Wer privat ein iPhone nutzt oder ein Macbook Air besitzt, für den wirkt das Firmenhandy oder der Standard-Laptop des Unternehmens womöglich wenig interessant. Andere Mitarbeiter bekommen eventuell keines dieser Arbeitsmittel und wollen deshalb ihre eigenen Geräte auch beruflich nutzen. Aber wo sind die Grenzen, was darf der Arbeitnehmer und worauf müssen Nutzer und Arbeitgeber achten?
Firmen-Mails auf dem Privathandy, Kundendaten auf dem privaten Macbook. Das ist nur bei genauer Planung eine gute Idee. In der IT nennt man dieses Phänomen "BYOD" - ein Akronym für "Bring your own device" (Bring Dein eigenes Gerät mit). Unter IT-Verantwortlichen wird dieser Trend zurzeit intensiv diskutiert, die meisten Firmen haben aber immer noch keine Regeln dafür. Die Praxis wirft hier viele Fragen und Problemstellungen auf. Die Sicherheit von Firmendaten und der Datenschutz müssen garantiert sein, auch Fragen nach dem Support und der Haftung muss das Unternehmen zuvor klären.
Rechner und Smartphones in privater und geschäftlicher Nutzung
Während es noch vor kurzem undenkbar war, dass die IT-Abteilung fremde IT-Systeme und Geräte in ihrer Infrastruktur überhaupt duldet, sind private Geräte heute auf dem Vormarsch. Sogar das Europaparlament will die Abgeordneten laut Medienberichten mit iPads ausstatten. Diese "Konsumerisierung" der IT am Arbeitsplatz ist faktisch nicht mehr aufzuhalten: Über zwei Drittel aller Kommunikationsgeräte werden nicht nur für private Zwecke, sondern auch geschäftlich genutzt. Nicht zuletzt die Verbreitung von sozialen Netzwerken führt dazu, dass die Grenzen zwischen privat und dienstlich immer weiter verschwimmen.
Daher überlegen immer mehr Firmen, neue Modelle für den kostengünstigen Einkauf von IT und etablieren - wie etwa Procter & Gamble - Pilotprogramme. Teilweise finanzieren Unternehmen wie Citrix, EMC und Kraft Foods bereits die Anschaffung privater Geräte mit Zuschüssen in der Größenordnung von 1500 Euro für das IT-Equipment, das dann auch in der Firma verwendet werden darf (und soll).
Diese Art der IT-Beschaffung kann erheblich zur Zufriedenheit der Nutzer beitragen und auch Kosten einsparen. Laut Gartner können Firmen so bis zu 40 Prozent der Anschaffungs- und Unterhaltskosten sparen, die sie sonst für ein Firmen-Notebook aufwenden müssten. Erwünschter Nebeneffekt: Die Mitarbeiter sind auch außerhalb der regulären Arbeitszeit erreichbar.
Voraussetzung Sicherheit
Selbstverständlich müssen beim "BYOD-Modell" die sich aufdrängenden Fragen der IT-Sicherheit beantwortet werden. Hier können Desktop-Virtualisierung und Terminal-Lösungen den Spagat zwischen privater und dienstlicher Nutzung erleichtern. Wichtige Firmendaten lagern in dem Fall etwa auf einem Server und nicht auf den Privatgeräten, diese bieten dann nur den Zugang dazu.
Wichtige Unternehmensdaten und sensible personenbezogene Daten müssen natürlich auch auf den privaten PCs verschlüsselt werden. Eine bestimmte Mindestausstattung der privaten Geräte ist daher ebenso ein Muss wie der Einsatz standardisierter Software. So sollten auf allen Geräten ein einheitliches Betriebssystem und identische Versionen der Software installiert sein, um den Support zu erleichtern.
Der Business Case für "Bring your own Computer" muss jedoch auch mit den Juristen abgeklärt werden. Denn die notwendige Trennung zwischen Firmendaten und privaten Daten ist auch bei diesem Modell eine Pflicht, die aus IT-Compliance (Erfüllung der gesetzlichen Vorgaben) und Datenschutz resultiert. Selbst wenn der PC dem Mitarbeiter gehört, muss der Arbeitgeber jederzeit Zugriff auf die unternehmenswichtigen Informationen haben - hier müssen in Einklang mit dem Bundesdatenschutzgesetz (BDSG) rechtssichere Konzepte für die revisionssichere Archivierung und entsprechende Einsichtsrechte des Arbeitgebers erarbeitet werden.
Das Bundesdatenschutzgesetz sieht hier in Paragraph 32 Grenzen vor, die nicht überschritten werden dürfen. So dürfen personenbezogene Daten des Arbeitnehmers nur im Rahmen des Beschäftigungsverhältnisses genutzt werden. Zudem soll der Beschäftigtendatenschutz im nächsten Jahr vollständig überarbeitet werden. Es liegt auf der Hand, dass alte Betriebsvereinbarungen oder IT-Richtlinien die Anschaffung privater IT-Geräte durch den Mitarbeiter nicht regeln. Auch diese IT-Richtlinien müssen daher überarbeitet werden.
Wer beim Ausfall oder Defekt haftet?
Dabei muss auch verabredet werden, wer bei einem Ausfall oder Defekt der privaten Hardware haftet. Dies bedeutet, dass vor der Anschaffung privater IT genau geregelt werden muss, wie die Wartung der privaten Geräte durchgeführt wird, ob und auf welchem Wege also vom Arbeitgeber Ersatz beschafft werden muss, ob eventuell Leihgeräte für die Ausfallzeit bereitgehalten werden und wer im Falle eines Verlustes eines Gerätes letztlich haftet. Denn normalerweise muss ein Betriebsmittel dem Mitarbeiter kostenfrei zur Verfügung gestellt werden und ein Ausfall dieser Arbeitsmittel fällt somit in das Risiko der Firma. Hier kann ein Rund-um-Sorglos-Paket eine nützliche Option sein; Hardware-Anbieter offerieren bereits seit geraumer Zeit solche BYOD-Betreibermodelle, die auch Szenarien für den Ausfall privater Geräte enthalten. Dabei wird ein Geräte-Pool vorgehalten, aus dem kurzfristig Ersatzgeräte beschafft werden können.
Der Zuschuss des Arbeitsgebers zum privaten PC muss auch steuerlich betrachtet werden - ist der insoweit gewährte geldwerte Vorteil zu versteuern oder kann der Betrag, der eventuell über dem Zuschuss des Arbeitgebers liegt, sogar als Werbungskosten geltend gemacht werden? Geregelt werden muss schließlich auch, wem beispielsweise privat angeschaffte Software (etwa Apps) bei Beendigung des Arbeitsverhältnisses gehört oder ob ein Zuschuss zum Gerät nur als Darlehen gewährt wird und deshalb auf Raten zurückzuzahlen ist, sollte das Arbeitsverhältnis vorzeitig beendet werden. (Macwelt)
Dr. Michael Rath
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für IT-Recht und Partner der Kanzlei Luther mit Sitz in Köln. RA Rath ist seit über zwölf Jahren auf das IT- und Datenschutzrecht spezialisiert.