Bring your own device (BYOD) – praktisch, aber juristisch tricky

Bring your own device (BYOD) – praktisch, aber juristisch tricky – Gastbeitrag der auf Arbeitsrecht und IT-Recht spezialisierten Rechtsanwälte Matthias Sziedat und Sebastian Dramburg. Unter dem Begriff BYOD ist die berufliche Nutzung von privaten Geräten wie Laptops am Arbeitsplatz zu verstehen. BYOD steht für den modernen Umgang mit Bürokommunikation, bringt aber auch rechtliche Fragestellungen mit sich.

Diese rechtlichen Probleme nicht zu beachten, kann sich für Unternehmen im Nachhinein als Problem entpuppen, das vermeidbar gewesen wäre.

Viele Unternehmen unterstützen Ihre Mitarbeiter in dem Wunsch, eigene Endgeräte zu nutzen, da der vertraute Umgang mit eigenem ‘Werkzeug’ eine Effizienzsteigerung vermuten und den Arbeitgeber zugleich modern und unbürokratisch erscheinen lässt. Zudem kann das Unternehmen Anschaffungskosten reduzieren.

Die Folge davon ist, dass durch die permanente Erreichbarkeit eine Trennung von Freizeit und Arbeitszeit nicht mehr an tatsächlichen Grenzen zu messen ist. Ob dies mehr Flexibilität für den Arbeitnehmer oder mehr Gegenleistung in Form von Mehrarbeit für den Arbeitgeber bedeutet, ist im Einzelfall zu entscheiden.

Was unbürokratisch erscheint, erfordert jedoch in der Umsetzung einiges an Vereinbarungen. Dies kann durch Unternehmensrichtlinien sowie im Arbeitsvertrag festgeschrieben werden. Sollte dies versäumt werden, sind Konflikte vorprogrammiert.

Zudem können unnötige Kosten und Rechtsstreitigkeiten auf den Arbeitgeber zukommen, die es im Vorfeld zu vermeiden gilt. Daher sollten Unternehmen folgende Punkte regeln und sich entsprechend rechtlich absichern:

1. Wer trägt welche Kosten?
Zu klären ist, wer die Kosten für den Provider, die Softwarelizenzen und eventuell anfallende Reparaturen des privaten Gerätes übernimmt.

Der Arbeitgeber hat auf alle Fälle die verauslagten Kosten für den Provider, Software und Reparaturen anteilig im Sinne eines Auftrages nach § 670 BGB zu erstatten.

Bei Reparaturen ist weiter zu bedenken, dass dazu ein dritter Zugang zu den betrieblichen Daten erhält. Vor dem Hintergrund der Sorgfaltspflicht des Arbeitgebers für personenbezogene Daten auf dem Gerät sollte dieser die Durchführung einer Reparatur auch selbst beauftragen.

2. Software richtig lizensieren
Die Softwarelizenzen sind von Anfang an auf ihre Nutzung für private und gewerbliche Anwendung zu erwerben. Sollte die erworbene Lizenz nicht dem tatsächlichen Zweck genügen, kann dies zu urheberechtlichen Unterlassungs- sowie Schadensersatzansprüchen führen.

Diese Ansprüche sind nicht nur gegen den tatsächlichen Verwender gerichtet, also den Arbeitnehmer, der nicht lizenzierten Programme verwendet. Sie können selbst verschuldensunabhängig den Arbeitgeber treffen. Es kommt also nicht darauf an, wer Eigentümer ist. Nachvergütungsansprüche des Lizenzgebers sind meist mit Mehrkosten verbunden.

Im Extremfall kann es sogar dazu kommen, dass sich Arbeitgeber, die BYOD-Modelle umsetzen, strafbar machen, wenn sie sich nicht ausreichend um die Lizenzfragen kümmern.

3. Haftung bei Verlust des Geräts
Hier wird neben den Kosten für eine Neubeschaffung des Geräts auch die Frage aufgeworfen, ob damit verbunden ein Arbeitsausfall mit dem Verlust des Anspruchs auf Vergütung nach § 615 Satz 1 BGB einhergeht.

Trifft keine Partei ein Verschulden, liegt ein Fall des Betriebsrisikos vor und der Entgeltanspruch des Arbeitnehmers bleibt bestehen.

