentliche Fragen unter dem Aspekt der IT-Sicherheit. Anders als bei vom Arbeitgeber gestellten und administrierten Geräten hat es der Arbeitnehmer bei BYOD selbst in der Hand, Sicherheitseinstellungen nach eigenem Ermessen vorzunehmen, oder nach eigenem Belieben Software oder Apps zu installieren. Es liegt auf der Hand, dass damit ein ganz erhebliches Sicherheitsrisiko für das Eindringen von Schadprogrammen jedweder Art in das unternehmenseigene IT-System geschaffen wird. Insbesondere unter dem Gesichtspunkt einer möglichen Gefährdung durch Wirtschaftsspionage ist eine nicht reglementierte Verwendung privater Geräte durch Arbeitnehmer zu beruflichen Zwecken äußerst kritisch zu sehen. Dringend zu empfehlen ist daher in jedem Fall eine Integration der privaten Geräte der Arbeitnehmer in die IT-Sicherheitsarchitektur des Unternehmens. Welche technischen Aspekte hierbei besonders zu beachten sind und durch welche betrieblichen Prozesse dies erreicht werden kann, muss für jeden Einzelfall neu beantwortet werden. Grundsätzlich sind entsprechende Regelungen jedoch unverzichtbar.
Arbeitsrechtliche Fragen
Auch aus arbeitsrechtlicher Sicht stellen sich im Zusammenhang mit BYOD eine Reihe von Fragen, die zur Vermeidung möglicher Differenzen und Auseinandersetzungen idealerweise schon vor einer beruflichen Nutzung von privaten Geräten durch entsprechende Regelungen geklärt werden sollten.
• Aufwendungsersatz/Schadenersatz: Stellt der Arbeitgeber nicht die Betriebsmittel, stellt sich seitens des Arbeitnehmers regelmäßig die Frage nach einem Ersatz von Aufwendungen, zum Beispiel für berufliche Telefonate auf private Kosten, Erstattung von Grundgebühren oder Flatrates et cetera. Gleiches gilt, wenn das Gerät im beruflichen Einsatz beschädigt wird oder verloren geht. Hier wird der Arbeitnehmer den Arbeitgeber nicht selten auf Schadenersatz in Anspruch nehmen wollen. Grundsätzlich kann der Arbeitnehmer gemäß § 670 BGB Ersatz für Aufwendungen verlangen, die er im Interesse des Arbeitgebers getätigt hat. Im Zusammenhang mit BYOD wird dies primär die Kosten für berufliche Telefonate erfassen.
• Noch nicht gerichtlich geklärt ist hingegen, ob ohne gesonderte Vereinbarung auch ein Anspruch des Arbeitnehmers auf Kostenerstattung für die Zurverfügungstellung des Geräts als solches besteht. Hier bestehen wohl deshalb begründete Zweifel, da der Arbeitnehmer das Gerät zunächst im eigenen Interesse und im Rahmen seiner privaten Lebensführung angeschafft haben wird.
• Schadenersatzansprüche gegen den Arbeitgeber, zum Beispiel bei Beschädigung oder Verlust des Geräts, stehen dann im Raum, wenn der Schaden im Zusammenhang mit der beruflichen Tätigkeit eingetreten ist (etwa Diebstahl auf einer Dienstreise; nicht hingegen während des Jahresurlaubs). Allerdings wird hier im Einzelfall die Grenze nicht einfach zu ziehen sein, sodass sich eine entsprechende Regelung in jedem Fall empfiehlt.
• Ob im Fall eines Verlustes umgekehrt der Arbeitgeber den Arbeitnehmer anweisen kann, auf eigene Kosten ein Ersatzgerät zu beschaffen, ist wohl zu verneinen. Auch gegen die Wirksamkeit entsprechender vertraglicher Vereinbarungen bestehen aufgrund von § 307 BGB erhebliche Bedenken, da eine derartige Anweisung den Arbeitnehmer typischerweise unangemessen benachteiligt.
BYOD-Nutzung als Arbeitszeit
Im Zusammenhang mit der Nutzung der eigenen Geräte stellt sich häufig die Frage, in welchem Umfang der Umstand, dass der BYOD-nutzende Arbeitnehmer nunmehr auch in seiner Freizeit für den Arbeitgeber „greifbar“ ist, Auswirkungen auf die Einhaltung der nach § 3 ArbZG geltenden Höchstarbeitszeit hat. Allerdings ist diese Frage – soweit erkennbar – gerichtlich noch völlig ungeklärt. Vor dem Hintergrund, dass das Arbeitszeitgesetz für den Fall seiner Verletzung mit nicht unerheblichen Bußgeldtatbeständen ausgestattet ist, sollte seitens des Arbeitgebers versucht werden, adäquate Regelungen für die Erreichbarkeit „nach Dienst“ zu treffen.
