Technische Gesichtspunkte

In technischer Hinsicht stellen sich für den Arbeitgeber zunächst wesentliche Fragen unter dem Aspekt der IT-Sicherheit. Anders als bei vom Arbeitgeber gestellten und administrierten Geräten hat es der Arbeitnehmer bei BYOD selbst in der Hand, Sicherheitseinstellungen nach eigenem Ermessen vorzunehmen, oder nach eigenem Belieben Software oder Apps zu installieren. Es liegt auf der Hand, dass damit ein ganz erhebliches Sicherheitsrisiko für das Eindringen von Schadprogrammen jedweder Art in das unternehmenseigene IT-System geschaffen wird. Insbesondere unter dem Gesichtspunkt einer möglichen Gefährdung durch Wirtschaftsspionage ist eine nicht reglementierte Verwendung privater Geräte durch Arbeitnehmer zu beruflichen Zwecken äußerst kritisch zu sehen. Dringend zu empfehlen ist daher in jedem Fall eine Integration der privaten Geräte der Arbeitnehmer in die IT-Sicherheitsarchitektur des Unternehmens. Welche technischen Aspekte hierbei besonders zu beachten sind und durch welche betrieblichen Prozesse dies erreicht werden kann, muss für jeden Einzelfall neu beantwortet werden. Grundsätzlich sind entsprechende Regelungen jedoch unverzichtbar.

Arbeitsrechtliche Fragen

Auch aus arbeitsrechtlicher Sicht stellen sich im Zusammenhang mit BYOD eine Reihe von Fragen, die zur Vermeidung möglicher Differenzen und Auseinandersetzungen idealerweise schon vor einer beruflichen Nutzung von privaten Geräten durch entsprechende Regelungen geklärt werden sollten.

• Aufwendungsersatz/Schadenersatz: Stellt der Arbeitgeber nicht die Betriebsmittel, stellt sich seitens des Arbeitnehmers regelmäßig die Frage nach einem Ersatz von Aufwendungen, zum Beispiel für berufliche Telefonate auf private Kosten, Erstattung von Grundgebühren oder Flatrates et cetera. Gleiches gilt, wenn das Gerät im beruflichen Einsatz beschädigt wird oder verloren geht. Hier wird der Arbeitnehmer den Arbeitgeber nicht selten auf Schadenersatz in Anspruch nehmen wollen. Grundsätzlich kann der Arbeitnehmer gemäß § 670 BGB Ersatz für Aufwendungen verlangen, die er im Interesse des Arbeitgebers getätigt hat. Im Zusammenhang mit BYOD wird dies primär die Kosten für berufliche Telefonate erfassen.

• Noch nicht gerichtlich geklärt ist hingegen, ob ohne gesonderte Vereinbarung auch ein Anspruch des Arbeitnehmers auf Kostenerstattung für die Zurverfügungstellung des Geräts als solches besteht. Hier bestehen wohl deshalb begründete Zweifel, da der Arbeitnehmer das Gerät zunächst im eigenen Interesse und im Rahmen seiner privaten Lebensführung angeschafft haben wird.

• Schadenersatzansprüche gegen den Arbeitgeber, zum Beispiel bei Beschädigung oder Verlust des Geräts, stehen dann im Raum, wenn der Schaden im Zusammenhang mit der beruflichen Tätigkeit eingetreten ist (etwa Diebstahl auf einer Dienstreise; nicht hingegen während des Jahresurlaubs). Allerdings wird hier im Einzelfall die Grenze nicht einfach zu ziehen sein, sodass sich eine entsprechende Regelung in jedem Fall empfiehlt.

• Ob im Fall eines Verlustes umgekehrt der Arbeitgeber den Arbeitnehmer anweisen kann, auf eigene Kosten ein Ersatzgerät zu beschaffen, ist wohl zu verneinen. Auch gegen die Wirksamkeit entsprechender vertraglicher Vereinbarungen bestehen aufgrund von § 307 BGB erhebliche Bedenken, da eine derartige Anweisung den Arbeitnehmer typischerweise unangemessen benachteiligt.

BYOD-Nutzung als Arbeitszeit

Im Zusammenhang mit der Nutzung der eigenen Geräte stellt sich häufig die Frage, in welchem Umfang der Umstand, dass der BYOD-nutzende Arbeitnehmer nunmehr auch in seiner Freizeit für den Arbeitgeber „greifbar“ ist, Auswirkungen auf die Einhaltung der nach § 3 ArbZG geltenden Höchstarbeitszeit hat. Allerdings ist diese Frage – soweit erkennbar – gerichtlich noch völlig ungeklärt. Vor dem Hintergrund, dass das Arbeitszeitgesetz für den Fall seiner Verletzung mit nicht unerheblichen Bußgeldtatbeständen ausgestattet ist, sollte seitens des Arbeitgebers versucht werden, adäquate Regelungen für die Erreichbarkeit „nach Dienst“ zu treffen.

Einschränkung der privaten Nutzung

Das Interesse des Arbeitgebers an einer Minimierung der Sicherheitsrisiken wird sich in einer zwangsläufigen Beschränkung beziehungsweise Reglementierung der privaten Nutzung des Geräts durch den Arbeitnehmer wiederspiegeln. Entsprechende Regelungen, die einem anerkennenswerten Sicherheitsbedürfnis des Arbeitgebers entspringen, wie das Verbot der Installation sicherheitskritischer Software und Apps sowie des sogenannten „Jailbreaks“, das heißt der bewussten Umgehung oder Ausschaltung von arbeitgeberseitigen Sicherheitssystemen, werden regelmäßig als zulässig anzusehen sein.

