Zum Inhalt springen
PKF News / Blog

Sie sind hier:

BYOD - Überblick über das Nutzungskonzept, Möglichkeiten seiner Einführung im Unternehmen sowie wichtige datenschutzrechtliche Aspekte

Die fortschreitende Digitalisierung und die damit verbundenen technischen Möglichkeiten führen zu weitreichenden Veränderungen in der Arbeitswelt. Eine Vielzahl von Unternehmen erwartet etwa heute, dass ihre Mitarbeiter außerhalb der regulären Arbeitszeit jederzeit oder zu bestimmten Zeiten per Handy oder E-Mail zu ereichen sind (für Kunden, Kollegen oder Vorgesetzte). In diesem Zusammenhang wird die physische Trennung von dienstlichem und privatem Handy und die Nutzung zweier Geräte oftmals als unpraktisch empfunden. Ein Nutzungskonzept wie BYOD ("bring your own device") kann eine Lösung für Unternehmen darstellen. Allerdings ist dieses Konzept mit datenschutz- und arbeitsrechtlichen Problemen verbunden, die der Arbeitgeber vor dessen Einführung kennen und in die Abwägung der Vor- und Nachteile einbeziehen sollte.

Nutzungskonzept BYOD

Bei dem Konzept BYOD wird das Gerät vom Arbeitnehmer angeschafft und sowohl dienstlich als auch privat genutzt. Das Gerät steht hierbei im Eigentum des Arbeitnehmers. Der Arbeitgeber gewährt Zugriff auf die dienstlichen Daten und die IT-Infrastruktur des Unternehmens. Je nach Ausgestaltung erwirbt der Arbeitnehmer die SIM-Karte selbst und trägt die entsprechenden Vertragskosten ("klassisches BYOD") oder der Arbeitgeber stellt eine SIM-Karte zur Verfügung. Unterschieden werden zudem Konzepte, bei denen der Arbeitgeber die Nutzung des privaten Geräts verbindlich im Unternehmen einführt und solche, bei denen die Nutzung des privaten Geräts lediglich als zusätzliche, nicht verpflichtende Option für alle oder einen Kreis von Arbeitnehmern angeboten wird.

Einführung von BYOD im Unternehmen

Das allgemeine Weisungrecht des Arbeitgebers gilt für die Frage, mit welchen technischen Mitteln gearbeitet werden soll. Es ermöglicht ihm jedoch nicht, einseitig die Nutzung eines privaten Endgeräts für dienstliche Zwecke anzuordnen. Daher ist eine Regelungsgrundlage für die Einführung von BYOD im Unternehmen erforderlich.

Individuelle Nutzungsregelung: Vertraglich kann eine detaillierte Regelung zwischen Arbeitgeber und Arbeitnehmer über die Einführung von BYOD und die weitere Ausgestaltung ausgearbeitet werden. Eine spätere Änderung der Vereinbarung muss ebenso individuell mit jedem Arbeitnehmer vereinbart werden, was mit einem höheren administrativen Aufwand verbunden sein kann. Durchzuführen ist zudem eine AGB-rechtliche Klauselkontrolle (§§ 305 ff. BGB). In diesem Zusammenhang sieht es die Rechtsprechung beispielsweise als erforderlich an, sofern die Einführung von BYOD im Unternehmen verbindlich erfolgt, dem Arbeitnehmer einen Ausgleich für die zusätzlichen Kosten für die Anschaffung des Geräts und der Vertragskosten zu gewähren. Aufgrund der fortlaufenden Rechtsprechung in diesem Bereich führt die Klauselkontrolle zu einem regelmäßigen Anpassungsbedarf der Vereinbarung und in einigen Bereichen ggf. zu einer verbleibenden Rechtsunsicherheit.

Allgemeine Nutzungsrichtlinien: Die Einführung von BYOD aufgrund allgemeiner Nutzungsrichtlinien im Unternehmen ist sinnvoll, um einheitliche Regelungen im Unternehmen durchzusetzen. Es sollte die Zustimmung eines jeden Arbeitnehmers zu den allgemeinen Richtlinien und späteren Änderungen dieser erfolgen. Zudem ist eine AGB-rechtliche Klauselkontrolle (§§ 305 ff. BGB) durchzuführen.

