Bring your own Device – BYOD im Arbeitsrecht

Grundsätzliches zum Thema „Bring your own Device“ (BYOD)

Bring your own device („BYOD“): Grundsätzlich ist dazu zu raten, mit den Mitarbeitern eine ausdrückliche, schriftliche Nutzungsvereinbarung zu treffen, die in jedem Einzelfall – etwa bei Übergabe des konkreten Geräts – von dem Mitarbeiter abgezeichnet wird. Hier ist daran zu denken, klar zu stellen, dass es sich bei der Überlassung des Endgeräts bzw. der Zulassung der Nutzung privater IT im betrieblichen um eine rein freiwillige Leistung handelt, die an den Abschluss einer Nutzungsvereinbarung gebunden ist und jederzeit mit einer angemessenen Frist gekündigt werden kann. Andernfalls besteht das Risiko, dass irgendwann ein sich hier auf eine betriebliche Übung berufen kann.

Soweit die Nutzung eines privaten Endgerätes eines Arbeitnehmers im Raum steht ist dann jedenfalls zwingend daran zu denken, dass jeglicher Zugriff oder gar die Benutzung durch Dritte vertraglich untersagt sein muss. Dies aus mehreren Gründen, etwa weil sonst eine möglicherweise unzulässige Übermittlung von personenbezogenen Daten Dritter vorliegt, aber auch weil auszuschließen ist, dass Dritte irgendwie Zugriff oder Kenntnis auf bzw. von unternehmensinternen Daten erhalten.

Wenn eine spezielle Software zum Einsatz kommen soll, die bestimmte Bereiche des Handys absichert, etwa durch eine Verschlüsselung, so muss der Einsatz dieser Software vertraglich als zwingende Voraussetzung vorgesehen sein.

Bring your own device: Kosten bei BYOD

Auf keinen Fall sollte man vergessen, die Kostenregelung beim „Bring your own device“ eindeutig zu klären. Wenn etwa ein privates Endgerät genutzt wird könnte es eine Lösung sein, dass Voraussetzung einer Nutzungsvereinbarung ist, dass der Arbeitnehmer eine Flatrate gebucht hat, so das etwa dienstlich veranlasste Telefonate oder Datenübermittlungen nicht zu Kostenstreitpunkten führen können. An diesen Kosten für eine solche Flatrate könnte sich dann der Arbeitgeber mit einer angemessenen Teilzahlung beteiligen. Durchaus denkbar wäre es natürlich auch, dass sämtliche Kosten im Einzelfall von dem Arbeitnehmer aufgeschlüsselt werden und die dienstlich veranlassten Kosten dann durch den Arbeitgeber erstattet werden, dieser Arbeitsaufwand dürfte aber sehr schnell das Verlassen, was im Alltag praktikabel ist. Nach meiner Einschätzung wird es am sinnvollsten sein, dass das Kostenrisiko durch eine Flatrate bereits begrenzt wird und hieran dann eine angemessene Teilzahlung geleistet wird damit man keine Übervorteilung des Arbeitnehmers vorwerfen kann.

An dieser Stelle möchte ich auch kurz erwähnen, warum ich schon weiter oben angesprochen habe, dass die Möglichkeit der Kündigung vorgesehen ist, nicht aber thematisiert habe, dass ein jederzeitiger Widerruf möglich sein soll: möglicherweise trifft der Arbeitnehmer bereits eigene Dispositionen, etwa bei der Nutzung eines privaten Endgerät dahingehend, dass ein bestimmter Mobilfunk Tarif gewählt wird, der sonst nicht ausgewählt worden wäre. Macht insoweit Sinn, dass man sich zwar einen Widerrufs-oder Änderungsvorbehalt ausbedingt, hierbei dann aber entsprechende Fristen vorsieht, die Übergangszeiten ermöglichen, damit man sich nicht dem Vorwurf ausgesetzt sieht, keine Rücksicht auf die Dispositionen des Arbeitnehmers genommen zu haben. Es ist an dieser Stelle immer daran zu denken, dass ein gewisser Fairnessausgleich auf beiden Seiten stattfinden muss.

