Bring Your Own Device: Datenschutz beachten

Regula Heinzelmann

Rechtsberatung

Bring Your Own Device: Datenschutz beachten — Bild: Haufe Online Redaktion Wer als Arbeitgeber mit BOYD Kosten senken möchte, sollte die damit verbundenen Risiken ganz genau kennen.

Bei einem BYOD-System benutzen Angestellte für die Arbeit ihre eigenen Geräte. Das erscheint praktisch und kostengünstig. Bei genauerem Hinsehen zeigen sich allerdings Gefahren für Sicherheit und Datenschutz. Es ist Chefsache, Regelungen in Arbeitsverträgen und im Betrieb zu treffen.

Bring Your Own Device (BYOD) oder Consumerization

Der Trend zur Nutzung von privaten Endgeräten wird als Consumerization oder BYOD bezeichnet. BYOD ist eine geläufige Abkürzung für Bring your own Device. Der Ausdruck Consumerization wird aus Consumer und ization, der englischen Wortendung für die Substantivierung eines Vorganges zusammengesetzt. Sinnvoll wäre eine adäquate deutsche Bezeichnung, z.B. Arbeit mit Privatgeräten, kurz AMP, oder Privatgeräte im Beruf, kurz PIB.

Bring Your Own Device: Vorteile

Als Vorteil dieses Systems wird die Ersparnis von Anschaffungs- und Unterhaltskosten genannt. Weiter könne sich die Produktivität vor allem bei alltäglichen Prozessen wie E-Mail oder Terminverwaltung signifikant verbessern. Die Mitarbeitenden kennen die Funktionen ihrer eigenen Geräte bereits und müssen diese nicht mehr erlernen. Sie würden bei Problemen eher ihren Dienstleister anfragen, als die IT-Abteilung der Firma, was Kosten spart.

Bring Your Own Device: Nachteile

Gegen BYOD gibt es auch starke Argumente. Die Grenze zwischen Berufs- und Privatleben löst sich noch mehr auf. Die Unternehmen können kaum mehr kontrollieren, was auf den Privatgeräten läuft und wer den Inhalt zu Gesicht bekommt.

BOYD birgt u. a. folgende Risiken:

Überwachung,
Identitätsdiebstahl,
Abfangen sämtlicher Informationen,
Ausspionieren von Geschäftsgeheimnissen,
Diebstahl von Know-how,
Zugriff auf das Online-Banking,
Vorbereitung für weitere Angriffe,
Botnet-Aktivitäten bzw. Missbrauch.

Um diese Risiken zu bekämpfen ist bei den Angestellten ein Sensibilisierungsprozess notwendig, d.h. Aufklärung über und Analyse der Risiken und der möglichen Gegenmaßnahmen und spätere Kontrolle, ob diese wirksam sind.

Die Installation von wirksamen Sicherheitsmechanismen und Mitarbeiterschulung kann die Ersparnisse leicht kompensieren. Datenmissbrauch und Betriebsspionage werden durch BYOD erleichtert und können einen enormen Verlust, bzw. Diebstahl von Firmenwissen und Kundenvertrauen zur Folge haben.

Juristisch ist Arbeit mit Privatgeräten ein absolut unsicheres Gebiet. Je nach Tätigkeit des Unternehmens können eine Menge Vorschriften zu beachten sein, z.B. das Handelsrecht, das Steuerrecht, Organisationsrecht, Gesellschaftsrecht, die Sozialgesetzgebung, ja sogar das Bankaufsichtsrecht sowie andere Spezialgesetze. Und natürlich ist oft das Urheberrecht betroffen, wenn geschützte Dateien auf Privatgeräte heruntergeladen werden. Dabei stellt sich zum Beispiel die Frage, ob man zahlungspflichtige Software der Firma auf Privatgeräte transferieren kann und wem sie dann gehört und wer sie nutzen darf.

Mit Software-Lizenzgebern muss der Unternehmer allenfalls spezielle Vereinbarungen treffen, wenn die Programme von den Angestellten für private Geräte benützt werden. Außerdem muss der Arbeitgeber dafür sorgen, dass Lizenzen nicht missbraucht werden, was eine entsprechende Information der Mitarbeitenden erfordert.

BYOD: Alternativen

Eine Alternative, die sowohl für Mitarbeitende wie für die Arbeitgeber Vorteile hat, heisst englisch Choose Your own Device (CYOD) oder zu Deutsch "Wählen Sie Ihr Arbeitsgerät". Die Angestellten können aus einer Auswahl mobiler Endgeräte, die das Unternehmen zur Verfügung stellt, ihre persönlichen Favoriten wählen.

Bring Your Own Device: Datenschutz

Das Unternehmen ist verpflichtet, die Datenschutzgesetze gegenüber Kunden und Drittpersonen einzuhalten. Daten, die wegen Datenschutz- und anderer Vorschriften und aus Unternehmensinteressen geheim zu halten sind, gehören nicht in eine Cloud und schon gar nicht auf Privatgeräte. Diese müssen im Unternehmen so gespeichert werden, dass man mit Privatgeräten keinen Zugriff darauf bekommt und dass man sie weder herunterladen noch ausdrucken kann. Nur bestimmte Mitarbeitende sollen die betreffenden Dateien bearbeiten können.