Gleiches gilt auch für das Verbot einer Nutzung der entsprechenden Geräte durch Dritte, wenn diesen hierdurch Zugang zu betrieblichen Informationen gewährt wird. Allerdings wird in diesem Fall an eine technische Trennung von privaten und betrieblichen Informationen durch entsprechende Software zu denken sein. Im Übrigen gewährt BYOD freilich keine Ausnahme von dem Grundsatz, dass während der Arbeitszeit eine Erledigung privater Angelegenheiten unzulässig ist und auch entsprechend geahndet werden kann. Anders ausgedrückt: Auch mit BYOD bleiben beispielsweise private Telefonate während der Arbeitszeit grundsätzlich unzulässig. Hieran ändert die Eigentumszuordnung des Geräts nichts.

Was ist zu tun beim Datenschutz?

Eine zentrale Rolle im Zusammenhang mit BYOD spielt das Bundesdatenschutzgesetz (BDSG). Dies gilt zum einen gegenüber betriebsfremden Dritten. So hat der Arbeitgeber selbstverständlich auch beim Einsatz privater Geräte der Arbeitnehmer für eine Einhaltung datenschutzrechtlicher Verpflichtungen zum Beispiel gegenüber Kunden oder Geschäftspartnern zu sorgen. Wird also beim (zugelassenen oder geduldeten) BYOD-Einsatz zum Nachteil Dritter das BDSG verletzt, haftet im Außenverhältnis stets der Arbeitgeber als verantwortliche Stelle (§ 3 Abs. 7 BDSG). Entsprechend sollten Regelungen, beispielweise Meldepflichten bei Geräteverlust, vorgesehen werden. Andererseits gilt das BDSG auch im Verhältnis zwischen Arbeitgeber und Arbeitnehmer. So stellt eine unterschiedslose (Fern-)Löschung von auf dem Gerät liegenden privaten und beruflichen Daten bei einem Verlust des Geräts eine Datenverarbeitung nach § 3 Abs. 4 BDSG dar, die ohne eine entsprechende Rechtfertigung nach dem BDSG grundsätzlich unzulässig ist. Daher ist zur Vermeidung von Gesetzesverstößen eine grundsätzliche Trennung von privaten und beruflichen Inhalten auf dem Gerät sowie die Verwendung entsprechender Software-Lösungen dringend zu empfehlen, ebenso wie eine Sicherung von etwa auf dem Firmenserver abgelegter privater Daten des Arbeitnehmers (zum Beispiel private E-Mails).

Datenschutzrechtlich ebenfalls höchst sensibel ist die Fernüberwachung von BYOD-Geräten durch Monitoring-Tools, die den Standort des Geräts ermitteln oder eine korrekte Verwendung des Geräts (nach Maßstab des Arbeitgebers) überwachen und auf deren Ergebnisse der Arbeitgeber Zugriff hat. Hier wird regelmäßig ein Interesse des Arbeitgebers aus Gründen der IT-Sicherheit nicht zu bestreiten sein. Allerdings greifen solche Funktionen zugleich massiv in die Privatsphäre des Arbeitnehmers ein, sodass hier in jedem Einzelfall eine Abwägung der beiderseitigen Interessen unter Berücksichtigung der Eingriffsintensität zu erfolgen hat. Im Übrigen ist auch der Arbeitnehmer vor Beginn des Einsatzes von Monitoring-Programmen über deren Einsatz zu unterrichten.

Beendigung des Arbeitsverhältnisses

Wesentlicher Aspekt bei der Beendigung des Arbeitsverhältnisses ist aus Sicht des Arbeitgebers zum einen die Übergabe von nicht auf dem Unternehmensserver liegenden dienstlichen Daten sowie deren Löschung vom betreffenden Gerät. Hier wird ein Herausgabeanspruch des Arbeitgebers ohne entsprechende vorherige Vereinbarung grundsätzlich ausscheiden. Um den Bedürfnissen des Arbeitgebers Rechnung zu tragen, sollte eine Regelung für den Beendigungsfall getroffen werden, die eine Übergabe von Daten an den Arbeitgeber vorsieht. Im Übrigen empfiehlt sich auch hier wiederum eine technische Trennung zwischen privaten und beruflichen Daten und die damit einhergehende Möglichkeit zur Löschung der beruflichen Inhalte.

Den Betriebsrat einbinden

Auch mitbestimmungsrechtlich ist BYOD relevant. Gemäß dem Betriebsverfassungsgesetz besteht ein zwingendes Mitbestimmungsrecht des Betriebsrats bei der Einführung technischer Einrichtungen, die eine Überwachung des Verhaltens des Arbeitnehmers abstrakt ermöglichen. Dies wird bei BYOD regelmäßig der Fall sein, zumindest soweit das Gerät mit der restlichen IT-Infrastruktur des Arbeitgebers synchronisiert wird (wie bei der Anbindung an den betrieblichen Mail-Server). Häufig wird es sich aus Praktikabilitätsgründen anbieten, über den Mitbestimmungstatbestand hinausgehende Betriebsvereinbarungen zu schließen, die eine vollständige Regelungskonzeption für BYOD bilden. Ein Vorteil aus Sicht des Arbeitgebers kann sich hierbei durchaus aus der Natur der Betriebsvereinbarung als „Regelung“ im Sinne des § 4 Abs. 1 BDSG ergeben, wonach eine zulässige Datenerhebung, -verwendung und -nutzung auch durch Betriebsvereinbarungen ermöglicht werden kann. Hierbei ist im Einzelfall zu beachten, dass die Regelungsmacht der Betriebsparteien nicht rein private Angelegenheiten der Arbeitnehmer oder die Arbeitsleistung erfassen darf. Entsprechende Verhaltensanweisungen können nicht Gegenstand einer derartigen Betriebsvereinbarung sein.