Martin Brock, Dr. Katja Francke
Rz. 1316
Aus den USA ist der Trend nach Europa gelangt, dass Arbeitnehmer Arbeit nicht mehr wie hergebracht auf den zu diesem Zweck bereitgestellten Arbeitsmaterialien erbringen, sondern vielmehr ihr eigenes mobiles Datengerät (Laptop, Tablet, Smartphone und andere mobile Geräte) für die Arbeit verwenden. Das Konzept von BYOD sieht den Einsatz privater mobiler Endgeräte sowie privater Software (z.B. Apps oder Datenbanken) zu Arbeitszwecken vor.
Aus Sicht des Arbeitgebers ist diese Erscheinung mit Vorsicht zu genießen. Allein aus datenschutzrechtlicher Sicht ist zu beachten, dass der Arbeitgeber weiterhin Verantwortlicher im Sinne von Art. 4 Nr. 7 DS-GVO bleibt. Er steht damit für die Einhaltung des Datenschutzes ein, auch wenn er auf die Geräte seiner Arbeitnehmer nur eingeschränkt zugreifen kann. Auch aus Sicht der Datensicherheit liefert das Konzept von BYOD zahlreiche Risiken. Das private Endgerät eines Arbeitnehmers kann leicht zum Einfalltor von Mailware und Viren werden. Des Weiteren kann es sich als problematisch erweisen, interne Ermittlungen auf die privaten Endgeräte auszuweiten.
Entscheidet man sich trotz aller Risiken zur Einführung von BYOD, erfordert dies eine geeignete Rechtsgrundlage. Das arbeitgeberliche Direktionsrecht ist hierzu nicht ausreichend. Nach § 106 GewO lassen sich nämlich nur Inhalt, Ort und Zeit der Arbeitsleistung sowie die betriebliche Ordnung und das Verhalten von Arbeitnehmern im Betrieb näher bestimmen. Der Arbeitgeber hat zudem die Arbeitsmittel bereitzustellen und kann grundsätzlich nicht den Arbeitnehmer dazu verpflichten. Die Implementierung von BYOD bedarf einer ausdrücklichen arbeitsvertraglichen Regelung. Auch der Abschluss einer Betriebsvereinbarung ist in der Sache empfehlenswert. Die Einführung und Durchführung von BYOD unterliegt gem. § 87 Abs. 1 Nr. 1, 2 und 6 BetrVG dem kollektivrechtlichen Mitbestimmungsrecht.
Rz. 1317
Probleme bei der Einbringung privater IT in den Arbeitsprozess bestehen vor allem in Hinblick auf den Datenschutz, die Datensicherung und den Verlust der eingebrachten Geräte oder Software und die damit einhergehenden erheblichen Sicherheitsrisiken. Bei den verwendeten Geräten und der eingebrachten Software muss der Arbeitgeber für die Einhaltung der Datensicherheit gem. Art. 24 DSGVO sorgen. Um ein unzulässiges Eindringen in die Privatsphäre des Arbeitnehmers zu verhindern, empfiehlt sich der Abschluss einer Betriebsvereinbarung, in der die technische Trennung von dienstlichen und privaten Daten geregelt wird. Zum anderen sind Regelungen darüber zu treffen, mit welchem Pauschalbetrag der Arbeitgeber die Nutzung des Privatgerätes abgilt. Ist dieser zu gering, stehen dem Arbeitnehmer u.U. Ersatzansprüche zu. Des Weiteren ist der Umfang der Nutzung klar in einer Nutzungsvereinbarung zu regeln. Darin liegt eine notwendige Vorkehrung für den Arbeitgeber, um die Haftung im Schadensfalle zu begrenzen. Um den Anforderungen des Art. 24 DSGVO gerecht zu werden, müssen Arbeitgeber sicherstellen, dass unternehmensfremde Dritte wie Familie und Freunde oder eben auch Unbefugte wie Finder oder Diebe keinen Zugriff auf die Daten haben, Malware nicht in das System gelangen kann, das Ausspähen der Daten durch Konkurrenten ausgeschlossen ist und die Daten nicht durch Nutzung einer (unsicheren) Public Cloud verwundbar werden. Exemplarisch für den Fall des Verlustes oder des Diebstahls besteht die Verpflichtung des Arbeitgebers darin, geeignete Methoden zur Fernlöschung der Daten bereitzuhalten sowie die regelmäßige automatische Datensicherung auf unternehmenseigenen Servern sicherzustellen. Darüber hinaus muss der Arbeitgeber gewährleisten, dass auch die Dauer der Datenspeicherung den gesetzlichen Anforderungen an Dokumentations- und Aufbewahrungsfristen genügt (§ 256 HGB und § 147 AO). Ferner bietet es sich an, eine Geräteversicherung abzuschließen, über die im Falle des Verlustes ein Ersatzgerät für den Arbeitnehmer beschafft werden kann.
Rz. 1318
Es ist aktuell unklar, wer das Verfügungsrecht über die auf dem Gerät vorhandenen Daten innehat. Eine weitere Schwierigkeit besteht im Fall der Verdachtskündigung. Der Arbeitgeber kann jedenfalls nicht das Privatgerät des Arbeitnehmers herausverlangen, wenn keine andere Möglichkeit der Aufklärung besteht. Nach § 866 BGB ist eine Wegnahme im Wege der Selbsthilfe ausdrücklich ausgeschlossen. In dieser Konstellation ist der Arbeitgeber alleine auf die uneingeschränkte Mitwirkung des Arbeitnehmers an seiner eigenen Überführung angewiesen.