Betriebsvereinbarung: Sofern ein Betriebsrat im Unternehmen besteht, steht diesem gesetzlich ein Mitbestimmungsrecht hinsichtlich der Einführung und Ausgestaltung von BYOD zu (vgl. § 87 Abs. 1 Ziff. 1,2,6 BetrVG). Das Erstellen einer Betriebsvereinbarung ist zudem sinnvoll. Der administrative Aufwand, etwa im Fall von Änderungen der Regelungen, wird gering gehalten, da diese automatisch für alle Arbeitsverhältnisse gelten. Ob die erstmalige (verpflichtende) Einführung von BYOD mittels einer Betriebsvereinbarung möglich ist, ist derzeit nicht eindeutig geklärt. Dem Arbeitgeber ist in diesem Zusammenhang jedenfalls grundsätzlich zu raten, die arbeitsvertraglichen Regelungen betriebsvereinbarungsoffen auszugestalten, um zu verhindern, dass sich der Arbeitnehmer gegenüber den Regelungen aus der Betriebsvereinbarung auf den Vorrang der (günstigeren) arbeitsvertraglichen Regelung berufen kann.

Datenschutzrechtliche Fragestellungen bei BYOD

Die korrekte datenschutzrechtliche Umsetzung ist eine zentrale Bedingung für die Einführung von BYOD. Da die telekommunikationsrechtlichen Vorschriften im Fall von BYOD nicht eingreifen, sind die Regelungen des Bundesdatenschutzgesetzes (BDSG) zu beachten.

Bei der Nutzung von mobilen Endgeräten durch den Arbeitnehmer sind personenbezogene Daten Dritter betroffen, wie etwa Kontaktdaten von Kunden des Arbeitgebers oder Kollegen (vgl. § 1 II Nr. 3, § 3 I BDSG). Hinsichtlich dieser Daten durch den Arbeitnehmer - als Teil der "verantwortlichen Stelle" i.S.d. § 3 VII BDSG - auf dessen Privatgerät verantwortlich. Als Folge hiervon hat der Arbeitgeber umfangreiche technische und organisatorische Maßnahmen in Bezug auf das Arbeitnehmerhandy zu treffen, die sich aus der Anlage zu § 9 BDSG ergeben. Es geht hier insbesondere um technische Maßnahmen hinsichtlich Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, die von Seiten des Arbeitgebers zu gewährleisten sind.

Technisch sollte der Arbeitgeber durch eine konsequente Trennung der dienstlichen und privaten Daten auf dem Gerät sicherstellen, dass er den genannten Pflichten nachkommen kann. In Frage kommen hier insbesondere Container-App-Lösungen, die eine solche Trennung gewährleisten. Durch die Trennung der Daten kann auch die Vertraulichkeit in Bezug auf die privaten Daten des Arbeitnehmers gewährleistet werden. Zudem können die fehlenden rechtlichen Zugriffsmöglichkeiten des Arbeitgebers auf das Gerät kompensiert werden, da per Fernzugriff der dienstliche Bereich des Geräts gesperrt oder gelöscht werden kann.

Rechtlich sollten Zugriffs- und Kontrollrechte hinsichtlich der dienstlichen Daten in einer Datenschutzvereinbarung detailliert geregelt werden. Die private Nutzung der dienstlichen Umgebung sollte ausdrücklich untersagt werden. In die Regelung mit einbezogen werden sollten schließlich weitere Fragen wie Upgrade-Verpflichtungen, Verantwortlichkeit für selbst installierte Apps, Vorgaben zum Virenschutz, Verbot von Jailbreaks und Cloud-Diensten sowie toolgestützte Lizenzprüfungen.

Ein anderes Problemfeld für den Arbeitgeber in diesem Zusammenhang stellt die lizenzkonforme Nutzung von Apps und Software auf dem privaten Endgerät dar. Denn oftmals erstreckt sich die Nutzungserlaubnis nur auf unternehmenseigene Computer. Um sich abzusichern, kann der Arbeitgeber versuchen eine Lizenzhaftungsfreistellung des Unternehmens und seiner Organe zu vereinbaren.

Fazit: BYOD im Mittelstand sauber ein- und durchführen

Das Konzept BYOD rechtlich auszugestalten, ist anspruchsvoll und zudem ist die Einführung für den Arbeitgeber mit einem höheren technischen Aufwand verbunden. Keinesfalls sollten Unternehmen aber die dienstliche Nutzung privater Kommunikationsmittel durch Arbeitnehmer dulden, ohne in technischer Hinsicht eine Trennung privater und dienstlicher Daten herbeizuführen und verbindliche Nutzungsbedingungen im Unternehmen aufzustellen. Sinnvoll ist eine Regelung mittels Betriebsvereinbarung, sofern ein Betriebsrat im Unternehmen vorhanden ist. Ansonsten kann die Regelung mittels Nutzungsrichtlinien erfolgen. Geregelt und sichergestellt werden sollte insbesondere die Einhaltung der datenschutzrechtlichen sowie von arbeitszeitrechtlichen Vorgaben; weitere Regelungen, u.a. zur Haftungsverteilung bei Beschädigung oder Verlust des Geräts sowie zur Kostentragung, sollten etabliert werden.

Zurück zur Übersicht
Zurück zum Seitenanfang