Worauf Unternehmen beim BYOD-Modell achten sollten
Bring your own Device (BYOD) bezeichnet die Möglichkeit private Geräte wie Smartphones, Tablets und Laptops im Unternehmen zu nutzen und mit diesen auch auf die geschützten Datenbereiche im Arbeitsalltag zugreifen zu können.
Die Nutzung privater Kommunikationsgeräte für dienstliche Zwecke gehört in vielen Unternehmen zum Alltag. Arbeitgeber können hierdurch den Investitionsaufwand für Hard- und Software reduzieren, während Arbeitnehmer das eigene und damit vertraute Endgerät nützen können.
Arbeitnehmer sind zur Nutzung von BYOD allerdings nicht verpflichtet. Eine Weisung des Arbeitgebers, vorhandene private Endgeräte auch für dienstliche Zwecke zu nutzen, ist nicht vom Direktionsrecht des Arbeitsgebers umfasst. Es obliegt grundsätzlich dem Arbeitgeber, die für die Erbringung der Arbeitsleistung erforderlichen Arbeitsmittel zur Verfügung zu stellen. Die Nutzung von BYOD erfolgt somit stets auf freiwilliger Basis. In der Praxis sollte BYOD als freiwillige Option ausgestaltet werden, die es dem Mitarbeiter überlässt, ob er sein privates oder ein dienstliches Gerät nutzen möchte.
BYOD und Datensicherheit
Beim Einsatz von „BYOD”-Lösungen müssen neben arbeitsrechtlichen insbesondere datenschutzrechtliche Vorgaben eingehalten werden. Haftungs- und Datensicherheitsrisiken sollten daher durch klare Regelungen eingegrenzt werden. Denn bei der Verarbeitung und Nutzung personenbezogener Daten auf privaten Geräten des Arbeitnehmers, bleibt der Arbeitgeber verantwortliche Stelle iSv § 3 Abs. 7, sodass er für mögliche Verstöße seiner Mitarbeiter gegen datenschutzrechtliche Vorgaben haftet.
Die zu ergreifenden Maßnahmen zur Datensicherheit müssen nach § 9 S. 2 BDSG in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen. Eine sorgfältige vertragliche Gestaltung ist aber in jedem Fall zwingend erforderlich, um sich z.B. ein umfängliches rechtliches Dispositionsbefugnis über die auf dem privaten Endgerät verarbeiteten und gespeicherten Daten des Unternehmens zu sichern.
Insbesondere sollte für den Fall, dass der Arbeitnehmer keinen Zugriff mehr auf das Endgerät und die dort gespeicherten Daten hat, eine Einwilligung zum Fernzugriff durch den Arbeitgeber auf das IT-Endgerät vorliegen. Denn verliert der Arbeitnehmer während des Arbeitsverhältnisses dauerhaft den Zugriff auf das Gerät, kann der damit drohende Verlust von gespeicherten Unternehmensdaten eine Informationspflicht gegenüber der Aufsichtsbehörde sowie gegenüber den Betroffenen nach § 42a BDSG auslösen. Für diesen Fall sollte es die Möglichkeit geben eine Fernlöschung sämtlicher gespeicherter Daten durch den Arbeitgeber vorzunehmen, sobald die Sicherheit der Daten akut gefährdet ist (sog. Remote-Zugriff).
Zudem muss gewährleistet sein, dass der Arbeitgeber während des laufenden Arbeitsverhältnisses -etwa zu Kontroll- und Wartungszwecken- Zugriff auf das private IT-Endgerät des Arbeitnehmers erhält.
Praxistipp zur Datensicherheit
Die Speicherung und Bearbeitung von unternehmenseigenen Daten kann aus Sicherheitsgründen auch nur über den Zugriff auf einen unternehmenseigenen Server oder eine Cloud-Lösung erfolgen. Dadurch beschränkt sich das Risiko bei Verlust des Endgerätes nur noch auf die zuletzt noch im Arbeitsspeicher des Gerätes vorhandenen unternehmenseigenen Daten.
Beitragsbild: © artiemedvedev
Beitrag teilen
Zuständige Rechtsanwälte
-
Volker Görzel Fachanwalt für Arbeitsrecht
-
Simone Schäfer Fachanwältin für Arbeitsrecht