Bring Your Own Device

Das Arbeiten zu Zeiten von Corona im Home Office lässt einen Evergreen der Unternehmens-IT wieder erblühen: Bring Your Own Device. Wollen Unternehmen eine Tätigkeit im Home Office schnell umsetzen bleibt ihnen oft keine andere Wahl, als Arbeitnehmern zu erlauben, sich mit dem privaten Computer in das Unternehmensnetzwerk einzuloggen. Private Computer, die sich nicht frei von der Unternehmens-IT administrieren lassen, bereiten IT-Administratoren gerne graue Haare. Eine gute Gelegenheit also, um noch einmal die Chancen und Risiken eines BYOD aus tatsächlicher und rechtlicher Sicht zu beleuchten.

Begriffsbestimmung: BYOD, CYOD, COPE?

Der Vollständigkeit halber soll kurz erwähnt werden, dass BYOD nicht das einzige Modell darstellt, einem Arbeitnehmer zu ermöglichen, sein persönliches IT-Werkzeug zu wählen. Grundsätzlich unterscheiden wir hierzu zwischen drei Modellen:

Beim BYOD (Bring Your Own Device) im engeren Sinn steht das vom Arbeitnehmer zu verwendende Gerät (PC, Laptop oder Mobiltelefon) von vornherein im Eigentum des Arbeitnehmers und wird von diesem grundsätzlich privat genutzt. Der Arbeitgeber gewährt jedoch über dieses Gerät Zugriff auf Unternehmensdaten und die eigene Infrastruktur.

Bei CYOD (Choose Your Own Device) handelt es sich sozusagen um den IT-technischen "Dienstwagen": Der Arbeitnehmer wählt ein Gerät aus, das das Unternehmen ihm vor-konfiguriert und mit Sicherungssystemen sodann auch zur privaten Nutzung zur Verfügung stellt. Das Gerät befindet sich im Eigentum des Unternehmens.

COPE (Corporate Owned Personally Enabled) schließlich ist eine Variante des CYOD, bei der das Unternehmen auch die Geräteklasse verbindlich vorgibt, um Wartungs- und Synchronisierungsaufwand möglichst gering zu halten. Aus IT-Sicht stellt BYOD große Herausforderungen an den Systemadministrator bei der Herstellung einer einheitlichen und konsistenten Systemsicherheit.

Da sowohl bei CYOD als auch bei COPE das Eigentum am oder zumindest die Verfügungsmacht über das Gerät eindeutig beim Unternehmen liegt, beurteilen sich die allg. Risikofaktoren unterschiedlich zum BYOD im engeren Sinn. Nachfolgend wollen wir die bei der Umsetzung eines BYOD zu berücksichtigenden Punkte exemplarisch beleuchten.

Administration

Möchte man nun zur schnellen Umsetzung eines Home Office Umfeldes auf die IT-Infrastruktur der Arbeitnehmer zurückgreifen und im Unternehmen BYOD einführen, ist – unabhängig von der Größe des Unternehmens – die Erstellung und Verwendung einer BYOD-Policy ein Muss. Aufgrund der mit BYOD verbundenen tatsächlichen und rechtlichen Risiken, braucht es eine konsistente Administration, die nur aufgrund einer vertraglichen Grundlage konsequent umgesetzt werden kann. Sofern im Unternehmen ein Betriebsrat besteht, sind bei bestimmten Ausgestaltungen von BYOD-Policies entsprechende Betriebsvereinbarungen erforderlich.

Risiken und Nebenwirkungen

Sofern man neben den tatsächlichen Risiken auch die rechtlichen Anforderungen als Risiko begreift, sind die mit der Einführung von BYOD verbundenen Risiken nicht unbeachtlich.