Für Angestellte gelten nach der Datenschutz-Grundverordnung im Prinzip die gleichen Rechte wie für andere Personen. Im neuen Bundesdatenschutzgesetz, wird die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses in § 26 BDSG geregelt. Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.

Wichtig: Aus Sicherheits- und Datenschutzgründen ist der Einsatz von speziellen "Containern" in den Geräten zu empfehlen, mit denen man private und geschäftliche Daten trennen kann. Systeme gibt es in großer Auswahl.

Rechtliche Aspekte beachten (arbeitsrechtliche Aspekte, die Arbeitgeber beachten sollten)

Angestellte können nicht einfach eigene Geräte mit in die Firma bringen und sie ohne lange zu fragen für die Arbeit nutzen. Zum Weisungsrecht des Arbeitgebers gehört nach der Auffassung des Deutschen Gewerkschaftsbundes (DGB), dass der Arbeitgeber die Handynutzung am Arbeitsplatz einschränken, z.B. einen zeitlichen Rahmen für die Nutzung vorgeben darf. Im Regelfall ist laut DGB ein Verbot, das Smartphone in den Betrieb mitzubringen, zu weitreichend. Ein Handyverbot am Arbeitsplatz ist also die Ausnahme, z.B. wenn der Smartphone-Betrieb Produktionsabläufe oder empfindliche Messinstrumente stören könnte. Allein die Gefahr von Industriespionage rechtfertigt ein vollständiges Smartphone-Verbot im Betrieb dagegen nicht, es würde ausreichen, die Nutzung der Kamerafunktion zu untersagen.

Hat sich der Arbeitgeber zur privaten Smartphone-Nutzung nicht geäußert und keine Weisungen erteilt, ist die Nutzung im Prinzip erlaubt, aber nicht extensiv. Deswegen ist eine Regelung über die Nutzung privater Geräte auch dann zu empfehlen, wenn man den Angestellten Betriebsgeräte zur Verfügung stellt.

Für Betriebsgeräte ist nach dem Bundesarbeitsgericht (Urteil v. 7.7.2005, 2 AZR 581/04) in der Regel keine private Nutzung gestattet, wenn sie nicht ausdrücklich erlaubt oder geduldet wird und der Arbeitgeber davon Kenntnis hat. Bei exzessiver Nutzung eines Geräts für Privatangelegenheiten kann sogar eine fristlose Kündigung gerechtfertigt sein (LAG Niedersachsen, Urteil v. 31.5.2010, 12 Sa 875/09).

Hierzu gelten dieselben Grundsätze wie sie auch für die private Nutzung und das private Surfen im Internet am Dienst-PC bestehen. Existieren bereits betriebliche Regelungen bzw. ein Verbot für die private Nutzung des Internets, sind diese Regeln auch auf die Nutzung der Internetfunktion des Smartphones übertragbar.

Angestellte müssen nicht ständig über Smartphone erreichbar sein, sondern nur während ihrer Arbeitszeit, außer wenn sie Bereitschaftsdienst haben. Regelungen darüber sind im Arbeitsvertrag und zusätzlich im Betriebsreglement zu treffen.

Vereinbarungen im Arbeitsvertrag

Im Arbeitsvertrag ist Folgendes zu vereinbaren:

Die Mitarbeitenden dürfen das Endgerät nur höchstpersönlich nutzen, da ansonsten Dritte Zugriff auf dienstliche Daten erhalten könnten. Das dürfe aber schwer zu kontrollieren sein.
Für geschäftliche Daten ist eine Geheimhaltungsvereinbarung unerlässlich. Jedes beruflich genutzte Endgerät muss durch sichere Passwörter sowie die modernste Sicherheitstechnik geschützt werden.
Der Arbeitgeber hat sich an den Anschaffungskosten bzw. an den Providergebühren zu beteiligen.
Vereinbarungen zur Arbeitszeit, Erreichbarkeit sowie der Einhaltung gesetzlich vorgeschriebener Ruhezeiten gehören in den Arbeitsvertrag, aber auch in das Betriebsreglement.
Regelung, wofür der Angestellte persönlich haftbar gemacht wird.
Der Angestellte wird zu regelmässigen Informationen über die Arbeit mit einem Privatgerät, über Schwierigkeiten und Verlust des Gerätes verpflichtet.
Der Arbeitgeber sollte sich das Recht ausbedingen, mit unternehmensbezogenen Daten auf dem privaten Endgerät grundsätzlich in derselben Weise zu verfahren, wie mit solchen in den eigenen Systemen. Er sollte auf die Daten uneingeschränkt zugreifen und sie im Bedarfsfall auch löschen dürfen.

