IT-Security, CIO-KongressLSZ Consulting Wien, Big Data Kongress

03. 06. 2013

BYOD - Wissen Ihre Mitarbeiter, was auf sie zukommt?

Wolfgang Tichy

Immer öfter wollen Mitarbeiter mit eigenen Smartphones oder Tablets arbeiten und sie auch im Firmennetzwerk nutzen. Das schafft große rechtliche Probleme, die gerne von beiden Seiten übersehen werden.
- Wolfgang Tichy

Bring Your Own Device (BYOD) ist die zurzeit unser Arbeitsumfeld am stärksten verändernde technologische Entwicklung. Eine jüngst veröffentlichte Studie ergab, dass bereits fast 50 Prozent aller Briten private Endgeräte für berufliche Zwecke verwenden. Nur ein Bruchteil davon gab jedoch an, dass deren Arbeitgeber dafür auch einen passenden (technischen und rechtlichen) Rahmen zur Verfügung stellen.

Der BYOD-Trend wurde klar von den Mitarbeitern und nicht den Arbeitgebern bzw deren IT-Abteilungen ausgelöst. Es sind Mitarbeiter, die statt der als nüchtern empfundenen Endgeräte des Arbeitgebers lieber ihre "schickeren" privaten Smartphones verwenden, um nicht zwei Geräte mit sich tragen zu müssen. Unterstützt werden sie bei diesem Ansinnen vielfach (wenn auch zeitverzögert) von der Managementebene, die ihrerseits private Tablets (vor allem iPads) statt klobiger Laptops verwenden wollte. Und so sehen sich die IT-Abteilungen zunehmend dem Druck ausgesetzt, private Endgeräte in die IT-Systeme zu integrieren. Da sie für die Sicherheit und Funktionstüchtigkeit der Systeme selbst verantwortlich sind, bereitet ihnen dieser Trend massives Kopfzerbrechen. BYOD birgt aber derart viele technische und rechtliche Risiken, dass auch die Geschäftsführung und die einzelnen Mitarbeiter ernsthaft darüber nachdenken sollten, ob der damit einhergehende Komfort nicht zu teuer erkauft wird. Gerade Mitarbeiter sind sich oft nicht bewusst, wie sehr Risiken, die sonst ihr Arbeitgeber trägt, durch BYOD auf sie verlagert werden.

Vorteile vs rechtliche Risiken

Die Vorteile von BYOD sind bekannt: vor allem gesteigerter Komfort, höhere Flexibilität, höhere Motivation der Mitarbeiter und gesteigerte Erreichbarkeit. Dadurch, dass ein Teil der unternehmensbezogenen Informationen durch BYOD jedoch auf Geräten gespeichert und verarbeitet werden, die nicht mehr im Eigentum und der unmittelbaren Verfügungsgewalt des Arbeitgebers stehen, tun sich neue Gefahrenbereiche auf. Allem voran geht es um den Schutz vertraulicher und sensibler Daten und die Eingrenzung von durch BYOD verursachten Kosten. Rechtlich gesehen sind für BYOD folgende Bereiche relevant:

  • Arbeitsrecht: vor allem hinsichtlich Zustimmungserfordernissen der Mitarbeiter oder eines Betriebsrats, der Fürsorgepflicht des Dienstgebers und der Arbeitszeit
  • Allgemeines Zivilrecht: vor allem hinsichtlich Eigentumsrechten an Endgeräten und etwaigen Schadenersatzpflichten
  • Datenschutzrecht: vor allem hinsichtlich Datenschutz, Verschwiegenheit und Datensicherheit
  • Urheberrecht: unter Umständen kann durch die beruftliche Nutzung von Apps auch ein Lizenzverstoß erfolgen

Bei der Implementierung einer technisch und rechtlich abgesicherten BYOD-Policy sind vor allem auch die Vorgaben des Arbeitsechts zu beachten, da Kontrollmaßnahmen des Arbeitsgebers oft den Abschluss einer Betriebsvereinbarung bedürfen (einseitige BYOD-Policies sind dann nicht ausreichend). Auswertungen von GPS Daten zur Standortbestimmung, Monitoring von abgerufenen Internetseite oder der Frequenz der Emailnutzung sind also nicht ohne weiteres zulässig. Generell ist hier zwischen dauerhaften Maßnahmen, die alle Mitarbeiter betreffen und anlassbezogenen Einzelfallmaßnahmen, insbesondere bei Mißbrauchverdacht, zu unterscheiden. Naturgemäß sind letztere viel eher zulässig als erstere. Nicht übersehen werden darf auch, dass durch die steigende Nutung der Geräte in der Freizeit die Wahrscheinlichkeit für Arbeitsleistungen außerhalb der regulären Arbeitszeit deutlich ansteigt, was wiederum Folgen hinsichtlich Arbeitszeit (Überstunden!) hat.