Tatsächliche Risiken

Die tatsächlichen Risiken betreffen im Wesentlichen die IT-Administration, IT-Sicherheit und den Schutz von Betriebsgeheimnissen. Beispielshaft sollte man sich die folgenden Punkte vergegenwärtigen:

• Schwierigkeit der einheitlichen IT-Administration durch Verwendung von Endgeräten mit unterschiedlichen Betriebssystemen
• damit einhergehend Schwierigkeiten bei der Herstellung der IT-Sicherheit
• unbefugter Zugriff auf Unternehmensdaten (z. B. Tochter, die Papas Handy verwendet)
• höhere Virenanfälligkeit bei schlecht geschützten Endgeräten
• Schutz von Betriebsgeheimnissen, wenn Arbeitnehmer das Unternehmen wechselt (und sein eigenes Gerät behält)
• Datenschutzprobleme, wenn Arbeitnehmer sein Endgerät über eine Cloud in einem Drittland sichert, das über kein angemessenes Datenschutzniveau verfügt
• tatsächlicher Verlust von Kontrolle über Unternehmensdaten (und deren Geheimhaltung) durch privat erstellte Back-Ups bei Cloud-Anbietern

Die Punkte sind nicht theoretischer Natur: es passiert, dass der neue Arbeitnehmer seine Tätigkeit unter Verwendung seines BYOD-Gerät beim neuen Arbeitgeber antritt und der Kollege sodann merkt, dass der "Neue" nicht nur auf die Daten und Dateien sondern sogar nach wie vor auf die auf dem BYOD-Gerät installierte Software des alten Arbeitgebers zurückgreift.

Rechtliche Anforderungen

Die rechtlichen Anforderungen können je nach Art des Unternehmens und dem Umfang des unternehmerseitigen Zugriffs auf das private mitgebrachte eigene Endgerät erheblich sein, und sind keinesfalls auf die DSGVO beschränkt. So ist daran zu denken, dass die Einführung von BYOD mitbestimmungspflichtig sein und eine Betriebsvereinbarung erforderlich machen kann. Ferner sind die weiter unten aufgezeigten datenschutzrechtlichen Punkte zu beachten.

Sofern auf ein BYOD-Geräte Applikationen zum unternehmensseitigen Zugriff installiert werden, sind die folgenden risikoträchtigen rechtlichen Gesichtspunkte zu beachten:

• Schutz des Fernmeldegeheimnisses (Art. 10 GG): Das Unternehmen darf sich keine Kenntnis vom Inhalt der Emails und Telefongespräche auf dem BYOD-Gerät verschaffen.
• Private Nutzungsvorgänge (z. B. Surfen auf dubiosen virenträchtigen Internetseiten) dürfen nicht überwacht werden.
• Risiko der Strafbarkeit nach § 302a StGB und ggf. nach § 206 StGB, wenn Unternehmen per Fernzugriff sämtliche Daten d. h. auch private Daten auf BYOD-Gerät per Fernzugriff ohne Einwilligung des Arbeitnehmers löschen können.
• Risiko der Strafbarkeit nach § 202a StGB, wenn Unternehmen den Passwortschutz des Arbeitnehmers auf BYOD-Gerät überwinden.
• Vom Arbeitnehmer erworbene Lizenzen für die private Nutzung von Software-Applikationen auf BYOD-Geräten decken ggf. nicht die berufliche Nutzung oder die Nutzung für das Unternehmen.
• Es kann eine Verpflichtung des Unternehmens zum Schadensersatz bestehen, wenn ein BYOD-Gerät bei betrieblich veranlasster Nutzung verloren geht oder beschädigt wird.
• Auch sind arbeitsschutzrechtliche Fragen zu bedenken, insb. wenn Arbeitnehmer durch die Verwendung eines BYOD-Geräts ständig erreichbar sind (z. B. Frage, ob dies arbeitsrechtlich als Rufbereitschaft zu werten ist).

Maßnahmen

Zum Schutz der Unternehmens-IT erfolgt die IT-Administration von BYOD-Geräten oft über eine Mobile Device Management Software (MDM-Tool), die auf dem BYOD-Gerät installiert wird und es ermöglicht, das Gerät zentral zu steuern und technisch abzusichern. Ferner sollte in jedem Fall an eine sorgfältige Trennung von privaten und dienstlichen Daten auf dem BYOD-Gerät gedacht werden. Das ermöglichen sog. "Container-Apps" mit deren Hilfe private und dienstliche Daten dergestalt auf dem BYOD-Gerät getrennt werden, dass die dienstlichen Daten wie in einem Container eingeschlossen werden und verschlüsselt über einen Web-Dienst durch das Unternehmen administriert werden können.

