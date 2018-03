07.03.2018

Bring Your Own Device Private Smartphones und Computer für die Arbeit nutzen

Nutzen Mitarbeiter ihre privaten Endgeräte im Betrieb, spart das auf den ersten Blick Kosten, kann am Ende aber kompliziert und teuer werden. Es gibt jedoch Alternativen.

Von Steffen Guthardt

Mit Containern können private und geschäftliche Daten auf dem Smartphone getrennt werden. - © sdecoret - Fotolia.com

Die Vorstellung klingt für beide Seiten verlockend: Der Arbeitgeber spart sich die Kosten für Anschaffung und Wartung von Computern und Smartphones und erlaubt den Mitarbeitern, ihre privaten Geräte für die Arbeit zu nutzen. Die Mitarbeiter haben wiederum den Vorteil, nicht mehr verschiedene Geräte für Beruf und Privatleben mit sich herumtragen zu müssen und sind mit der genutzten Technik bestens vertraut.

Bring Your Own Device (BYOD) lautet der Fachbegriff für die Nutzung privater Endgeräte für berufliche Zwecke. Ein Trend, der sich in vielen Ländern der Welt bereits in der Arbeitswelt verbreitet hat, wie Juliane Petrich, Leiterin Bildung beim Digitalverband Bitkom, weiß.

"Die Anzahl der Arbeitnehmer, die ihre Smartphones oder Tablets für berufliche Zwecke nutzen, ist in den vergangenen Jahren kontinuierlich angestiegen. In Asien – vor allem in Südkorea und Singapur – ist es mittlerweile Alltag", sagt Petrich.

In Deutschland kaum genutzt

Doch nicht überall hat sich das Modell durchgesetzt. "In den USA war BYOD ein Top-Thema, ebbt aber seit 2015 wieder ab. Und in Deutschland herrscht bei dem Thema grundsätzlich eher Zurückhaltung", so Petrich. Den Eindruck stützt der aktuelle Digital-Index 2017, der den Digitalisierungsgrad der Arbeitswelt misst. Demnach darf nur jeder 100. Arbeitnehmer sein eigenes Gerät im Betrieb nutzen.

"BYOD bleibt trotz Datenschutzgrundverodnung eine vertretbare Lösung" Dr. Hauke Hansen ist Fachanwalt für IT-Recht in der Kanzlei FPS in Frankfurt am Main. DHZ: Herr Hansen, kann BYOD mit Blick auf die neue Datenschutzgrundverordnung ab Mai 2018 überhaupt noch empfohlen werden? Hansen: Das BYOD-Modell bleibt für Unternehmen, die hohe Anschaffungskosten scheuen, auch nach Inkrafttreten der DS-GVO eine vertretbare Lösung, da BYOD nicht weiter eingeschränkt wird. Dis bisherigen Hürden bleiben aber bestehen. Denn die Nutzung privater Mobilgeräte zu beruflichen Zwecken führt zu einer Vermischung privater und beruflicher Daten und damit auf Unternehmensseite stets zu einem Kontroll- und Zugriffsverlust. Zu empfehlen ist den Unternahmen daher nach wie vor, insbesondere durch technische Maßnahmen und einschränkende Nutzungsregelungen die IT-Sicherheit zu gewährleisten private und berufliche Daten zu trennen, um berufliche Daten bei Verlust des Mobilgerätes oder Ausscheiden des Arbeitnehmers sichern zu können bzw. "remote" zu löschen, um einen unbefugten Zugriff zu verhindern. Man kann einen BYOD-Modell aber datenschutzkonform ausgestalten. Welche Strafen drohen Unternehmen bei Rechtsverstößen im Zusammenhang mit BYOD? Hansen: Während das BDSG von einem maximalen Bußgeld von 300.000 Euro ausging, enthält die Datenschutzgrundverordnung einen Bußgeldrahmen von bis zu 20 Mio. Euro bzw. bis zu vier Prozent des Jahresumsatzes. Das Risiko eines von den Datenschutzbehörden initiierten Bußgeldverfahrens halte ich aber für überschaubar. Nicht ausgeschlossen werden kann aber, dass sich Mitarbeiter, mit denen sich der Arbeitgeber im Streit befindet, versucht, mit Hilfe der Datenschutzbehörden Druck auf den Arbeitgeber auszuüben. DHZ: Liegt die Haftung immer voll beim Unternehmer oder können auch Mitarbeiter haftbar gemacht werden? Hansen: Für Datenschutzverstöße haftet zunächst einmal das Unternehmen als der verantwortlichen Stelle. Es sei denn, es gibt klare interne Regelungen zum BYOD, gegen die der Arbeitnehmer bewusst verstößt. Dann haftet der Arbeitnehmer. Daneben haftet auch der Arbeitnehmer auch für Urheberrechtsverletzungen, wenn beispielsweise Software auf einem Privatgerät entgegen der Lizenzbestimmungen auch zu beruflichen Zwecken genutzt wird. DHZ: Gibt es rechtssicherere Alternativen zur BYOD? Hansen: Diese Alternativmodelle wie Choose Your Own Device (CYOD) bergen kaum rechtliche Risiken, umso mehr, wenn die Privatnutzung untersagt oder eingeschränkt wird. Zudem wird es die IT-Abteilungen in den Unternehmen entlasten, da sie sich nicht mit einer Vielzahl unterschiedlicher Geräte befassen müssen. Anders als beim BYOD-Modell trägt das Unternehmen jedoch nicht nur die Anschaffungskosten, zusätzlich trägt es die Verantwortung für Instandhaltung und Verwaltung der bereitgestellten Hardware. Damit die Mitarbeiter zufrieden sind bzw. bleiben, entsteht zumindest ein gewisser Zwang, regelmäßig aktuelle Geräte zur Verfügung zu stellen.