Einschränkung der privaten Nutzung
Das Interesse des Arbeitgebers an einer Minimierung der Sicherheitsrisiken wird sich in einer zwangsläufigen Beschränkung beziehungsweise Reglementierung der privaten Nutzung des Geräts durch den Arbeitnehmer wiederspiegeln. Entsprechende Regelungen, die einem anerkennenswerten Sicherheitsbedürfnis des Arbeitgebers entspringen, wie das Verbot der Installation sicherheitskritischer Software und Apps sowie des sogenannten „Jailbreaks“, das heißt der bewussten Umgehung oder Ausschaltung von arbeitgeberseitigen Sicherheitssystemen, werden regelmäßig als zulässig anzusehen sein.
Gleiches gilt auch für das Verbot einer Nutzung der entsprechenden Geräte durch Dritte, wenn diesen hierdurch Zugang zu betrieblichen Informationen gewährt wird. Allerdings wird in diesem Fall an eine technische Trennung von privaten und betrieblichen Informationen durch entsprechende Software zu denken sein. Im Übrigen gewährt BYOD freilich keine Ausnahme von dem Grundsatz, dass während der Arbeitszeit eine Erledigung privater Angelegenheiten unzulässig ist und auch entsprechend geahndet werden kann. Anders ausgedrückt: Auch mit BYOD bleiben beispielsweise private Telefonate während der Arbeitszeit grundsätzlich unzulässig. Hieran ändert die Eigentumszuordnung des Geräts nichts.
Was ist zu tun beim Datenschutz?
Eine zentrale Rolle im Zusammenhang mit BYOD spielt das Bundesdatenschutzgesetz (BDSG). Dies gilt zum einen gegenüber betriebsfremden Dritten. So hat der Arbeitgeber selbstverständlich auch beim Einsatz privater Geräte der Arbeitnehmer für eine Einhaltung datenschutzrechtlicher Verpflichtungen zum Beispiel gegenüber Kunden oder Geschäftspartnern zu sorgen. Wird also beim (zugelassenen oder geduldeten) BYOD-Einsatz zum Nachteil Dritter das BDSG verletzt, haftet im Außenverhältnis stets der Arbeitgeber als verantwortliche Stelle (§ 3 Abs. 7 BDSG). Entsprechend sollten Regelungen, beispielweise Meldepflichten bei Geräteverlust, vorgesehen werden. Andererseits gilt das BDSG auch im Verhältnis zwischen Arbeitgeber und Arbeitnehmer. So stellt eine unterschiedslose (Fern-)Löschung von auf dem Gerät liegenden privaten und beruflichen Daten bei einem Verlust des Geräts eine Datenverarbeitung nach § 3 Abs. 4 BDSG dar, die ohne eine entsprechende Rechtfertigung nach dem BDSG grundsätzlich unzulässig ist. Daher ist zur Vermeidung von Gesetzesverstößen eine grundsätzliche Trennung von privaten und beruflichen Inhalten auf dem Gerät sowie die Verwendung entsprechender Software-Lösungen dringend zu empfehlen, ebenso wie eine Sicherung von etwa auf dem Firmenserver abgelegter privater Daten des Arbeitnehmers (zum Beispiel private E-Mails).
Datenschutzrechtlich ebenfalls höchst sensibel ist die Fernüberwachung von BYOD-Geräten durch Monitoring-Tools, die den Standort des Geräts ermitteln oder eine korrekte Verwendung des Geräts (nach Maßstab des Arbeitgebers) überwachen und auf deren Ergebnisse der Arbeitgeber Zugriff hat. Hier wird regelmäßig ein Interesse des Arbeitgebers aus Gründen der IT-Sicherheit nicht zu bestreiten sein. Allerdings greifen solche Funktionen zugleich massiv in die Privatsphäre des Arbeitnehmers ein, sodass hier in jedem Einzelfall eine Abwägung der beiderseitigen Interessen unter Berücksichtigung der Eingriffsintensität zu erfolgen hat. Im Übrigen ist auch der Arbeitnehmer vor Beginn des Einsatzes von Monitoring-Programmen über deren Einsatz zu unterrichten.
