Wien - Die Hälfte aller Arbeitgeber weltweit verwendet private Endgeräte für berufliche Zwecke. Die Bandbreite reicht vom schnellen Abrufen der Firmenmails bis zum Zugriff auf hochsensible Zahlen, die Unternehmensinterna dokumentieren. Vorsicht ist also geboten, wenn solche Daten zirkulieren – sowohl bei Arbeitgebern als auch bei Arbeitnehmern.

Waren in der Vergangenheit eher Diensthandys, die Firmen ihren Mitarbeitern zur Verfügung stellten, die dominante Form, so zeichnet sich eine Trendumkehr ab – nämlich in Richtung BYOD (Bring Your Own Device). Nicht zuletzt durch den Siegeszug der Smartphones nutzen viele Beschäftigte ihre privaten Geräte - Tablets und Laptops gehören natürlich auch dazu, um auf Firmenanwendungen zuzugreifen.

Muss für Arbeitnehmer

Ausgangspunkte dieser Entwicklung sind Asien und die USA, forciert wird der Hype primär von der Arbeitgeberseite, die sich Betriebsmittel sparen möchte. Produktivitätssteigerungen, Kostenersparnis und ein noch stärkeres Oszillieren zwischen Beruf und Privatleben sind erwünschte Effekte. Das Argument, um Beschäftigte von der Notwendigkeit zu überzeugen, lautet nicht selten "Flexibilität", oft aber einfach auch nur: Friss oder stirb. Also Anstellung oder Selektion.

Zu den Profiteuren zählen aber auch Mitarbeiter, die beispielsweise lieber auf mobiles Arbeiten und Home Office als auf Büropräsenz setzen. Zugriffe auf Firmendaten passieren nicht selten an der eigenen IT vorbei, umfassende Regelungen werden immer wichtiger.

Firmen machen Druck

Bis 2017 werden 50 Prozent der Firmen BYOD verlangen, das legt zumindest eine Studie des Marktforschers Gartner nahe. Also, dass Beschäftige ihre privaten Endgeräte für das Unternehmen nutzen. Parallel zu diesem Trend treten viele arbeitsrechtliche Aspekte auf, die sind meist noch Neuland für die Judikatur. Mögliche Problemfelder waren am Donnerstag Thema bei einer Informationsveranstaltung der Anwaltskanzlei Schönherr in Wien. Neben dem Arbeitsrecht tangiert BYOD etwa noch die Bereiche Strafrecht, Urheberrecht, Zivilrecht und Datenschutz.

Die Gefahren sind evident, die Rechtsprobleme auch, denn private Geräte und damit Firmendaten können schnell in falsche Hände gelangen – durch Diebstahl, Verlust oder Hacker. Verantwortlich sind sowohl Arbeitgeber als auch Arbeitnehmer, denn einer Sorgfaltspflicht der Mitarbeiter im Umgang mit Firmendaten steht die Pflicht des Arbeitgebers gegenüber, sensible Daten von Nutzern oder Kunden  zu schützen. Die Verantwortung für Kunden- und Mitarbeiterdaten tragen Unternehmen. Geschäftsführer haften theoretisch sogar persönlich dafür. Sie müssen dafür Sorge tragen, dass Strukturen und Kontrollsystem passen, wie Wolfgang Tichy, Rechtsanwalt im newTech Team von Schönherr, erläutert.

Risiko minimieren

Lassen sich Unternehmen auf BYOD ein, müssen sie das Risiko minimieren. Indem sie etwa Zugriffsrechte auf das Gerät selbst streng limitieren, oder einen umfassenden Datenschutz durch Passwörter installieren. Nicht immer ein einfaches Unterfangen, vor allem wenn es sich um private Endgeräte von Beschäftigten handelt. Eine Möglichkeit ist, berufliche und private Daten strikt voneinander zu trennen. Firmendaten sollten nicht lokal auf dem Gerät gespeichert werden, der Zugriff erfolgt über eine Schnittstelle. Kommt es trotzdem zu einem "Datenabfluss", muss die Frage geklärt werden, wer zur Rechenschaft gezogen werden kann. "Eigentlich haftet der Unternehmer, er hat schließlich die Datenhoheit", sagt Tichy. Kommt es zu einem Missbrauch von Daten, kann die Verwaltungsstrafe mehrere Tausend Euro betragen: "Das tut auch Unternehmen weh." Gezahlt wird pro Verstoß und nicht pro Datensatz.

Ein achtloser Umgang mit Firmendaten kann aber auch den Mitarbeiter selbst in die Bredouille bringen. Firmen könnten versuchen, den Schaden abzuwälzen. Allerdings muss der Beschäftigte mit seinem Handeln gegen Unternehmensrichtlinien verstoßen haben. Existieren keine, wird es für Unternehmen schwierig.

