BYOD: Wie weit kann die mobile Freiheit des Mitarbeiters gehen?
Eine tragfähige BYOD-Strategie muss mobile Sicherheitsanforderungen und Produktivitätsvorteile der Mitarbeiter miteinander in Einklang bringen. Rechtsanwalt Jan Pohle von DLA Piper beschreibt, welche Sicherheitsbedenken aus der Praxis begründet sind.
1. Mobiler Zugriff auf Unternehmensdaten muss geregelt sein
Da Unternehmensdaten Geschäfts- und Betriebsgeheimnisse des eigenen Unternehmens oder Dritter ebenso wie personenbezogene Daten von Mitarbeitern oder Kunden (unter anderem Telefonnummern oder Email-Adressen) enthalten, und auch regelmäßig mit privaten und unternehmensbezogenen Kontakten in sozialen Netzwerken vermischt werden, zwingen Straf- und Datenschutzrecht Unternehmen, BYOD-Programme vorausschauend umzusetzen. Und was viele noch nicht wissen: Unternehmen sind auch bei Nutzung privater Devices datenschutzrechtlich verantwortlich. Freie Mitarbeiter werden sogar als Auftragsdatenverarbeiter eingestuft.
Entsprechend sollten Firmen bei der Einführung einer BYOD-Strategie datenschutzrechtliche Anforderungen an die Datensicherheit sicherstellen – unter anderem die Kontrolle von Zugang und Zugriff sowie Trennbarkeit.
Dies gilt erst recht für Datengruppen wie Beschäftigten- und Gesundheitsdaten sowie Daten über Geschlecht, Religion oder Herkunft, bei denen die Zulässigkeit von BYOD grundsätzlich zweifelhaft ist. Zusätzlich kommt beim Schutz von Geschäfts- und Betriebsgeheimnissen unmittelbar die strafrechtliche Komponente hinzu.
Technisch sollte eine Trennung zwischen privaten und geschäftlichen Daten auf den mobilen Geräten vollzogen werden. Sicherungsmaßnahmen sollten implementiert werden, um den unberechtigten Zugriff Dritter (Lebenspartner, Freunde) zu unterbinden. Diese müssen um Vereinbarungen mit Mitarbeitern ergänzt werden, die klare Weisungen für den Umgang mit personenbezogenen Daten ebenso enthalten wie zum Umgang mit eigenen und fremden Geschäftsgeheimnissen. Diese müssen bis ins Detail die technischen, organisatorischen und fachlichen Einzelheiten der gesetzlichen Anforderungen umsetzen, gemessen an den Verhältnissen im jeweiligen Unternehmen.
2. Klarheit über geschäftliche Nutzung privater Devices
Neben den straf- und datenschutzrechtlichen Vorgaben kann die geschäftliche Nutzung privater Mobilgeräte auch den Regelungsbereich anderer straf-, urheber- oder arbeitsrechtlicher Regelungen betreffen, die ein Unternehmen zusätzlich beachten sollte. Bereits die fahrlässige Nichterfüllung der gesetzlichen Vorgaben kann zu Bußgeldern für Unternehmen und Management sowie empfindlichen Schadenersatzzahlungen führen.
Dem kann das Unternehmen allerdings gut durch entsprechende technische Vorkehrungen sowie verbindliche Handlungsanweisungen an die Mitarbeiter begegnen. Das können beispielsweise klare Absprachen für die Nutzung des Gerätes bei Dienstreisen ins Ausland sein. Auch um dem Zugriff ausländischer Staatsstellen vorzubeugen. Denn die Forderungen einzelner Länder an das Mitlesen von verschlüsselten Emails, die über Smartphones verschickt werden, sind exemplarisch. Ob und in welchem Umfang zudem aus lizenzrechtlichen Gründen Handlungsanweisungen erforderlich sind, müssen Unternehmen im Einzelfall prüfen, um Rechtsverletzungen zu Lasten von Softwareherstellern zu begegnen, die vom Unternehmen auf privaten Geräten installiert werden.
3. Die Sache mit der Haftung bei Datenverlust
Sind auf privaten Mobilgeräten Unternehmensdaten gespeichert, kann der Arbeitgeber im Fall des Datenverlustes den Arbeitnehmer haftbar machen, wenn der Arbeitnehmer den Verlust verschuldet hat. Zugunsten des Arbeitnehmers – auch das leitenden Angestellten – gilt ein Haftungsprivileg, da die Nutzung des privaten Devices im Interesse des Unternehmens liegt. Entsprechend haftet der Arbeitnehmer nur für vorsätzlich beziehungsweise durch grobe oder mittlere Fahrlässigkeit verursachten Datenverlust ganz oder anteilig. Das gilt unabhängig davon, ob der Verlust von Unternehmensdaten unmittelbar im Zusammenhang mit der Nutzung des privaten Devices für Arbeitszwecke eintritt oder im Rahmen der privaten Nutzung. Ausgenommen davon sind Vorstände und die Geschäftsführung, die für jeden vorsätzlich oder fahrlässig verursachten Datenverlust haften.
4. Private E-Mails einsehen
Möchte der Arbeitgeber private E-Mails des Mitarbeiters einsehen, gilt: Zu Gunsten des Arbeitnehmers gilt das Fernmeldegeheimnis und zwar auch, wenn private Emails auf Unternehmensservern gespeichert und mit geschäftlichen Emails vermischt sind. Will der Arbeitgeber private Emails einsehen, muss der Mitarbeiter dem erst zustimmen. Die rechtliche Zulässigkeit einer solchen Einwilligung wird überwiegend verneint. Entsprechend sind private Emails für den Arbeitgeber tabu. Als Ausweg bleibt eine klare Trennung von geschäftlichen und privaten Emails und zwar unabhängig davon, wo diese gespeichert sind – auf dem privaten Device oder auf dem Unternehmensserver.
5. Kündigung: Unternehmensdaten gehören dem Unternehmen
Unternehmensdaten gehören dem Unternehmen. Entsprechend muss der Mitarbeiter die Daten dem Unternehmen bei Beendigung des Arbeitsverhältnisses herausgeben beziehungsweise auf seinem mobilen Gerät löschen. Diese arbeitsvertragliche Pflicht wird datenschutzrechtlich durch eine zwingende gesetzliche Löschungsverpflichtung ergänzt.