Das Kürzel BYOD steht gemeinhin für "Bring your own device", den Trend also, wonach immer mehr Mitarbeiter ihre privaten Geräte wie Smartphones oder Laptops mit ins Büro bringen. Wahlweise steht es mittlerweile aber auch für "Bring your own danger" oder "Bring your own disaster".
Denn die dienstliche Nutzung privater Handhelds birgt Risiken in puncto Datenschutz und Unternehmenssicherheit. IT-Entscheider müssen diese Aspekte klären.
Der Bundesverband Digitale Wirtschaft (BVDW) aus Düsseldorf behandelt dieses und andere Themen in seinem Leitfaden "Enterprise mobility & innovations". Experte für BYOD und Recht ist Marc Oliver Hoormann, LL.M. (Informationsrecht) von PriceWaterhouseCoopers Legal.
Hoormann sagt: "Die instinktive Skepsis vor einer nur schwer kontrollierbaren "Schatten-IT" ist grundsätzlich angebracht, denn die rechtlichen Fettnäpfchen, in die Unternehmen treten können, sind vielseitig und können unangenehme Konsequenzen haben." Der Anwalt führt aus: "Hierzu zählen beispielsweise der Verlust von Kontrolle über geschäftliche Daten und gegebenenfalls ein unkontrollierter Datenabfluss - nicht zuletzt von sensiblen Geschäftsdaten - an Dritte, Datenschutzverstöße mit Folgen wie z. B. Rufschäden, Bußgelder von derzeit bis zu 300.000 Euro, Ordnungsverfügungen oder Schadensersatzansprüche von Betroffenen."
Ein Anspruch auf das Nutzen eigener Geräte am Arbeitsplatz besteht nicht, stellt Hoormann klar. Das Unternehmen kann dies untersagen. Willigt der Arbeitgeber in BYOD ein, hat der Arbeitnehmer einen Anspruch auf Kostenerstattung, sofern der Aufwand für Miete oder Anschaffung nicht bereits durch das Gehalt abgedeckt wird. Diesen Anspruch darf der Unternehmer weder ausschließen, noch deutlich zu niedrig ansetzen, so Hoormann.
Verantwortliche haften mit Privatvermögen
Der Anwalt betont, dass das Risiko-Management im Zusammenhang mit BYOD Chefsache ist. "In erster Linie" sind die Unternehmensführung, also Geschäftsführer und Vorstände, in der Pflicht. "Es kann allerdings auch Mitarbeiter mit herausgehobenen Positionen treffen, zum, Beispiel Compliance- oder IT-Sicherheitsbeauftragte", sagt Hoormann. Neben dem Unternehmen selbst haften diese Personen im ungünstigsten Fall übrigens mit ihrem privaten Vermögen. Das komme vor Gericht aber "eher selten vor".
Ein weiterer Aspekt: Wer sich auf BYOD einigt, muss prüfen, ob der privat abgeschlossene Mobilfunkvertrag des Mitarbeiters überhaupt beruflich genutzt werden darf. Manche Verträge sehen nur die private Nutzung vor. In einem solchen Fall würde der dienstliche Einsatz einen Verstoß gegen die Bedingungen des Mobilfunkvertrags darstellen.
Letztlich kann auch Hoormann nur darauf hinweisen, dass eine Nutzungsvereinbarung an die Bedürfnisse der jeweiligen Firma angepasst sein muss. Es gibt hier kein "One size fits all". Folgende Regelungen sollte aber jeder Entscheider klären:
-
zur Trennung privater und geschäftlicher Daten,
-
den Zugriff auf und die Einsichtnahme in Daten auf dem Gerät,
-
die Frage, wann das Unternehmen Daten (fern-)löschen darf,
-
ob und inwiefern Monitoring-Tools eingesetzt werden,
-
inwieweit Systemparameter fest eingestellt sind,
-
zur grundsätzlichen Haftungsverteilung zwischen Arbeitgeber und Arbeitnehmer,
-
ob auch Dritte (etwa Familienmitglieder oder Freunde) das mobile Device nutzen dürfen,
-
wer für Reparaturen und Wartungsarbeiten zuständig ist und wer hierfür finanziell aufkommt,
-
allgemein zu Prozessen im Lebenszyklus des Geräts (Verlust, Beschädigung, Aussscheiden des Mitarbeiters, Dokumentation).
Hoormann zeigt volles Verständnis für Entscheider, die BYOD ablehnen. Ihnen schlägt er eine abgemilderte Variante vor: CYOD, also "Choose your own Device". Hier bleiben die Geräte Eigentum des Unternehmens, der Mitarbeiter hat aber die Freiheit, sich sein Lieblings-Handheld auszusuchen.
Kosten nicht einzeln abrechnen
Zum Schluss noch ein ganz praktischer Tipp des Fachanwalts: "Die Kosten für beruflich bedingte Telefongespräche und/oder Datenübertragungen gegen Einzelnachweis zu erstatten, dürfte in Zeiten von zunehmenden Flatrate-Angeboten nicht nur ein Auslauf-Modell, sondern dazu unverhältnismäßig aufwendig und damit unpraktisch sein." Hoormann rät, eine Pauschalierung zu vereinbaren, und zwar entweder individuell mit dem einzelnen Arbeitnehmer oder kollektivvertraglich, etwa über eine Betriebsvereinbarung.
Hoormann selbst wirft einen differenzierten Blick auf Sinn und Zweck von BYOD. Über das Einsparpotenzial schreibt er: „Ob das Unternehmen durch BYOD tatsächlich Kosten senken kann, hängt maßgeblich von der Qualität der technischen und rechtlichen Planung ab. Die Ersparnis der Anschaffungskosten kann bei unzureichender Konzeption schnell durch zusätzlichen Administrationsaufwand oder durch Haftungsfälleaufgezehrt oder übertroffen werden.“ Auch glaubt er nicht, dass die IT-Abteilung tatsächlich durch BYOD entlastet wird.
Der Jurist vertritt aber auch die Befürworter. Er stimmt zu, dass BYOD die Mitarbeitermotivation steigern kann. Viele Arbeitnehmer seien mit den Funktionalitäten ihres Gerätes vertraut und oft nicht daran interessiert, mehrere Geräte bei sich zu führen. Hoormann sieht hier sogar einen Vorteil in Sachen Arbeitgeberattraktivität: „Das eigene „Wunschgerät“ auch beruflich einsetzen zu können, dürfte viele Mitarbeiter zufrieden stellen und manchen Bewerber von der innovativen Einstellung des Unternehmens sogar erst überzeugen.“