Bei einem BYOD-System benutzen Angestellte für die Arbeit ihre eigenen Geräte. Das erscheint nur auf den ersten Blick praktisch und kostengünstig. Bild: Haufe Online Redaktion

Bei einem BYOD-System benutzen Angestellte für die Arbeit ihre eigenen Geräte. Das erscheint praktisch und kostengünstig. Der zweite Blick erläutert allerdings die Gefahren für Sicherheit und Datenschutz. Es ist Chefsache, für Regelungen in Arbeitsverträgen und im Betrieb zu sorgen, wobei gegebenfalls der Betriebsrat einzubeziehen ist.

Bring Your Own Device (BYOD) oder Consumerization

Der Trend zur Nutzung von privaten Endgeräten wird als Consumerization oder BYOD bezeichnet. BYOD ist eine geläufige Abkürzung für Bring your own Device.  Der Ausdruck Consumerization wird aus Consumer und ization, der englischen Wortendung für die Substantivierung eines Vorganges zusammengesetzt.  Sinnvoll wäre eine adäquate deutsche Bezeichnung, z.B. Arbeit mit Privatgeräten, kurz AMP, oder Privatgeräte im Beruf, kurz PIB.

Bring Your Own Device Vorteile

Als Vorteil dieses Systems wird die Ersparnis von Anschaffungs- und Unterhaltskosten genannt. Weiter könne sich die Produktivität vor allem bei alltäglichen Prozessen wie E-Mail oder Terminverwaltung signifikant verbessern. Die Mitarbeitenden kennen die Funktionen ihrer eigenen Geräte bereits und müssen diese nicht mehr erlernen. Sie würden bei Problemen eher ihren Dienstleister anfragen, als die IT-Abteilung der Firma, was Kosten spart.

Bring Your Own Device Nachteile

Gegen BYOD gibt es auch starke Argumente. Die Grenze zwischen Berufs- und Privatleben löst sich noch mehr auf. Die Unternehmen können kaum mehr kontrollieren, was auf den Privatgeräten läuft und wer den Inhalt zu Gesicht bekommt.

Am Cyber-Sicherheits-Tag 01.09.2017 in der IHK Darmstadt, veranstaltet von der Allianz für Cyber-Sicherheit, wurde von Andreas Schütz, Hochschule für angewandte Wissenschaften Würzburg-Schweinfurt (FHWS)  das Thema Sicherheit mobiler Endgeräte behandelt. Er nannte in seinem Beitrag folgende Risiken:

  • Überwachung
  • Identitätsdiebstahl
  • Abfangen sämtlicher Informationen
  • Ausspionieren von Geschäftsgeheimnissen
  • Diebstahl von Know-How
  • Zugriff auf das Online-Banking
  • Vorbereitung für weitere Angriffe
  • Botnet-Aktivitäten bzw. Missbrauch

Um diese Risiken zu bekämpfen sei bei den Angestellten ein Sensibilisierungsprozess notwendig, d.h. Aufklärung und Analyse der Risiken und der möglichen Gegenmaßnahmen und spätere Kontrolle, ob diese wirksam sind.

Die Installation von wirksamen Sicherheitsmechanismen und Mitarbeiterschulung kann die Ersparnisse leicht kompensieren. Datenmissbrauch und Betriebsspionage werden erleichtert und können einen enormen Verlust, bzw. Diebstahl von Firmenwissen und Kundenvertrauen zur Folge haben.

Juristisch ist Arbeit mit Privatgeräten ein absolut unsicheres Gebiet. Je nach Tätigkeit des Unternehmens können eine Menge Vorschriften zu beachten sein, z.B. das Handelsrecht, das Steuerrecht, Organisationsrecht, Gesellschaftsrecht, die Sozialgesetzgebung, ja sogar das Bankaufsichtsrecht sowie andere Spezialgesetze. Und natürlich ist oft das Urheberrecht betroffen, wenn geschützte Dateien auf Privatgeräte heruntergeladen werden. Dabei stellt sich zum Beispiel die Frage, ob man zahlungspflichtige Software der Firma auf Privatgeräte transferieren kann und wem sie dann gehört und wer sie nutzen darf.