Über diese Tools kann es jedoch möglich sein, das Nutzungsverhalten des Arbeitnehmers genau nachzuvollziehen. Hier ist deshalb an die Mitbestimmungspflicht zu denken. Ferner sollte man bei Art und Umfang der Nutzung dieser Apps an die oben genannten Strafbarkeitsrisiken und die unten genannten datenschutzrechtlichen Vorgaben denken.

Man kann natürlich auch reine Terminal-Zugriffe einrichten, bei denen keine Daten auf dem BYOD-Gerät verarbeitet werden, und die kein Herunterladen von Unternehmensinformationen erlauben. Dann befinden sich keine Daten auf dem Gerät, auf die unbefugt zugegriffen werden kann oder die verloren gehen können. In diesem Fall besteht auch keine unmittelbare Notwendigkeit zur Herausgabe des Geräts an das Unternehmen (z. B. beim Arbeitsplatzwechsel), da das Unternehmen den Terminal-Zugriff auf das System jederzeit sperren kann, ohne physisch auf das Gerät zugreifen zu müssen. Ob die Verwendung eines BYOD-Geräts ohne lokale Speichermöglichkeit sinnvoll ist, muss jedes Unternehmen individuell entscheiden.

Versuche, diese Punkte durch entsprechende Regelungen in BYOD-Policies in den Griff zu bekommen, müssen AGB-fest ausgestaltet sein, was die Regelungsflexibilität etwas einschränken kann.

Unternehmen sollten in jedem Fall eine Vermischung von privaten und geschäftlichen Daten auf dem Gerät ausschließen und Situationen vermeiden, die rechtliche als Zurverfügungstellung von Geräten und IT-Infrastruktur gewertet werden können, um nicht zum Telekommunikationsprovider zu werden.

Datenschutz

Es ist durchaus möglich, eine BYOD-Policy datenschutzrechtlich konform auszugestalten. Die folgenden datenschutzrechtlichen Verantwortungen kann das Unternehmen dadurch jedoch nicht ausschließen:

• Im Rahmen der dienstlichen Verarbeitung von personenbezogenen Daten durch den Arbeitnehmer bleibt das Unternehmen verantwortliche Stelle.
• Das Unternehmen muss die nach der DSGVO geforderten technischen und organisatorischen Maßnahmen durch entsprechende Konfiguration des BYOD-Geräts sicherstellen.
• Verliert der Arbeitnehmer den Zugriff auf das Gerät und somit auf dort gespeicherte unternehmensbezogene personenbezogene Daten, besteht eine Informationspflicht gegenüber den Behörden und den Betroffenen.

Zur Herstellung einer DSGVO-Konformität, sollte eine BYOD-Policy insbesondere Regelungen zu den folgenden Punkten enthalten:

• den vorgesehenen technischen und organisatorischen Maßnahmen (Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Verfügbarkeitskontrolle, Verschlüsselung, Trennung von dienstlichen und privaten Daten)
• Einwilligung zu Einsichts- und Kontrollmöglichkeiten des Unternehmens
• Sicherstellung der Vertraulichkeit privat geführter Telefonate oder Kommunikation
• Benachrichtigungspflichten bei Diebstahl oder anderweitige Verlust des Zugriffs auf das Gerät
• Einwilligung zu Herausgabe und Zugriffsrechten zwecks Deinstallation und Löschung von dienstlichen Daten.

Zwar kann die Nutzung eines BYOD-Geräts zur schnellen Umstellung auf eine Home Office-Tätigkeit zunächst dienlich sein, jedoch sollten die damit verbundenen rechtlichen Aspekte nicht vergessen werden. Sofern BYOD als Maßnahme zur Ermöglichung der Arbeit aus dem Home Office heraus gewählt wird, sollten darüber hinaus die arbeitsschutzrechtlichen Vorschriften zur Ausgestaltung des häuslichen Arbeitsplatzes nicht vergessen werden.