Möglichst exakte Richtlinie

Die klare Empfehlung der Anwälte lautet: Für strittige Punkte sollte unbedingt eine Richtlinie über den Umgang mit BYOD implementiert werden. Ein Balanceakt zwischen Anwenderflexibilität und Sicherheit. Wichtig seien möglichst exakte Formulierungen, die in einer Nutzungsvereinbarung zwischen Mitarbeitern und Unternehmen münden. Besiegelt mit Unterschriften. Verstoßen Beschäftigte gegen diese Vorschriften, haben Arbeitgeber ein Instrumentarium in der Hand, um Mitarbeiter in die Verantwortung zu nehmen. Klare Regelbrüche rechtfertigen beispielsweise sogar Entlassungen, möglich wären auch Schadenersatzforderungen.

Zur Administrierung raten Experten zu einem zentralen IT-Management und zum Einsatz einheitlicher Hardware. Wichtige Fragen dabei sind etwa: Wer hat überhaupt Zugriff auf das Gerät? Welche Vorgaben gibt es in puncto Verwahrung? Welche Werkzeuge zum Datenzugriff dürfen verwendet werden? Was passiert bei Verlust des Geräts? Darf eine Synchronisation mit anderen privaten Geräten erfolgen?

Private Daten gehen Firmen nichts an

Ein Spannungsverhältnis ergibt sich aus dem Interesse des Arbeitgebers, die Sicherheit seiner Daten so gut wie möglich zu garantieren und dem Interesse des Arbeitnehmers, seine privaten Daten vor den Augen des Arbeitgebers zu schützen. Spielt die IT-Abteilung des Unternehmens ein Backup zur Datensicherung ein, so muss ein Durchforsten der privaten Daten des Arbeitnehmers tabu sein. Ein Zugriff per se ist rechtlich nicht gedeckt. Schließlich handelt es sich bei dem Gerät um Privateigentum. Und private Korrespondenzen gehen den Arbeitgeber nichts an.

Bei einem Firmenhandy ist die Sache nicht so eindeutig. Verbietet der Arbeitgeber die private Nutzung, so kann sich der Arbeitnehmer schwer aufregen, wenn persönliche Korrespondenzen oder Fotos auf dem Handy unter die Lupe genommen werden. "Firmen können ohne große Datenschutzüberlegungen darauf zugreifen", sagt Tichy.

Wer zahlt?

Ein weiterer wichtiger Aspekt, den es zu klären gilt, ist finanzieller Natur. Wo hören berufliche Kosten auf und wo fangen private an. Zum Beispiel wenn sich der Mitarbeiter im Ausland befindet und Telefonie- oder Roaminggebühren entstehen. Geht einmal das Handy kaputt, wird der Arbeitgeber im Normalfall für den Schaden aufkommen müssen. Mitarbeiter werden wohl angeben, dass ihr Gerät bei der dienstlichen Nutzung beschädigt wurde - und nicht beim privaten Gebrauch.

Die Vermischung von Arbeits- und Freizeit, eine Intention bei BYOD, wirft auch Fragen nach dem Arbeitszeitgesetz auf. Das Telefon einfach auszuschalten ist schwer, es handelt sich schließlich oft um das Privathandy. Mehrstunden fallen schnell an. Dennoch müssen Bestimmungen des Arbeitszeitgesetzes eingehalten werden, Verwaltungsstrafen für Unternehmen sind sonst die Folge.

Apps als Risiko

Als besonderes Risiko für Datenmissbrauch sehen die Anwälte die Verwendung von Apps, weil sie oft unbemerkt auf Kontakt-, Browserdaten oder Mails zugreifen. Arbeitgebern wird empfohlen, eine Art White- und Blacklist zu erstellen. Mit einer Regelung, welche Apps verwendet werden dürfen und welche nicht. Hier werden auch Fragen des Urheberrechts berührt, denn die berufliche Nutzung von privat erworbenen Apps ist beispielsweise untersagt. Die Verwendung basiert auf Lizenzbedingungen, die auf der individuellen Ebene zwischen Käufer und Verkäufer geschlossen werden. Gewerbliche Zwecke sind normalerweise ausgenommen.

Laut Zahlen der kürzlich publizierten PAC-Studie "Mobile Device & Application Management in Deutschland, Frankreich, Großbritannien und der Schweiz" wird BYOD derzeit in drei Vierteln der Unternehmen zumindest toleriert, in jedem fünften sogar gefördert. Die geschäftliche Nutzung privater Endgeräte untersagt nur jeder vierte Betrieb. Der Hauptgrund sind Sicherheitsbedenken. (omark, derStandard.at, 17.10.2013)