Klarheit schaffen: Strategie bestimmen

Unternehmen, die BYOD zulassen und sinnvoll implementieren wollen, sollten zumindest folgenden Themen vorab klären:

  1. Welche privaten Endgeräte werden zugelassen und welche Art von Zugang wird ermöglicht? Ist der Zugang nur über eine in sich geschlossene Software am Endgerät möglich, oder dürfen auch Standardanwendungen verwendet werden, die untereinander Daten austauschen und am Gerät zur Weiterverwendung abspeichern können? Sind die Datenbestände (privat-beruflich) also getrennt?
  2. Muss der Zugang über eine verschlüsselte Verbindung erfolgen? Wie kann wirksam verhindert werden, dass Unbefugte Zugriff auf die Geräte und deren Inhalte erhalten?
  3. Welche Vorschriften gibt es für Passwörter? Welche Sicherheitssoftware wird installiert? Wer macht welche Updates?
  4. Welche berufsbezogenen Informationen und Daten dürfen über private Endgeräte abgerufen werden? Wie müssen diese am Gerät verwaltet und wieder gelöscht werden?
  5. Wie müssen die Endgeräte verwahrt und gesichert werden und dürfen Dritte (auch Familienmitglieder!) Zugang zu diesen Endgeräten erhalten? Wer macht die Backups und wo/wie?
  6. Darf das Gerät mit privaten Geräten (PCs) synchronisiert werden?
  7. Was passiert bei Verlust eines Geräts? Wie kann der Arbeitgeber die Daten per Fernwartung (mobile device management) löschen und was passiert mit den privaten Daten des Mitarbeiters, die ebenfalls am Endgerät gespeichert sind?
  8. Darf der Arbeitgeber das Endgerät und damit auch die private Verwendung durch den Mitarbeiter überwachen und bei Bedarf darauf zugreifen?
  9. Welche Mitarbeiter werden für BYOD zugelassen?
  10. Wie erhält der Arbeitgeber Zugriff auf die am Endgerät gespeicherten Daten, wenn das Arbeitsverhältnis beendet wird?
  11. Wer trägt die Kosten insbesondere für Datenroaming und bei Verlust des Geräts? Hier ist auch zu beachten, dass Mitarbeiter üblicherweise ihre privaten Tarife selbst auswählen und abschließen und gar nicht die Möglichkeit haben, ähnlich günstige Tarife wie Unternehmen zu erhalten.

Zwingend notwendig: BYOD-Policy

Die Antworten zu diesen Fragen müssen nicht nur technisch korrekt implementiert werden sondern sind unbedingt in einer entsprechenden BYOD-Policy umzusetzen. Diese Policy muss jedem einzelnen Mitarbeiter zwingend zur Kenntnis gebracht werden und von diesem verstanden und akzeptiert werden, bevor seine privaten Endgeräte für die berufliche Verwendung zugelassen werden. Jedem Mitarbeiter muss klar sein, dass er bei einem Verstoß Konsequenzen zu tragen hat, die bis zur Entlassung und zu Schadenersatzansprüchen gegen ihn führen können. Nur wer sich dessen deutlich bewusst ist, kann für sich selbst einschätzen, ob die Vorteile von BYOD die damit verbundenen Risiken überwiegen.

MMag. Dr. Wolfgang Tichy ist Rechtsanwalt bei Schönherr. Er ist unter anderem Mitglied des newTech teams, das auf new technolgies (social media, intelligent devices, apps, cloud computing, outsourced it-services, software & licensing, privacy etc) spezialisiert ist.

Wolfgang Tichy ist Stv. Vorsitzender der Jungen Industrie Wien (einer Teilorganisation der Industriellenvereinigung) und seit 2007 Mitglied im rechtspolitischen Ausschuss der Industriellenvereinigung."