Erst bei einem weitergehenden Verschulden (grob fahrlässig/vorsätzlich) entfällt nach § 326 Abs. 1 BGB der Anspruch auf Entgelt. Soweit man als Arbeitgeber diesen Anspruch durchsetzen möchte, sollte man dieses Szenario mit in die Vereinbarungen aufnehmen.

4. Verhaltenskodex zur Sicherstellung der datenschutzrechtlichen Anforderungen
Das Bundesdatenschutzgesetz (BDSG) erfordert einen besonderen Schutz von personenbezogenen Daten. Der Arbeitgeber muss die Erhebung von Daten, ihre Verarbeitung und Nutzung vollständig kontrollieren können. Diese Zugriffskontrolle erfordert insbesondere, dass personenbezogene Daten nicht unbefugt gelesen, verändert oder entfernt werden können. Hier sind Backups sinnvoll.

Dennoch ist klar: Der Arbeitnehmer macht sein Gerät zum Arbeitsmittel, das bei Audits der Softwarehersteller oder strafrechtlichen Durchsuchungen regelmäßig gescannt wird – trotz der privaten Daten, die sich auch darauf befinden.

Es sollte also geregelt werden, ob unterschiedliche Accounts auf dem Gerät einzurichten sind und ob bestimmte Unternehmensdienste durch spezielle Authentifizierung zu schützen sind.

Die datenschutzrechtliche Problematik kann weitere Folgen haben: Der Arbeitnehmer kann verpflichtet werden, eine Virensoftware zu installieren und es kann ihm untersagt werden, bestimmte Programme, Apps, Cloudanwendungen und Jailbreak zu nutzen.

Wichtig zu wissen ist jedenfalls, dass der Arbeitgeber auch für Fremdgeräte sorgfältig auf die Einhaltung der Datenschutzbestimmungen zu achten hat.

5. Löschungsbefugnis des Arbeitgebers
In Situationen wie Verlust des Geräts, Vertrauensbruch oder fristloser Beendigung des Arbeitsverhältnisses muss gewährleistet sein, wie mit den Unternehmensdaten darauf umgegangen wird.

Auch hierbei spielen die personenbezogenen Daten eine besondere Rolle. Zur Löschung der Daten müsste der Mitarbeiter bereits im Vorfeld eine Löschungsbewilligung erteilen.

Problematisch könnte es werden, wenn die privaten Daten des Mitarbeiters aus technischer Sicht nicht von den unternehmensbezogenen Daten getrennt werden können und mit gelöscht werden.

Weiter ist die Möglichkeit einer Fernlöschung für den Fall eines Geräteverlusts zu regeln. Zur Vermeidung von Datenverlust ist es ratsam, eine automatische Synchronisierung auf Unternehmensservern einzurichten.

6. Beendigung des Arbeitsverhältnisses
Am Ende des Arbeitsverhältnisses stellt sich für den Arbeitgeber immer die Frage, wie er an seine Unternehmensdaten im Endgerät des Arbeitnehmers herankommt.

Eine Wegnahme des privaten Geräts im Wege der Selbsthilfe nach § 866 BGB fällt aus. Faktisch kommt es auf eine freiwillige Kooperation an. Sollte sich dies schwierig gestalten, könnte, soweit alle Daten synchron auf Unternehmensservern abgespeichert sind, eine zuvor vereinbarte Fernlöschung die pragmatischste Lösung sein. Darüber hinaus sollte bereits im Arbeitsvertrag vereinbart werden, dass dienstliche Daten vom Mitarbeiter bis spätestens Vertragsende zu löschen sind.

7. Steuerliche Betrachtung
Lohnsteuer und Umsatzsteuer erfordern eine nachvollziehbare Abgrenzung der tatsächlichen Nutzung des privaten Geräts. Die Steuerrechtsprechung hat bislang noch keine konkreten Fälle zum BYOD-Modell hergegeben.

Geregelt aber ist der umgekehrte Fall, dass betriebliche Geräte auch privat genutzt werden können. Grundsätzlich sollte der Arbeitnehmer Anschaffungs- und Unterhaltungskosten des Geräte als Werbungskosten absetzen können. Und der Arbeitgeber sollte die Kosten, die im Zusammenhang mit den Geräten entstehen, auf seine Betriebsausgaben anrechnen dürfen.