Der neue Arbeitgeber von Holger P. aus München hatte nicht nur einen guten Ruf, er erlaubte es seinen Mitarbeitern auch, eigene Laptops, iPads und Smartphones mitzubringen und im Firmennetzwerk anzumelden. Praktisch, fand Holger P., auch weil er jetzt nicht mehr Gadgets im Doppelpack auf jede Reise mitnehmen musste. An irgendwelche Gefahren verschwendete er keinen Gedanken.
Bis ihm ein paar Monate später etwas extrem Dummes passierte: Das Smartphone - mittlerweile enthielt es neben den privaten Fotos und SMS auch Unternehmensdaten wie E-Mails, Termine und Dokumente - war plötzlich weg. Verloren oder gestohlen zwischen dem Abendessen mit Freunden und dem Taxi, das ihn ein paar Cocktails später nach Hause gebracht hatte.
Am Montagmorgen meldete Holger P. den Verlust seinem Chef und der IT-Abteilung. K.s Arbeitgeber, ein mittelständischer Produktionsbetrieb, konnte natürlich kein Interesse daran haben, Wettbewerbern Einblick in aktuelle Projekte und Ideen zu verschaffen.
Der Verlust privater Inhalte wie Fotos, E-Mails, Bankverbindungen und Zugangsdaten für Online-Shops ist zwar ärgerlich, aber doch eher eine Petitesse im Vergleich zum Verlust der Unternehmensdaten. Zumal die Folgen schwer abschätzbar sind und der Schaden womöglich irreparabel. Wer in einem solchen Fall haften muss, wurde bei Eintritt in die Firma nicht besprochen.
Fahrlässigkeit ist gefährlich
Fragt sich, welche rechtlichen Konsequenzen sich aus dem Malheur ergeben. Ersetzt der Arbeitgeber das Gerät? Kann der Arbeitnehmer für die Folgen des Datenverlustes verantwortlich gemacht werden?
"Eine solche Haftung ist nicht ausgeschlossen," sagt Carlos Drescher, Rechtsanwalt für Arbeitsrecht aus Hamburg. "Wenn der Arbeitnehmer dienstliche Daten mit Einwilligung seines Arbeitgebers auf seinem privaten Gerät nutzt und speichert, sollte er deshalb unbedingt einen Haftungsausschlusses vereinbaren."
Ob und in welchem Maße der Arbeitnehmer tatsächlich haften muss, hängt nach Ansicht von Rechtsanwalt Drescher erstens vom Grad seiner Fahrlässigkeit und zweitens vom Verhältnis der Schadenshöhe zu den wirtschaftlichen Verhältnissen des Arbeitnehmers ab.
Wer also grob Fahrlässig handelt, also zum Beispiel das Smartphone einfach irgendwo liegenlässt, kann durchaus für die Folgen des damit verbundenen Datenverlustes zur Kasse gebeten werden.
"Schön einfach", bestätigt Toralv Dirro, EMEA Sicherheitsstratege bei McAfee Labs, "ist BYOD nur, wenn alles gut geht. Arbeitnehmer sollten sich umfassend informieren, bevor sie ihre privates Gerät dienstlich nutzen. Ihnen muss klar sein, dass sie dann zwar noch Besitzer des Telefons sind, einen Teil der Entscheidungshoheit darüber aber abgeben."
Der Admin liest mit
Haftungsfragen sollten die Beteiligten also unbedingt vorher besprechen. Außerdem muss sich der Mitarbeiter Gedanken darüber machen, welchen Teil seines Privatlebens er auf dem Smartphone abbildet. Denn bei vorgeschriebenen Backups werden unter Umständen die privaten Daten mitgespeichert - und liegen dann dem Arbeitgeber vor.
Rechtlich interessant ist auch der umgekehrte Fall: Macht der Arbeitnehmer privat ein Backup der Daten, beispielsweise auf dem heimischen PC, landen dann auch Firmendaten dort? Ist der Arbeitgeber damit einverstanden? Auch hierüber sollte man sich im Vorfeld einigen.
Eine weitere Gefahr: Weil Sicherheitsverantwortliche verhindern wollen, dass Daten in die falschen Hände gelangen, nutzen sie zum Teil Programme zum Fern-Sperren und Fern-Löschen von Daten auf verlorengegangenen Geräten. Läuft es schlecht, sind dann private Fotos und Kontakte auch verschwunden.
Die Frage ist auch, was im Falle einer Kündigung mit dem Gerät und seinen Inhalten geschieht? Sind die Daten überhaupt noch voneinander zu trennen, Adressen zum Beispiel? Und wenn ja, wer führt diese Trennung durch?
Die möglichen Konflikte machen deutlich, dass BOYD ohne detaillierte Absprachen erhebliche Risiken birgt, und zwar für Arbeitnehmer und Arbeitgeber . - Holger P. und seine Firma hatten übrigens Glück im Unglück. Sein Smartphone war nach dem feuchtfröhlichen Abend aus der Tasche und in einen Spalt zwischen Sitz und Autotür des Taxis gerutscht, wo der Taxifahrer es zwei Tage später beim Reinigen seines Fahrzeugs fand. Unversehrt und unausgelesen.