Wer ein schickes Smartphone sein eigen nennt, möchte dies auch beruflich nutzen. Immer mehr Angestellte setzen daher private IT im Job ein, wovon die Unternehmen einerseits profitieren, andererseits aber auch Risiken beim Datenschutz und der Haftung eingehen. Wie mit klaren Regelungen rechtliche Hürden überwunden werden können, erklären Markus Dinnes und Hauke Hansen.
Der Trend zur beruflichen Nutzung privater IT-Geräte durch Mitarbeiter – Bring Your Own Device oder kurz: BYOD – lässt sich nicht mehr stoppen. Bereits zwei von drei Angestellten in Deutschland erledigen berufliche Aufgaben zumindest gelegentlich auf ihrem privaten Rechner oder Smartphone. Nach einer Umfrage von Accenture nutzen sie vor allem eigene PCs (56 Prozent), Laptops (53 Prozent) und Smartphones (36 Prozent) am Arbeitsplatz. Die Begründung: Die Angestellten wollen im Job nicht auf den gewohnten höheren Standard ihrer Privatgeräte verzichten. Jeder Zweite gab an, die eigenen Geräte und Programme seien moderner und technisch auf einem neueren Stand als die des Arbeitgebers.
Ist die Nutzung der privaten IT der Mitarbeiter für Unternehmen also nur vorteilhaft? Keineswegs. Insbesondere Datenschützer melden schwerwiegende Bedenken an. Denn nicht nur in technischer Hinsicht ist die Zulassung und Einbindung von privatem Equipment in das Unternehmen ein Wagnis. Auch die rechtlichen Risiken sind derart weitreichend, dass kein Unternehmen die Nutzung von privater IT ohne ausdrückliche und detaillierte Vereinbarungen zulassen sollte.
Dass viele Arbeitgeber das Phänomen BYOD dennoch fördern, ist verständlich. Angesichts der rasanten Entwicklung von Smartphones, Tablets und Computern können nur die wenigsten Unternehmen dauerhaft technologisch auf dem neuesten Stand bleiben. Die Halbwertszeiten der Geräte betragen mitunter nur ein bis zwei Jahre, und so schnell wird eine Firma die Geräte selten austauschen - zumal die Finanzämter noch immer von Abschreibungszeiträumen von fünf Jahren bei Mobiltelefonen und drei Jahren bei Computern ausgehen.
Betriebliche Vereinbarungen gegen rechtliche Fallstricke
Die Unternehmen können deshalb durch BYOD Kosten sparen und ihre Wettbewerbsfähigkeit verbessern. Gerade junge, hochqualifizierte Mitarbeiter, die nicht mehr zwischen Freizeit und beruflicher Tätigkeit trennen, wenn sie E-Mail und soziale Netzwerken nutzen, akzeptieren keine technologische Beschränkung ihres Arbeitsalltags. Arbeitgeber, die hier nicht mithalten, werden auf längere Sicht für Bewerber unattraktiv und laufen Gefahr, gute Mitarbeiter zu verlieren oder erst gar nicht zu bekommen.
Deshalb sind neue Konzepte gefragt, um die rechtlichen und technischen Hürden zu überwinden, die der Einsatz privater IT im Unternehmen mit sich bringt. Wirklich kritisch wird BY-OD nämlich, wenn keine ausreichenden Vereinbarungen mit den Mitarbeitern in Arbeitsverträgen oder Betriebsvereinbarungen existieren, die den Rahmen festlegen, in dem die Geräte der Mitarbeiter genutzt werden können. Zwar ist IT-Compliance nicht neu, in der Praxis dürften aber nur die wenigsten Unternehmen entsprechende Regelungen mit ihren Mitarbeitern getroffen haben. Dabei wäre dies vor allem aus Haftungsgründen im Interesse des Unternehmens und des Managements dringend erforderlich.
Bereits die weit verbreitete einfache Weiterleitung von E-Mails auf einen privaten E-Mail-Account, der über das eigene Smartphone abgerufen wird oder aber die Nutzung eines privaten Notebooks führt zu rechtlichen Gemengelagen, die im Konfliktfall zum Problem für Unternehmen werden kann. Zum Beispiel enthalten auch dienstliche E-Mails häufig personenbezogene Daten, die nach dem Bundesdatenschutzgesetz (BDSG) geschützt sind. Werden solche Daten auf das private Endgerät des Mitarbeiters über dessen privaten E-Mail-Account weitergeleitet, macht dies den privaten E-Mail-Provider zum Auftragsdatenverarbeiter nach § 11 BDSG. Das Unternehmen müsste dann eigentlich mit einem Provider einen Auftragsdatenverarbeitungsvertrag schließen, der ihm weitgehende Organisationspflichten und technische Schutzmaßnahmen aufbürdet. Dies geschieht in der Praxis allerdings nie.
Auch das schlichte Ausüben der nach dem BDSG vorgeschriebenen Kontrollpflichten erweist sich auf privater IT als schwierig, da das Unternehmen dazu einen Zugang auf das Gerät des Mitarbeiters haben müsste. Ohne entsprechende Vereinbarung ist der Arbeitgeber dazu aber nicht berechtigt. Hier schützen Eigentums- und Persönlichkeitsrechte den Mitarbeiter. Insbe-sondere Datenschutzbeauftragten wird es auf diese Art und Weise unmöglich gemacht, ihren gesetzlichen Überwachungspflichten nachzukommen. Daher wehren sie sich gegen die Freigabe privater IT.
Klare Regeln für Unternehmen und Belegschaft
Auch haftungsrechtlich kann sich das Unternehmen in Schwierigkeiten bringen: Der Arbeitgeber haftet unter Umständen für Urheberrechtsverletzungen seiner Mitarbeiter. Erlaubt das Unternehmen es den Mitarbeitern private Notebooks zu verwenden, und werden zum Beispiel Dokumente mit einem nicht lizenzierten Textverarbeitungsprogramm oder mit einem illegalen Betriebssystem erstellt, macht es sich gegenüber den Softwareherstellern schadensersatzpflichtig.
Der Einsatz privater IT ist eine deshalb eine Herausforderung für Unternehmen. Formaljuristisches Denken wird dabei nicht weiterhelfen. Sicherlich sind Daten- und Geheimnisschutz immens wichtig. Sie müssen aber in einem ausgewogenen Verhältnis zur technologischen Entwicklung und den damit verbundenen Bedürfnissen und Begehrlichkeiten der Mitarbeiter stehen.
Unternehmen sollten daher erwägen, ob nicht die Flucht nach vorne die sicherste und aussichtsreichste Methode ist: Es sollten klare Regeln für die Belegschaft geschaffen und diese, wo es notwendig ist, auch in die Pflicht genommen werden. Wenn zudem technische Lösungen zum Einsatz kommen, bei denen Daten ausschließlich in einer unternehmenseigenen Cloud gespeichert werden und Mitarbeitern nur temporär zur Verfügung stehen, dürften Unternehmen weitaus besser aufgestellt sein, als dies zurzeit der Fall ist.
Dr. Markus Dinnes und Dr. Hauke Hansen sind Rechtsanwälte bei FPS Rechtsanwälte & Notare in Frankfurt. Zu ihren Tätigkeitsschwerpunkten gehören unter anderem der gewerbliche Rechtsschutz, das Internetrecht sowie das Datenschutzrecht.
Hauke Hansen, Private IT am Arbeitsplatz: . In: Legal Tribune Online, 27.02.2012 , https://www.lto.de/persistent/a_id/5634 (abgerufen am: 15.10.2024 )
Infos zum Zitiervorschlag