„Bring your own device“: Arbeitsrechtliches zu BYOD

Im Hinblick auf arbeitsrechtliche Regelungen ist zuvorderst klarzustellen, dass regelmäßig davon auszugehen sein wird, dass der Betriebsrat bei der gesamten Thematik „Bring your own device“ ein Mitbestimmungsrecht haben dürfte. Ob diesen konkret vorliegt und in welchem Umfang es besteht hängt sehr stark an den konkreten Fragen des Einzelfalls, grundsätzlich ist aber schon jetzt darauf hinzuweisen, dass man immer an ein solches Mitbestimmungsrecht denken wird.

Insbesondere bei folgenden Themen ist an ein solches Mitbestimmungsrecht zu denken: bei der Einrichtung und Ausgestaltung der Überwachung von Endgeräten, Zeitpunkt und Zeitraum der Einführung des BYOD und auch die Regelung der Art und Weise der Nutzung, etwa wenn im Ausland ein bestimmtes Nutzungsverhalten untersagt sein soll oder wenn Vorgaben gemacht werden sollen hinsichtlich der Frequenz des Abrufen von Nachrichten, etwa während Dienstreisen.

Eine schnell aus den Augen verlorene Thematik ist die Regelung der : Es liegt in der Natur der Sache, dass das Endgerät über die normale Arbeitszeit hinaus genutzt wird. Der Arbeitnehmer sollte insoweit angehalten werden, von sich aus darauf zu achten dass keine Überschreitung der arbeitszeitkleinsten Eintritt. Es kann auch sinnvoll sein, zu regeln, dass eine Überstundenvergütung nur dann anfällt, wenn über das Endgerät eine dienstbezogene Tätigkeit über die normale Arbeitszeit hinaus stattfindet, soweit dies vom Arbeitgeber auch veranlasst wurde bzw. angeordnet wurde.

Beendigungsszenario bei BYOD regeln

Ausdrücklich geregelt sollte auch sein, unter welchen Umständen die gesamte Regelung zum „Bring your own device“ ihr Ende findet. So könnte ein Kündigungsrecht vorgesehen sein oder direkt die gesamte Regelung von vornherein nur befristet zur Anwendung gelangen. Ein eindeutiger Kündigungsgrund sollte dabei sein, dass sich der Arbeitnehmer nicht an die getroffene Regelung hält, da in einem solchen Fall zur Vermeidung von Datenschutzverstößen dem Arbeitgeber die Möglichkeit der zeitnahen Beendigung der Vereinbarung offen stehen sollte.

Zustimmung zur Speicherung von Daten bei BYOD

Jedenfalls bei privaten Endgeräten ist daran zu denken, dass dieses im Eigentum des Arbeitnehmers steht und dann der Speicherung betrieblicher Daten hier eine eigene Relevanz zukommt. Hintergrund ist, dass jede Speicherung bereits eine darstellt, die ohne Einwilligung zumindest theoretisch bereits einen Straftatbestand (§303a StGB) darstellen könnte. Vor dem Hintergrund macht es Sinn, nochmals ausdrücklich die Zustimmung zur Speicherung von betrieblichen Daten einzuholen und dabei zugleich verständlich und durchaus detailliert klarzustellen, in welcher Form und gegebenenfalls mit welcher Software die entsprechenden Daten wo in dem Endgerät gespeichert werden.

Eine zu pauschale Zustimmung dagegen, die ins Blaue hinein erklärt wird ohne dass die technischen Hintergründe zumindest nachvollziehbar dargestellt sind, könnte schnell als unwirksam zu betrachten sein. Diese ausdrückliche Zustimmung ist dann selbst verständlich auch notwendig, wenn zur Installation entsprechender Software eine wenn auch nur kurzzeitige Überlassung des Endgerätes an den Arbeitgeber notwendig sein sollte.

Bring your own Device - BYOD im Arbeitsrecht - Rechtsanwalt Ferner
Quelle: NCSC,  Contains public sector information licensed under the Open Government Licence v3.0., http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/

BYOD: Mobile Device Management (MDM)

Es besteht im Bereich des „Bring your own device“ regelmäßig ein Bedarf nach einem sogenannten MDM. Dies ist aus Sicht des Arbeitgebers nicht nur nachzuvollziehen, sondern drängt sich geradezu auf. die Thematik ist allerdings äußerst sensibel und darf auf gar keinen Fall unterschätzt werden.

