Zugriffsmöglichkeiten auf private Endgeräte - Rechtliche Fragestellungen im Zusammenhang mit Bring Your Own Device (BYOD)

Zugriffsmöglichkeiten auf private Endgeräte - Rechtliche Fragestellungen im Zusammenhang mit Bring Your Own Device (BYOD)

BYOD ist ein internationaler Trend, der zunehmend auch in deutschen Unternehmen Einzug hält. Der Begriff bezeichnet den Umstand, dass Mitarbeitern erlaubt wird, anstelle firmeneigener Laptops/Notebooks, Tablet-PCs und Smartphones, private Geräte einzusetzen. Der Trend, Privateigentum zu betrieblichen Zwecken einzusetzen, ist nicht neu. Auch andere Gegenstände werden bereits seit längerer Zeit auf Geheiß des Arbeitgebers dienstlich mitgeführt und eingesetzt. Als Beispiel dient der private PKW, der auch als Dienstfahrzeug eingesetzt wird. In Bezug auf Mobilgeräte ergeben sich jedoch neue rechtliche Fragen, insbesondere aus dem IT- und TK-Recht sowie aus dem Datenschutzrecht.

Vorteile und Risiken von BYOD

Die Vorteile von BYOD liegen insbesondere in Kostenersparnissen des Unternehmens und dem vielfachen Wunsch der Mitarbeiter, ihre (moderneren) Geräte, mit deren Umgang sie vertraut sind, auch beruflich einsetzten zu können und nicht zugleich sowohl private als auch Firmengeräte mit sich führen zu müssen.

Mit BYOD sind jedoch auch Risiken, insbesondere mit Blick auf die IT-Sicherheit  verbunden. Mit den privaten Endgeräten kann der Mitarbeiter auf Daten, Anwendungen und die übrige IT-Infrastruktur des Unternehmens zuggreifen. Das private Geräte stellt dabei ein Sicherheitsrisiko dar, über das Daten direkt abgezogen oder mittels Schadsoftware ein Zugriff auf das gesamte Unternehmensnetzwerk ermöglicht wird. Gefährdet sind damit u.a. Betriebs- und Geschäftsgeheimnisse des Unternehmens und seiner Geschäftspartner, sowie personenbezogene Mitarbeiterdaten.

Pflichten des Arbeitgebers

Im Rahmen von BYOD ist der Arbeitgeber gehalten, die urheberrechtskonforme Hard- und Softwarenutzung für Unternehmenszwecke abzusichern. Darüber hinaus ist der Arbeitgeber verpflichtet, einen hinreichenden Schutz personenbezogener Daten seiner Mitarbeiter zu gewährleisten und die Begehung von Straftaten durch Unternehmensangehörige, beispielsweise den Verrat von Betriebs- und Geschäftsgeheimnissen, nach Möglichkeit zu verhindern.

Zu beachten ist, dass es grundsätzlich nicht ausreicht, dem Mitarbeiter konkrete Handlungs-/ Unterlassungs- bzw. Schutzpflichten aufzuerlegen. Vielmehr ist der Arbeitgeber aus Compliance-Gesichtspunkten verpflichtet, die Einhaltung dieser Vorgaben auch regelmäßig zu überprüfen. Verstößt der Arbeitgeber gegen diese Pflicht und beachtet der Mitarbeiter die Vorgaben nicht, besteht ein erhebliches Sicherheits- und Haftungsrisiko für das Unternehmen.

Schwierigkeiten im Rahmen von BYOD

Anders als der Umgang mit firmeneigenen Geräten kann der Einsatz privater Geräte durch den Arbeitgeber mangels Eigentum und Besitz jedoch grundsätzlich nicht bzw. nur sehr eingeschränkt kontrolliert werden. Der Arbeitgeber ist vielmehr darauf angewiesen, dass der jeweilige Mitarbeiter die Vorgaben des Arbeitgebers zum Umgang mit beruflich genutzten privaten Geräten beachtet und die entsprechenden notwendigen Sicherheitsvorkehrungen trifft. Diese werden idR durch BYOD-Policies bzw. Betriebsvereinbarungen konkretisiert.

Da es jedoch, wie bereits ausgeführt, nicht ausreicht, dem Mitarbeiter bestimmte Vorgaben hinsichtlich der betrieblichen Nutzung seiner privaten Geräte zu machen, muss der Arbeitgeber durch eine entsprechende Vereinbarung mit dem Mitarbeiter sicherstellen, dass er seinen Überprüfungs- und Kontrollpflichten nachkommen kann.

Anforderungen an Kontrollen

Im Falle von Kontrollen privater Endgeräte auf Grundlage einer entsprechenden Vereinbarung kollidieren Compliance-Interessen des Arbeitgebers mit den Interessen des Mitarbeiters auf Schutz seiner Privatsphäre. Auch bzw. erst Recht im Rahmen von BYOD vertrauen Mitarbeiter auf den Schutz ihrer privaten Daten. Dieses Vertrauen ist auch gesetzlich legitimiert. Personenbezogene Daten werden durch das Bundesdatenschutzgesetz (BDSG) geschützt. Daneben bestehen spezifische datenschutzrechtliche Anforderungen nach dem Telekommunikationsgesetz (TKG). Außerdem ist die Privatsphäre der betroffenen Mitarbeiter auch strafrechtlich geschützt. Das Ausspähen, Abfangen und die Veränderung von Daten unterfällt den Straftatbeständen der §§ 202a, 202b, 202c, 203, 303a StGB.

Daher müssen in jedem Fall organisatorische und technische Maßnahmen getroffen werden, die ein „Auslesen“ privater Daten durch andere Mitarbeiter im Rahmen durchzuführender Kontrollen verhindern. Die für die Durchführung der Kontrollen Verantwortlichen müssen im Hinblick auf das Datengeheimnis geschult werden und ihnen ihre u.U. strafrechtliche Verantwortlichkeit vor Augen geführt werden. Dies ist nicht nur notwendig, um im Falle von Kontrollen Verstöße gegen datenschutzrechtliche Bestimmungen zu verhindern. Vielmehr ist eine sorgfältige Schulung der verantwortlichen Personen bereits im Rahmen der Einführung von BYOD relevant, da Mitarbeiter nur dann bereit sein werden, ihre privaten Endgeräte auch zu betrieblichen Zwecken einzusetzen, wenn die Einhaltung der gesetzlichen Vorschriften gewährleistet ist und zudem ihrem persönlichen Sicherheitsempfinden Rechnung getragen wird.