„Bring dein eigenes Gerät mit“ – so die schnöde Übersetzung für „Bring Your Own Device“, den Trend, eigene Hardware auch im Job zu akzeptieren oder sogar willkommen zu heißen. Für Unternehmen hat das Ganze auch Vorteile: Neben sinkenden Kosten für IT und Gerätewartung steigt auch noch die Erreichbarkeit und Produktivität des einzelnen Mitarbeiters, weil die Grenzen zwischen Arbeitszeit und Freizeit verwischen. Im Gegenzug erhalten die Mitarbeiter oftmals eine Zulage für die Anschaffung der privaten Endgeräte. „BYOD“ wirft allerdings Fragen im Datenschutz und Arbeitsrecht auf – und die sollten unbedingt beachtet werden.
Datenschutz bedeutet zunächst einmal den Schutz personenbezogener Daten. Ein Unternehmen ist gehalten, die persönlichen Daten seiner Mitarbeiter vor Missbrauch zu schützen. Daneben haben die Unternehmen aber auch ein erhebliches Interesse am Schutz ihrer eigenen betrieblichen und geschäftlichen Daten.
Anwendungsbereiche eingrenzen
Ob sensible Unternehmensdaten überhaupt auf private Endgeräte der Mitarbeiter transferiert werden dürfen, muss im Einzelfall geprüft werden. Nach den Vorgaben des Bundesdatenschutzgesetzes muss eine solche Verarbeitung im gesetzlichen Rahmen erforderlich und gerechtfertigt sein. Die Kategorie der zu transferierenden Daten spielt dabei eine wesentliche Rolle. Beispielsweise unterliegen sensible personenbezogene Daten einem besonderen Schutzbedürfnis und stellen für BYOD ein Tabu dar.
Schutzmaßnahmen festlegen
Es muss geklärt werden, welche technischen und organisatorischen Schutzmaßnahmen zwingend erforderlich und deshalb unbedingt zu ergreifen sind, um einen unberechtigten Zugriff auf Firmendaten oder deren Übermittlung an unberechtigte Empfänger zu verhindern. Das Unternehmen kann den tatsächlichen Zugriff auf das private Gerät des Mitarbeiters nicht beeinflussen – umso größer ist die Bedeutung von Maßnahmen auf der Systemebene! Gängig sind hier Systeme zum sogenannten „Mobile Device Management“: Im Notfall – also zum Beispiel bei einem Geräteverlust oder Ausscheiden des Mitarbeiters – muss sowohl der Vollzugriff auf die Daten als auch deren vollständige Löschung möglich sein.
BYOD und Arbeitsrecht: komplexe Interessenlage
Interessen des Mitarbeiters: Bei einem BYOD-Einsatz kommen Aufwendungsersatzansprüche des Mitarbeiters insbesondere wegen dienstlicher Nutzung und Beschädigung des privaten Endgeräts in Betracht. Ein Ausschluss solcher Ansprüche kann zwar vertraglich vereinbart werden, müsste aber wohl auch eine angemessene Gegenleistung für den BYOD-Einsatz vorsehen, um wirksam zu sein.
Interessen des Unternehmens: Das Unternehmen wird demgegenüber regelmäßig vor allem ein Interesse daran haben, dem Mitarbeiter die
BYOD-Nutzung vorzugeben und ihm das Gerät, beziehungsweise die darauf gespeicherten geschäftlichen Daten nach Beendigung des Vertragsverhältnisses entziehen zu können, um eine Betriebsspionage zu unterbinden. Außerdem soll der Mitarbeiter nach Möglichkeit für von ihm durch den BYOD-Einsatz verursachte Schäden haften. Diesen Interessen stehen jedoch das Eigentum des Mitarbeiters an dem verwendeten Gerät sowie seine haftungsrechtliche Privilegierung gegenüber.