Mit Software-Lizenzgebern muss der Unternehmer allenfalls spezielle Vereinbarungen treffen, wenn die Programme von den Angestellten für private Geräte benützt werden. Ausserdem muss der Arbeitgeber dafür sorgen, dass Lizenzen nicht missbraucht werden, was eine entsprechende Information der Mitarbeitenden erfordert.

BYOD Alternativen

Eine Alternative, die sowohl für Mitarbeitende wie für die Arbeitgeber Vorteile hat, heisst englisch Choose Your own Device (CYOD) oder zu Deutsch "Wählen Sie Ihr Arbeitsgerät". Die Angestellten können aus einer Auswahl mobiler Endgeräte, die das Unternehmen zur Verfügung stellt, ihre persönlichen Favoriten wählen.

Bring Your Own Device Datenschutz

Das Unternehmen ist verpflichtet, die Datenschutzgesetze gegenüber Kunden und Drittpersonen einzuhalten. Daten, die wegen Datenschutz- und anderer Vorschriften und aus Unternehmensinteressen geheim zu halten sind, gehören nicht in eine Cloud und schon gar nicht auf Privatgeräte. Diese müssen im Unternehmen so gespeichert werden, dass man mit Privatgeräten keinen Zugriff darauf bekommt und dass man sie weder herunterladen noch ausdrucken kann. Nur bestimmte Mitarbeitende sollen die betreffenden Dateien bearbeiten können.

Für Angestellte gelten nach der Datenschutz-Grundverordnung im Prinzip die gleichen Rechte wie für andere Personen. Im neuen Bundesdatenschutzgesetz, wird die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses in § 26 BDSG n.F. geregelt. Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.

Wichtig: Aus Sicherheits- und Datenschutzgründen ist der Einsatz von speziellen "Containern" in den Geräten zu empfehlen, mit denen man private und geschäftliche Daten trennen kann. Systeme gibt es in großer Auswahl.

Rechtliche Aspekte beachten (Arbeitsrechtliche Aspekte, die Arbeitgeber beachten sollten)

Angestellte können nicht einfach eigene Geräte mit in die Firma bringen und sie ohne lange zu fragen für die Arbeit nutzen. Zum Weisungsrecht des Arbeitgebers gehört nach der Auffassung des Deutschen Gewerkschaftsbundes (DGB), dass der Arbeitgeber die Handynutzung am Arbeitsplatz einschränken, z.B. einen zeitlichen Rahmen für die Nutzung vorgeben darf. Im Regelfall ist laut DGB ein Verbot, das Smartphone in den Betrieb mitzubringen, zu weitreichend. Ein Handyverbot am Arbeitsplatz ist also die Ausnahme, z.B. wenn der Smartphone-Betrieb Produktionsabläufe oder empfindliche Messinstrumente stören könnte. Allein die Gefahr von Industriespionage rechtfertigt ein vollständiges Smartphone-Verbot im Betrieb dagegen nicht, es würde ausreichen, die Nutzung der Kamerafunktion zu untersagen.

Hat sich der Arbeitgeber zur privaten Smartphone-Nutzung nicht geäußert und keine Weisungen erteilt, ist die Nutzung im Prinzip erlaubt, aber nicht extensiv. Deswegen ist eine Regelung über die Nutzung privater Geräte auch dann zu empfehlen, wenn man den Angestellten Betriebsgeräte zur Verfügung stellt.

Für Betriebsgeräte ist nach dem Bundesarbeitsgericht (Urteil vom 07.07.2005, 2 AZR 581/04) in der Regel keine private Nutzung gestattet, wenn sie nicht ausdrücklich erlaubt oder geduldet wird und der Arbeitgeber davon Kenntnis hat. Bei exzessiver Nutzung eines Geräts für Privatangelegenheiten kann sogar eine fristlose Kündigung gerechtfertigt sein (Landesarbeitsgericht Niedersachsen 31.05.2010, 12 Sa 875/09).

Hierzu gelten dieselben Grundsätze wie sie auch für die private Nutzung und das private Surfen im Internet am Dienst-PC bestehen. Existieren bereits betriebliche Regelungen bzw. ein Verbot für die private Nutzung des Internets, sind diese Regeln auch auf die Nutzung der Internetfunktion des Smartphones übertragbar.

Angestellte müssen nicht ständig über Smartphone erreichbar sein, sondern nur während ihrer Arbeitszeit, ausser wenn sie Bereitschaftsdienst haben. Regelungen darüber sind im Arbeitsvertrag und zusätzlich im Betriebsreglement zu treffen.