Wichtig: Bei Ausscheiden aus der Firma müssen die Angestellten verpflichtet werden, die Firmendaten unwiderbringlich zu löschen. Zugänge zu Firmendaten müssen gesperrt, bzw. aufgehoben werden.

Bring your Own device: Betriebsvereinbarung - Mobile Device Management

In Betrieben, in denen ein Betriebsrat besteht, sind generelle Verhaltensregelungen zur Smartphone-Nutzung gemäß § 87 Abs. 1 Nr. 1 BetrVG mitbestimmungspflichtig, da sie das Ordnungsverhalten der Mitarbeiter betreffen. Der Betriebsrat muss seine Zustimmung erteilen.

Im Betriebsreglement sind mindestens folgende Punkte zu regeln:

Erlaubnis zum Gebrauch eigener Geräte für die Arbeit und wie weit sie für private Zwecke genutzt werden dürfen.
Regelungen über den Gebrauch der von der Firma zur Verfügung gestellten Geräte, z.B. prinzipiell nicht für private Zwecke.
Lizenzen und Eigentum an Software: Es muss klar sein, wer welche Programme des Unternehmens benutzen muss und dass man Lizenzen nur unter bestimmten Bedingungen für private Zwecke nutzen darf.
Datensicherungsmaßnahmen: Welche Sicherheitsprogramme gelten als geeignet, welche nicht?
Sicherheitskopien: Die Daten sollten nicht nur auf den Privatgeräten, sondern nach Empfehlung von Fachleuten zwingend auch auf firmeneigene Datenträger gespeichert werden. Auf jeden Fall sind Sicherheitskopien notwendig.
Datensicherung: Die Angestellten auf die arbeitsrechtliche Sorgfaltspflicht hinweisen und auf die Geheimhaltungspflicht gegenüber Kunden und Drittpersonen.
Anleitung zum Umgang mit Urheberrechten.

Wichtig: Geheime (Kunden-)Daten und alle Daten die Forschung und Entwicklung betreffend sollten von Clouds und Internet getrennt sein. Ausschließlich berechtigte Personen sollten auf diese Bereiche Zugriff bekommen. Computerfachleute empfehlen dafür firmeneigene Terminals, auf denen es keine USB-Anschlüsse oder andere externe Anschlussmöglichkeiten gibt.

Das könnte Sie auch interessieren:

Landesdatenschutzbeauftragte verabschiedet sich von Twitter

Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU von Bundesrat gebilligt

Meistgelesene beiträge

Neueste beiträge

Dynamische Entwicklungen in Compliance und Corporate Governance

25.04.2024
Mit dem richtigen Tool zum Erfolg: Wie Unternehmen Compliance mit KI optimieren

24.04.2024
Krisenpräventionsumfrage 2023 zeigt die Herausforderungen des Krisenmanagements

17.04.2024
Compliance als Grundstein der Unternehmenskultur

10.04.2024
DIHK-Umfrage sieht Datenschutzgrundverordnung als Bürokratietreiber

03.04.2024
Europaweite Datenschutzaktion zum Auskunftsrecht der Datenschutzgrundverordnung

27.03.2024
Datenschutzbehörden führen automatisierte Prüfungen von Cookie-Bannern durch

26.03.2024
Mitarbeiterkontrollen durch den Arbeitgeber – Was ist unter welchen Voraussetzungen erlaubt?

12.03.2024
Wann muss eine öffentliche Ausschreibung erfolgen?

05.03.2024
Wie Unternehmen mit dem richtigen Tool ihr Potenzial maximieren

21.02.2024

2 Kommentare zum Artikel

Um einen Kommentar zu schreiben, melden Sie sich bitte an.

Jetzt anmelden

Vielen Dank für die positive Beurteilung meines Artikels. Als Autorin muss ich das Thema natürlich neutral behandeln. Persönlich bin ich auch der Meinung, dass BYOD höchst problematisch ist und eine Kontrolle über Kundendaten dadurch schwierig wird. Diese Ansicht vertreten auch langjährige Computerfachleute. Deswegen empfehle ich CYOD.

Antworten

Tue Jan 22 10:44:50 CET 2019Tue Jan 22 10:44:50 CET 2019

Um eine Antwort zu schreiben, melden Sie sich bitte an.

Der Artikel fasst die ganze Bandbreite des BYOD-Themas sehr gut zusammen. Eine Nutzungsvereinbarung bzw. entsprechende Regelungen im Arbeitsvertrag sind unerlässlich, da sich ja schon durch eine unkontrollierte Privatnutzung eine "betriebliche Übung" begründen kann. Vielleicht ist dann doch "Choose Your Own Device" die bessere Option – CYOD hat zudem auch angenehme Nebeneffekte für das Arbeitgeberprofil, wie etwa hier beschrieben. https://blog.everphone.de/choose-your-own-device-cyod

Robert Nagel

Tue Jan 15 11:18:22 CET 2019Tue Jan 15 11:18:22 CET 2019

Bring Your Own Device: Vorteile, Nachteile, Rechtsrahmen