Sollten sich auf dem Endgerät gar keine privaten Daten befinden oder sollten private Daten und betriebliche Daten stringent getrennt sein und ein Zugriff auf die privaten Daten von vornherein ausgeschlossen sein, wäre dies die aus meiner Sicht sicherste Lösung und auch in jedem Fall anzustreben.

In jedem anderen Fall besteht die zumindest theoretische Möglichkeit des Zugriffs auf private Daten oder es muss sogar auf diese zugegriffen werden, alleine um sodann überhaupt erst die Unterscheidung zwischen privaten und betrieblichen Daten vornehmen zu können. Hier kann zwar durchaus auch mit einer Einwilligung bzw. Zustimmung gearbeitet werden, diese stößt aber sehr schnell an ihre Grenzen, wenn man nur alleine schon daran denkt, dass einem Arbeitnehmer vielleicht die Nutzung privater Mails erlaubt ist und im Zuge dessen dann Zugriff auf die Mails von Dritten auf dem Handy des Arbeitnehmers stattfindet. Aus meiner Sicht wäre ein derart problematisches Szenario im Idealfall immer zu vermeiden. Ich möchte dies an dieser Stelle nicht über Gebühr vertiefen, es sei aber grundsätzlich darauf hingewiesen, dass es für Arbeitgeber generell der einfachste Weg ist, die private Nutzung von E-Mails generell zu untersagen.

Am Rande sei an dieser Stelle darauf hingewiesen, dass in dem Fall, in dem eine SIM-karte nicht durch den Arbeitnehmer erworben wird, sondern durch den Arbeitgeber zur Verfügung gestellt wird, der Arbeitgeber dann als Telekommunikationsanbieter einzustufen wäre, was weitere Pflichten nach sich zieht. Da dies derzeit wohl nicht angedacht ist möchte ich dies an dieser Stelle nicht vertiefen, im konkreten Einzelfall sollte dies allerdings vertieft geklärt werden.

Ebenfalls vertraglich regeln sollte man, wie eine Löschung von Daten zu erfolgen hat. Dies sollte in der Nutzungsvereinbarung von Anfang an klar geregelt sein, wobei aus meiner Sicht in erster Linie immer zwei Wege in Betracht kommen: Entweder das Endgerät muss ausgehändigt werden damit es dann untersucht und entsprechende Daten gelöscht werden oder es ist eine Software mit einem Zugang von außen vorgesehen, über die der Arbeitgeber Löschungen vornehmen kann. Im einfachsten Fall ist auch hier wieder sichergestellt, dass in einem eigenen Bereich die Speicherung der Daten stattfindet, so das von Anfang an vertraglich nur das Löschen dieses Bereichs vorgesehen ist und der Zugangsweg klar in dem Sinne vereinbart ist, dass der Mitarbeiter Sorge zu tragen hat, dass der Zugang zum Endgerät durch den Arbeitgeber sichergestellt ist. Eine mangelnde vertragliche Vereinbarung hat gleich zwei schwerwiegende Konsequenzen: zum einen sind sie schon datenschutzrechtlich dazu verpflichtet, dafür Sorge zu tragen, dass erhobene Daten dann gelöscht werden, wenn sie nicht mehr benötigt werden. Damit ist zugleich auch sichergestellt, dass nicht dritte unberechtigt Kenntnis von diesen Daten erlangen und bei Ihnen möglicherweise irgendwelche Meldepflichten ausgelöst werden. Auf der anderen Seite ist das rechtswidrige Löschen von Daten in fremden Systemen eine eindeutige Straftat, wobei sich bei geeigneter Zustimmung die strafrechtliche Relevanz verhindern lässt. Gleich im mehrfachen Sinn liegt bis dahin ihrem Interesse, diesen Aspekt ausdrücklich und abschließend zu regeln.

