Sicherheit oder mobile Freiheit

Was Justizia zum Thema ByoD sagt

24.02.2013 | von Jan Pohle
Sicherheit und mobile Freiheit: Beides müssen Unternehmen bei der Formulierung ihrer Strategie für "Bring your own Device" berücksichtigen.
Private Devices stecken voller rechtlicher Tücken.
Private Devices stecken voller rechtlicher Tücken.
Foto: Fotolia/vege

Ohne eine tragfähige ByoD-Strategie wird künftig wohl kein Unternehmen mehr auskommen. In dem Maße, wie private Endgeräte für dienstliche Zwecke genutzt werden, muss sich der Arbeitgeber Gedanken machen, wie er die daraus erwachsenden Risiken in den Griff bekommt. Die Herausforderung besteht darin, die Strategie so zu formulieren, dass die Sicherheitsanforderungen des Betriebs mit den Produktivitätsvorteilen für die Mitarbeiter in Einklang sind.

Wenn das Unternehmen eine Device Policy einführen möchte

Eine Device Policy ist das geeignete Werkzeug, um die Nutzung privater Devices für ein Unternehmen festzulegen. Zugleich bildet sie die Grundlage, auf der sich die Nutzung - anhand der gesetzlichen Vorgaben - verbindlich regeln lässt.

Deshalb sollte eine Device Policy in jedem Fall Folgendes enthalten:

  • Zugriffsregelungen für berechtigte Nutzer und deren Devices,

  • Angaben zur IT-Sicherheit und zum Umgang mit Unternehmensdaten sowie

  • Anweisungen zum Verschlüsselungs- und Speicherverhalten;

  • sinnvoll wären auch Hinweise zum Gebrauch von mobilen Devices auf Geschäftsreisen,

  • zur Nutzung von Software im Allgemeinen,

  • zum lizenzrechtlichen Umgang mit der Software sowie

  • zur Kostenübernahme.

Darüber hinaus empfiehlt es sich, die Policy-konforme Nutzung zu kontrollieren, also Kontrollregeln zu integrieren. Zudem sollten die Zustimmung des Mitarbeiters zum Zugriff des Unternehmens auf das private Device und Regelungen zur Herausgabe von Unternehmensdaten geklärt sein. All diese Themen müssen im Einzelfall sorgfältig identifiziert und abgearbeitet werden. Vorsicht: Die Einführung einer Device Policy im Unternehmen kann mitbestimmungspflichtig sein.

Wenn der Mitarbeiter unterwegs auf Unternehmensdaten zugreift

Unternehmensdaten enthalten oft Geschäfts- und Betriebsgeheimnisse sowie personenbezogene Daten von Mitarbeitern oder Kunden (beispielsweise Telefonnummern oder E-Mail-Adressen). Zu allem Überfluss werden sie regelmäßig mit privaten und unternehmensbezogenen Kontakten in sozialen Netzwerken vermischt. Straf- und Datenschutzrecht zwingen die Unternehmen, dies in ihren ByoD-Programmen zu berücksichtigen, die Strategie quasi vorausschauend umzusetzen.

Auch auf Privatgeräten ist das Unternehmen datenschutzrechtlich in der Verantwortung.
Auch auf Privatgeräten ist das Unternehmen datenschutzrechtlich in der Verantwortung.
Foto: Fotolia/Ben Chams

Was viele noch nicht wissen: Auch bei der Nutzung privater Devices sind die Arbeitgeber datenschutzrechtlich verantwortlich. Freie Mitarbeiter werden rechtlich sogar als "Auftragsdatenverarbeiter" eingestuft. Von daher sollten die Auftraggeber bei der Einführung einer ByoD-Strategie auch datenschutzrechtliche Anforderungen formulieren und kontrollierbar machen - hinsichtlich des Zugangs, Zugriffs sowie der Trennbarkeit der Daten.

Das gilt erst recht für Datengruppen wie Beschäftigten- und Gesundheitsinformationen sowie für Daten über Geschlecht, Religion oder Herkunft. Grundsätzlich ist der Zugriff privater Devices auf solche Daten zweifelhaft. Für den Schutz von Geschäfts- und Betriebsgeheimnissen kommt immer auch die strafrechtliche Komponente hinzu.

Die IT muss dafür sorgen, dass auf mobilen Geräten private und geschäftliche Daten getrennt verwaltet werden können. Sie verantwortet auch die Sicherung des Geräts vor unberechtigtem Zugriff Dritter - seien es Freunde, Kinder oder Lebenspartner. Die Unternehmen handeln richtig, wenn sie dafür zusätzliche Vereinbarungen mit den Mitarbeitern treffen. Es sollte klare Weisung für den Umgang mit personenbezogenen Daten sowie mit eigenen und fremden Geschäftsgeheimnissen geben. Mehr noch: Diese Vereinbarung muss, gemessen an den Verhältnissen im jeweiligen Unternehmen, technische, organisatorische und fachliche Einzelheiten der gesetzlichen Anforderungen umsetzen.

Wenn Mitarbeiter Privatgeräte für Geschäftskommunikation nutzen

Hinsichtlich der geschäftlichen Kommunikation auf privaten Endgeräten gibt es gleich mehrere rechtliche Fettnäpfchen: straf- und datenschutzrechtliche Vorgaben, aber auch urheber-, und arbeitsrechtliche Möglichkeiten für Gesetzesverstöße. Strafrechtlich geht es um Bußgelder und Schadensersatzzahlungen, die Unternehmen und Management beim "fahrlässigen Nichterfüllen" drohen.