Die Gründe für die Vorsicht der deutschen Unternehmen beim Thema BYOD seien vor allem in den strengen datenschutz-, steuer-, arbeits- und lizenzrechtlichen Vorgaben begründet, sagt Petrich.

Denn mit einer einfachen Erlaubnis der Nutzung von Privatgeräten ist es für den Betrieb längst nicht getan. Nur mit einem ganzen Katalog an Vorkehrungen lässt sich BYOD rechtlich unbedenklich nutzen. "Viele Unternehmen lehnen den Gebrauch privater Endgeräte am Arbeitsplatz deshalb gänzlich ab", sagt Petrich.

Bußgelder beim Datenschutz

Wer sich nicht abschrecken lässt, muss bei der Einführung eines BYOD-Konzepts zunächst sicherstellen, dass die Datenschutzregeln nach dem Bundesdatenschutzgesetz bzw. der neuen Datenschutzgrundverordnung eingehalten werden, die am 25. Mai 2018 in Kraft tritt. Der Arbeitgeber bleibt für die Einhaltung des Datenschutzes auch dann verantwortlich, wenn personenbezogene Daten wie E-Mails oder Dokumente über das private Endgerät des Mitarbeiters verarbeitet werden. Er muss deshalb sicherstellen, dass die rechtlichen Standards im Betrieb auch auf den Geräten der Mitarbeiter eingehalten werden.

Dabei helfen können so genannte Container. Das sind geschützte Gerätebereiche, auf denen geschäftliche und private Daten strikt getrennt voneinander verwaltet und gesichert werden. Die Container können über eine App auf dem Endgerät verschlüsselt werden.

Betriebe müssen zudem darauf achten, dass sich die geschäftlichen Daten auf dem Endgerät bei Verlust oder Diebstahl aus der Ferne löschen lassen. "Zudem muss vereinbart werden, wie mit Daten des Arbeitgebers auf den Geräten verfahren wird, wenn ein Mitarbeiter das Unternehmen verlässt", sagt Bitkom-Expertin Petrich.

Wer die Datenschutzregeln nicht einhält, muss nicht nur damit rechnen, dass Geschäftsgeheimnisse oder Kundendaten in die Hände unbefugter Dritter gelangen, sondern auch hohe Bußgelder fürchten, die mehrere Millionen Euro betragen können. Bußgelder können auch ohne einen bestimmen Verstoß verhängt werden, wenn das Unternehmen bei einer Prüfung die Einhaltung der Datenschutzrichtlinien nicht nachweisen kann.

Sicherheit vor Eindringlingen

Neben dem Datenschutz ist bei BYOD auch auf die Datensicherheit zu achten. Es sollte mit dem Mitarbeiter vereinbart werden, dass auf dem Gerät eine zeitgemäße Virenschutzsoftware installiert sein muss und Updates vom Betriebssystem und genutzten Programmen regelmäßig eingespielt werden, um Sicherheitslücken zu schließen.

Auch muss der Arbeitgeber darauf achten, dass die Mitarbeiter auf den privaten Endgeräten geltende Lizenz­vereinbarungen und Urheberrechte einhalten. Ein Verstoß kann etwa vorliegen, wenn auf dem Gerät ein Programm privat ohne entsprechende Lizenz genutzt wird. Umgekehrt darf der Mitarbeiter ohne Lizenz auch kein privates Programm für den Job nutzen.

Nicht zuletzt wird es mit dem Einsatz von BYOD deutlich schwieriger, eine Grenze zwischen Beruf und Privatleben einzuhalten, falls auf dem privaten Endgerät auch außerhalb der regulären Arbeitszeiten berufliche E-Mails eingehen. Grundsätzlich besteht für Arbeitnehmer keine Pflicht, rund um die Uhr erreichbar zu sein.

Für Betriebe und Arbeitnehmer ist BYOD somit auf den ersten Blick zwar attraktiv, in der Praxis aber ziemlich kompliziert.

Alternative für Betriebe

Petrich kennt jedoch eine Alternative, mit der Arbeitgeber die rechtlichen Fallstricke kleinhalten können und ihr Personal trotzdem mobil machen. Beim so genannten Choose Your Own Device (CYOD) wählt der Mitarbeiter aus einer vorgegebenen Liste an Hardware, wie Smartphones, Notebooks oder Tablet-PC, diejenigen, die seinen Vorlieben entsprechen.

Die Kosten für Beschaffung und Einrichtung übernimmt dabei der Arbeitgeber. Im Gegensatz zu BYOD ist eine private Nutzung bei CYOD nicht automatisch gegeben und muss vom Arbeitgeber im Rahmen der Sicherheitsrichtlinien explizit gewährt werden.