Sicherung des eigenen Endgerätes im Rahmen des BYOD

Dem Arbeitnehmer sollten in der vertraglichen Vereinbarung grundsätzliche Pflichten auferlegt werden, wie das Endgerät zu sichern ist. Dies beginnt bei Standardmaßnahmen wie etwa einem Passwortschutz um auf das Gerät zuzugreifen, geht über allgemeine Hinweise zur Aufbewahrung des Gerätes bis hin zu Untersagung bestimmter Dienste, wie etwa international zugänglicher Cloud-Lösungen, bei denen der Ort der Speicherung der Daten nicht hinreichend sicher gestellt ist. Zu denken ist auch daran, dass beispielsweise auf mobilen Endgeräten die Installation bestimmter Apps untersagt wird, dies kann auch in der Form geschehen, dass bestimmte Kategorien von Apps, umschrieben durch eine Funktionsbeschreibung, untersagt werden.

Meldepflichten des Arbeitnehmers regeln

In der Nutzungsvereinbarung sollte in jedem Fall geregelt sein, welche Meldepflichten den Arbeitnehmer treffen. So sollte er in jedem Fall dazu angehalten sein, zwingend und unverzüglich den Verlust des gesamten Endgerätes dem Arbeitgeber melden zu müssen. Auch darüber hinaus könnten Meldepflichten sinnvoll sein, etwa wenn der Arbeitnehmer feststellt, dass bestimmte und in der Nutzungsvereinbarung notwendig vorgesehene Dienste nicht oder nicht zuverlässig arbeiten.

BYOD: Haftung bei Verlust des Endgerätes

Abschließend ist daran zu erinnern, dass absehbar gerade bei einer hohen Anzahl von Mitarbeitern hin und wieder der Fall auftreten wird, dass ein Endgerät verloren geht, beschädigt wird oder gar zerstört wird. Diese Thematik wird unliebsam sein, sollte aber in jedem Fall zwingend zwischen Arbeitgeber und Arbeitnehmer mit klaren Kriterien wer unter welchen Umständen für den Schaden einzustehen hat, im Rahmen des „Bring your own device“ geregelt sein.

Ich möchte, unter Rückgriff auf die Rechtsprechung zur Nutzung eines Dienst-PKW bzw. eines vom Arbeitgeber auch für private Zwecke überlassenen PKW, die sich insoweit aus meiner Sicht ergebende Rechtsprechung sehr kurz wie folgt zusammenfassen: wenn der Verlust durch Einwirkung des Arbeitgebers entstanden ist oder im Rahmen betrieblicher Veranlassung auftritt, wird man grundsätzlich von einer Haftung des Arbeitgebers ausgehen können. Wenn dagegen alleine das allgemeine Lebensrisiko des Arbeitnehmers Ursache war dürfte von keiner Haftung des Arbeitgebers auszugehen sein. Bei der Bemessung der Risikosphären sollte man nicht alleine darauf abstellen, ob ein Verlust oder Ähnliches während der Arbeitszeit aufgetreten ist, sondern es ist schon konkret zu prüfen, ob es sich im Rahmen betrieblicher Veranlassung ereignet hat. In jedem Fall sollte die Arbeitgeberhaftung für solche Fälle dann ausgeschlossen sein, wenn Verlust oder Ähnliches durch den Arbeitnehmer durch grobe Fahrlässigkeit oder Vorsatz herbeigeführt wurden.

Eine Klausel zur Haftung in diesen Fällen sollte sich an diesen Grundsätzen orientieren. Wenn man eine pauschale Lösung sucht dürfte es vertraglich wohl ohne Bedenken sein, wenn der Arbeitgeber dem Arbeitnehmer gegenüber erklärt, bei Verlust etc. grundsätzlich für eine Ersatzbeschaffung einzustehen. Hierbei sollte gleichwohl allerdings schon aus Gründen der Fairness zumindest der Vorsatz, wenn nicht auch die grobe Fahrlässigkeit, ausgeschlossen sein. Andersherum ist es eher schwierig bis ausgeschlossen, dem Arbeitnehmer pauschal das gesamte Risiko eines Verlustes etc. aufzubürden. Aus meiner Sicht wäre dies allenfalls dann denkbar, wenn dem Arbeitnehmer hierbei eine Risikozulage oder ähnliches zugewendet wird.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht. Beachten Sie unsere Tätigkeit im Steuerstrafrecht, digitaler gewerblicher Rechtsschutz, IT-Sicherheitsrecht sowie Softwarerecht.