Vereinbarungen im Arbeitsvertrag

Im Arbeitsvertrag ist folgendes zu vereinbaren:

  • Die Mitarbeitenden dürfen das Endgerät nur höchstpersönlich nutzen, da ansonsten Dritte Zugriff auf dienstliche Daten erhalten könnten. Das dürfe aber schwer zu kontrollieren sein.
  • Für geschäftliche Daten ist eine Geheimhaltungsvereinbarung unerlässlich. Jedes  beruflich genutzte Endgerät muss durch sichere Passwörter sowie die modernste Sicherheitstechnik geschützt werden.
  • Der Arbeitgeber hat sich an den Anschaffungskosten bzw. an den Providergebühren zu beteiligen.
  • Vereinbarungen zur Arbeitszeit, Erreichbarkeit sowie der Einhaltung gesetzlich vorgeschriebener Ruhezeiten gehören in den Arbeitsvertrag, aber auch in das Betriebsreglement.
  • Regelung, wofür der Angestellte persönlich haftbar gemacht wird.
  • Der Angestellte wird zu regelmässigen Informationen über die Arbeit mit einem Privatgerät, über Schwierigkeiten und Verlust des Gerätes verpflichtet.
  • Der Arbeitgeber sollte sich das Recht ausbedingen, mit unternehmensbezogenen Daten auf dem privaten Endgerät grundsätzlich in derselben Weise zu verfahren, wie mit solchen in den eigenen Systemen. Er sollte auf die Daten uneingeschränkt zugreifen und sie im Bedarfsfall auch löschen dürfen.

Wichtig: Bei Ausscheiden aus der Firma müssen die Angestellten verpflichtet werden, die

Firmendaten unwiderbringlich zu löschen. Zugänge zu Firmendaten müssen gesperrt, bzw. aufgehoben werden.

Bring your Own device Betriebsvereinbarung - Mobile Device Management

In Betrieben, in denen ein Betriebsrat besteht, sind generelle Verhaltensregelungen zur Smartphone-Nutzung gemäß § 87 Abs.1 Nr.1 BetrVG mitbestimmungspflichtig, da sie das Ordnungsverhalten der Mitarbeiter betreffen. Der Betriebsrat muss seine Zustimmung erteilen.

Im Betriebsreglement sind mindestens folgende Punkte zu regeln:

  • Erlaubnis zum Gebrauch eigener Geräte für die Arbeit und wie weit sie für private Zwecke genutzt werden dürfen.
  • Regelungen über den Gebrauch der von der Firma zur Verfügung gestellten Geräte, z.B. prinzipiell nicht für private Zwecke.
  • Lizenzen und Eigentum an Software: Es muss klar sein, wer welche Programme des Unternehmens benutzen muss und dass man Lizenzen nur unter bestimmten Bedingungen für private Zwecke nutzen darf.
  • Datensicherungsmassnahmen: Welche Sicherheitsprogramme gelten als geeignet, welche nicht.
  • Sicherheitskopien: Die Daten sollten nicht nur auf den Privatgeräten, sondern nach Empfehlung von Fachleuten zwingend auch auf firmeneigene Datenträger gespeichert werden. Auf jeden Fall sind Sicherheitskopien notwendig.
  • Datensicherung: Die Angestellten auf die arbeitsrechtliche Sorgfaltspflicht hinweisen und auf die Geheimhaltungspflicht gegenüber Kunden und Drittpersonen
  • Anleitung zum Umgang mit Urheberrechten

Wichtig:

Geheime (Kunden-)Daten und alle Daten die Forschung und Entwicklung betreffend sollten von Clouds und Internet getrennt sein. Ausschließlich berechtigte Personen sollten auf diese Bereiche Zugriff bekommen. Computerfachleute empfehlen dafür firmeneigene Terminals,  auf denen es keine USB-Anschlüsse oder andere externe Anschlussmöglichkeiten gibt.


Siehe auch: 

EU-DSGVO - BDSG

EU-Datenschutzgrundverordnung - die 10 wichtigsten Regeln

 

Schlagworte zum Thema:  Datenschutz, Datenschutz-Grundverordnung, Compliance, BYOD, Cybersicherheit

Aktuell
Meistgelesen