Beendigung des Arbeitsverhältnisses
Wesentlicher Aspekt bei der Beendigung des Arbeitsverhältnisses ist aus Sicht des Arbeitgebers zum einen die Übergabe von nicht auf dem Unternehmensserver liegenden dienstlichen Daten sowie deren Löschung vom betreffenden Gerät. Hier wird ein Herausgabeanspruch des Arbeitgebers ohne entsprechende vorherige Vereinbarung grundsätzlich ausscheiden. Um den Bedürfnissen des Arbeitgebers Rechnung zu tragen, sollte eine Regelung für den Beendigungsfall getroffen werden, die eine Übergabe von Daten an den Arbeitgeber vorsieht. Im Übrigen empfiehlt sich auch hier wiederum eine technische Trennung zwischen privaten und beruflichen Daten und die damit einhergehende Möglichkeit zur Löschung der beruflichen Inhalte.
Den Betriebsrat einbinden
Auch mitbestimmungsrechtlich ist BYOD relevant. Gemäß dem Betriebsverfassungsgesetz besteht ein zwingendes Mitbestimmungsrecht des Betriebsrats bei der Einführung technischer Einrichtungen, die eine Überwachung des Verhaltens des Arbeitnehmers abstrakt ermöglichen. Dies wird bei BYOD regelmäßig der Fall sein, zumindest soweit das Gerät mit der restlichen IT-Infrastruktur des Arbeitgebers synchronisiert wird (wie bei der Anbindung an den betrieblichen Mail-Server). Häufig wird es sich aus Praktikabilitätsgründen anbieten, über den Mitbestimmungstatbestand hinausgehende Betriebsvereinbarungen zu schließen, die eine vollständige Regelungskonzeption für BYOD bilden. Ein Vorteil aus Sicht des Arbeitgebers kann sich hierbei durchaus aus der Natur der Betriebsvereinbarung als „Regelung“ im Sinne des § 4 Abs. 1 BDSG ergeben, wonach eine zulässige Datenerhebung, -verwendung und -nutzung auch durch Betriebsvereinbarungen ermöglicht werden kann. Hierbei ist im Einzelfall zu beachten, dass die Regelungsmacht der Betriebsparteien nicht rein private Angelegenheiten der Arbeitnehmer oder die Arbeitsleistung erfassen darf. Entsprechende Verhaltensanweisungen können nicht Gegenstand einer derartigen Betriebsvereinbarung sein.
Handlungsfelder für Arbeitgeber bei BYOD
Die nicht reglementierte Verwendung privater Geräte sollte in jedem Fall vermieden werden. Will der Arbeitgeber BYOD zulassen, so ist dies nur auf Grundlage einer entsprechenden einheitlichen Regelung empfehlenswert.
-
Grundsätzlich sollte eine BYOD-Lösung eine strikte Trennung von privaten und dienstlichen Daten durch den Einsatz entsprechender Software vorsehen.
-
Besteht ein Betriebsrat, so ist die Einführung von BYOD regelmäßig mitbestimmungspflichtig. In der hierüber abzuschließenden Betriebsvereinbarung sind dann zweckmäßigerweise auch die o.g. regelungsbedürftigen Punkte aufzunehmen, soweit eine Regelungsbefugnis der Betriebsparteien besteht.
-
Zur Regelung nicht durch Betriebsvereinbarung regelbarer Aspekte empfiehlt sich im Übrigen eine individualvertragliche BYOD-Regelung.
-
BYOD kann mit dem Arbeitszeitrecht kollidieren. Hier hat der Arbeitgeber entsprechende Vorkehrungen zu treffen, ggf. im Rahmen von Betriebsvereinbarungen.
-
Weiterhin regelungsbedürftig sind typischerweise (aber nicht abschließend) Aufwendungs- und Schadenersatz, Fragen der privaten Nutzung des Geräts unter dem Aspekt der IT-Sicherheit, datenschutzrechtliche Gesichtspunkte sowie Fragen im Zusammenhang mit der Beendigung des Arbeitsverhältnisses.
Autor
Dr. Albrecht Muser, Rechtsanwalt und Fachanwalt für Arbeitsrecht, KPMG Rechtsanwaltsgesellschaft mbH, München,
amuser@kpmg-law.com
- Bleibt alles anders
- Spagat zwischen Urteil und Umsetzung
- „Konfliktgespräche lassen sich lernen“
- Vorsicht vor verdeckter Arbeitnehmerüberlassung
- Mit dem eigenen Tablet zur Arbeit
- „Arbeitsrechtliche Belange früher im HR Business einbinden“
- Bequem arbeiten können – aber nicht ohne Regeln
- Aus Genuss keine Sucht werden lassen
- Viele Wege für ein Ziel