Auf der sicheren Seite ist, wer mit geeigneten technischen Vorkehrungen sowie Handlungsempfehlungen an die Mitarbeiter vorbeugt. Sinnvoll sind beispielsweise klare Absprachen für die Nutzung des Geräts bei Dienstreisen ins Ausland - auch um dem Zugriff ausländischer Staatsstellen vorzubeugen. Die Forderungen einzelner Länder hinsichtlich des Mitlesens von verschlüsselten E-Mails sind exemplarisch.

Wenn der Mitarbeiter einmal Unternehmensdaten verliert

Sind auf privaten Devices Unternehmensdaten gespeichert, kann der Arbeitgeber im Fall des Datenverlusts den Mitarbeiter haftbar machen - allerdings nur, wenn dieser selbst den Verlust verschuldet hat. Zugunsten des Mitarbeiters, auch des leitenden Angestellten, gilt das "Haftungsprivileg". Es greift, wenn die Nutzung des privaten Device im Interesse des Unternehmens liegt. In diesem Fall haftet der Arbeitnehmer nur für vorsätzlich beziehungsweise durch grobe oder mittlere Fahrlässigkeit verursachten Datenverlust ganz oder anteilig.

Das gilt unabhängig davon, ob der Verlust von Unternehmensdaten unmittelbar damit im Zusammenhang steht, dass das private Device für dienstliche Zwecke genutzt wurde. Das heißt, es gilt auch, wenn die Daten im Rahmen der privaten Nutzung verloren gehen. Ausgenommen davon sind nur die Vorstände und die Geschäftsführung. Sie haften für jeden vorsätzlich oder fahrlässig verursachten Datenverlust.

Wenn das Unternehmen private E-Mails einsehen möchte

Beim Zugriff auf private E-Mails greift das Fernmeldegeheimnis. Es besagt im Prinzip Folgendes: Auch wenn private E-Mails auf Unternehmens-Servern gespeichert und mit geschäftlichen E-Mails vermischt sind, kann das Unternehmen die private Kommunikation nicht einfach einsehen. Dazu muss der Mitarbeiter erst einmal zustimmen.

Private E-Mails sind für den Arbeitgeber also tabu. Als Ausweg bleibt nur eine klare Trennung von geschäftlichen und privaten Mails - unabhängig davon, wo diese gespeichert sind, also auf dem privaten Device oder auf dem Unternehmens-Server.

Wenn der Mitarbeiter das Unternehmen verlässt

Unternehmensdaten gehören dem Unternehmen. Entsprechend muss der Mitarbeiter bei Beendigung des Arbeitsverhältnisses die Daten an das Unternehmen herausgeben beziehungsweise sie auf seinem mobilen Device löschen. Der Gesetzgeber macht das zu einer arbeitsvertraglichen Pflicht. Zudem ergänzt er diese Regelung datenschutzrechtlich durch eine ausdrückliche "Löschungsverpflichtung".

Wenn Kosten für Lizenzen, Support und Wartung entstehen

Wer kommt eigentlich für Softwarelizenzen, Support und Wartung auf, die im Zusammenhang mit den privaten Endgeräten entstehen? Die Antwort liegt auf der Hand: Die Kosten von Softwarelizenzen auf privaten Devices sowie die Gebühren, die für den zugehörigen Support und die Wartung anfallen, trägt der Lizenznehmer, sprich: der Vertragspartner des Anbieters.

Das kann sowohl der Arbeitgeber sein als auch der Arbeitnehmer. In den meisten Fällen ist es das Unternehmen, da die Software vom Betrieb zur Verfügung gestellt wird. Ob der Mitarbeiter für eine lizenzrechtlich erlaubte Mitnutzung privat installierter Software vom Arbeitgeber eine Kostenbeteiligung verlangen kann, müssen beide miteinander regeln. Entsprechendes gilt im Falle einer privaten Nutzung unternehmensseitig gestellter Software.

Wenn der Mitarbeiter sein Device für private Downloads nutzt

Ähnlich verhält es sich hinsichtlich privater Downloads, wenn das eigene Device betrieblich genutzt wird: Grundsätzlich ist der unmittelbare Verursacher rechtlich verantwortlich - in diesem Fall meist der Mitarbeiter. Erfolgt der Download auf das private Device über das Firmennetz, kann aber auch das Unternehmen verantwortlich sein.

In jedem Fall sollte das Unternehmen seine Mitarbeiter anweisen, die Downloads auf diesem Wege zu unterlassen. Dass die Anweisung eingehalten wird, muss es stichprobenartig kontrollieren, um das eigene Risiko einer rechtlichen Verantwortlichkeit zu verringern.

Wenn der Mitarbeiter private und Geschäftskommunikation mischt

Die Trennung zwischen privaten Daten und Unternehmensdaten ist nach Möglichkeit konsequent einzuhalten. Technische Lösungen liefern hier in erster Linie Remote-Zugriff auf das Firmennetz und lokale Festplatten oder private externe Speicherressourcen.

Eine logische Trennung muss auch dann machbar sein, wenn private und Unternehmensdaten auf einem einzigen privaten Speicher abgelegt werden. Im anderen Fall könnten unliebsame rechtliche Hindernisse auftreten. Last, but not least müssen die technischen Möglichkeiten um klare Weisungen an die Adresse der Mitarbeiter ergänzt werden. (qua)

Newsletter 'CP Business-Tipps' bestellen!