BYOD und rechtliche Aspekte
Die “Bring your own Device” (BYOD)-Bewegung hält unaufhaltsam Einzug ins Unternehmen und ist scheinbar nicht mehr aufzuhalten. Das wirft eine ganze Menge rechtlicher Fragen auf. Dr. Thomas Jansen von der Wirtschaftskanzlei DLA Piper hat einige wichtige rechtliche Bereiche näher beleuchtet.
Der “BYOD”-Ansatz wird derzeit in einer sehr jungen Phase diskutiert und es fehlen belastbare Erfahrungswerte. Viele dieser Fragen drehen sich um die verbesserte Wirtschaftlichkeit durch Kostenreduktion, wenn jeder sein Endgerät im Unternehmen einsetzt und sich auch künftig selbst noch um den Support kümmern will. Einen dominanten Part spielen auch die technischen Fragen der Umsetzung aus der IT-Organisation. Zur kaufmännischen und IT-spezifischen Perspektive gehören aber auch die rechtlichen Gestaltungsmöglichkeiten und Einschränkungen.
Soviel vorweg: es gibt dafür keine wirkliche gesetzliche Grundlage, daher verwundert auch nicht die große Rechtsunsicherheit in den Unternehmen. Dennoch beinhaltet die Einführung des “Bring your own device”-Ansatzes einige wichtige rechtliche Bereiche, die hier näher beleuchtet werden.
Ein geldwerter Vorteil
Schon bei der Anschaffung der Geräte, muss man sich die Frage stellen, wer welche Leistung oder welchen Service bezahlen soll. Das gilt zwar in erster Linie für Geräte und Support, beinhaltet aber auch einen Webzugang. Für welche Teile des Endgerätes oder der Software ist dann der Mitarbeiter oder das Unternehmen verantwortlich? Denn während normalerweise die Unternehmen die Betriebsmittel kostenfrei zur Verfügung stellen müssen, sind sie bei BYOD dazu nicht verpflichtet. Den Unternehmen steht es frei, den Kauf privater Geräte zu bezuschussen oder auf einen finanziellen Ausgleich zu verzichten.
Je nach einer solchen Entscheidung muss man steuerrechtliche Aspekte beachten. Gewährt das Unternehmen beispielsweise einen Zuschuss, muss man sich vergewissern, ob ein einmaliger Ausgleich oder ein Zuschuss in Raten steuerliche Vorteile für das Unternehmen bringt. Der Mitarbeiter muss für sich klären, inwieweit der Zuschuss als geldwerter Vorteil zu versteuern ist und ob der privat finanzierte Teil der Kosten des Gerätes sogar als Werbekosten geltend gemacht werden kann.
Meins oder Seins
Weiterhin müssen Unternehmen und Mitarbeiter die Eigentumsverhältnisse sauber klären. Was bisher Eigentum des Unternehmens war, befindet sich nun außerhalb ihres Verantwortungsbereichs. Regelungsbedarf besteht für ein Unternehmen aber für den Fall, dass das Endgerät bezuschusst wurde und das Arbeitsverhältnis vorzeitig beendet wird. Wurde ein Zuschuss gewährt, geht es darum, wie die Raten zurückgezahlt werden sollen. Zur Software, die dem Mitarbeiter gehört, sollte unbedingt bereits im Vorfeld eine Regelung getroffen werden.
Und wer haftet für Verlust oder Missbrauch?
Wer das Endgerät des Unternehmens verliert, es missbraucht oder beschädigt oder gar manipuliert, muss mit Haftung rechnen. Bisher war meist immer das Unternehmen zuständig, wenn ein Gerät verloren wurde. Das ist anders, wenn es dem Mitarbeiter gehört. Er muss dafür Sorge tragen, dass es pfleglich behandelt wird und sicher ist. Um hier schon möglichst früh späteren Konflikten aus dem Weg zu gehen, muss im Vorfeld festgelegt werden, wer haftet. Hierbei sollte genau abgesprochen werden, wie die Wartung und Reparatur durchzuführen ist, ob und auf welchem Wege vom Arbeitgeber Ersatz beschafft werden muss und ob eventuell Leihgeräte für die Ausfallzeit bereitgehalten werden.
Riskant: Datenschutz und Datensicherheit
Handelt es sich um einen privaten Rechner, wird wahrscheinlich nicht nur der Mitarbeiter sein Reporting darüber machen, sondern die Tochter wird dort eventuell auch ihre Hausaufgaben erledigen. Erhöhtes Risiko also von Viren, Datenverlust und Zugriffen unternehmensfremder Personen. Daher der Rat: besser Firmen- und private Daten trennen. Das besagt auch die Bestimmung der IT-Compliance. Dennoch muss für das Unternehmen jederzeit die Möglichkeit bestehen, auf unternehmenswichtige Daten zugreifen zu können. Hierbei begrenzt das Bundesdatenschutzgesetz die Einsichtsrechte. Die privaten Daten des Mitarbeiters darf das Unternehmen nicht bearbeiten. In diesem Zusammenhang ist zu empfehlen, dass keine Firmendaten auf dem Gerät lokal gespeichert werden. Bessere Möglichkeiten bieten virtuelle, mobile oder webbasierte Anwendungen auf zentralen Servern. Damit würde auch ein weitgehender Schutz der Daten vor Viren und unerlaubter Zugriff erreicht. Im Falle eines Diebstahls befinden sich auf dem Gerät keine Daten für deren Verlust das Unternehmen haften könnte. Sollte eine temporäre Speicherung von Firmendaten dennoch notwendig sein, wäre eine Verschlüsselung sinnvoll. Zusätzlich sollte das Unternehmen Regelungen aufstellen, die festlegen, welche Daten auf das private Gerät geladen und wie diese Daten eingesetzt werden dürfen.