"Der Einsatz privater IT im Büro muss klar geregelt sein"
– Herr Dr. Scholz, ist “Bring your own Device” (BYOD), die Verwendung privater IT am Arbeitsplatz, wirklich so ein großes Thema?Der BYOD-Trend ist aus der Arbeitswelt nicht mehr wegzudenken. Schon heute akzeptieren die meisten Unternehmen, dass sich Arbeitnehmer nicht nur mit unternehmenseigenen Endgeräten, sondern auch mit privaten Endgeräten in die IT-Netzwerke des Unternehmens einwählen, um zum Beispiel E-Mails von zu Hause zu lesen. Aus Sicht der Arbeitnehmer ist es oft bequemer, sich dabei des eigenen, vertrauten Endgeräts statt eines Dienstgerätes zu bedienen. Gleichzeitig arbeitet die IT-Industrie an einer Vereinheitlichung der Kommunikation (Unified Communication). Den Nutzern soll es insbesondere ermöglicht werden, ihre gesamte Kommunikation über jeweils nur noch ein Endgerät abzuwickeln. Dieser Trend führt letztendlich dazu, dass sich die Nutzer für ein Gerät entscheiden müssen. Da dies de facto häufig das eigene Endgerät sein wird, müssen sich die Unternehmen mittelfristig auf BYOD einstellen. Wir erhalten in letzter Zeit immer häufiger Anfragen von Unternehmen, die eine BYOD-Strategie planvoll umsetzen möchten.- Ist die technische Trennung privater und dienstlicher Nutzung von Endgeräten überhaupt möglich?BYOD setzt voraus, dass ein wirksamer Schutz der Vertraulichkeit durch ein wohldurchdachtes und belastbares Sicherheitskonzept gestützt wird. Dies umfasst etwa Authentifizierungsverfahren und den Schutz von Inhalten durch Passwörter und Verschlüsselungsverfahren. Auf technischer Ebene ist eine Trennung privater und dienstlicher Nutzung bereits jetzt gut möglich. Ein Ende der technologischen Entwicklung ist hier allerdings noch lange nicht in Sicht.- Wie kann der Arbeitgeber kontrollieren, ob der Arbeitnehmer getroffene Vereinbarungen einhält, ohne Arbeitsrecht oder Datenschutzbestimmungen zu verletzen?Aus juristischer Sicht schützt das Verbot des Verrats von Betriebsgeheimnissen aus dem Gesetz gegen den unlauteren Wettbewerb (UWG) den Arbeitgeber, wohingegen das Datenschutzrecht den Arbeitnehmer schützt. Diese gegenläufigen Interessen müssen im Rahmen einer BYOD-Strategie in Ausgleich gebracht werden. Hierbei gilt: Je klarer die gegenseitigen Rechte und Pflichten geregelt sind, desto besser. Der Arbeitgeber sollte daher in jedem Fall eine BYOD-Richtlinie einführen, in der zum Beispiel seine Kontrollrechte klar beschrieben sind, und in diesem Zusammenhang auch die Einwilligung des jeweiligen Arbeitnehmers einholen. Weitere Maßnahmen sind etwa die Einbindung des Datenschutzbeauftragten sowie die Beteiligung des Betriebsrates.- Bis zu welchem Umfang haftet der Arbeitnehmer für durch Fahrlässigkeit entstandene Schäden?Nach den allgemeinen Grundsätzen der Arbeitnehmerhaftung kommt es zu einer Schadensteilung in Abhängigkeit des Verschuldensgrades, wenn der Schaden im Rahmen einer betrieblich veranlassten Tätigkeit entstanden ist: Für leicht fahrlässig verursachte Schäden haftet der Arbeitnehmer nicht, für durch mittlere Fahrlässigkeit verursachte Schäden nur anteilig, soweit der Schaden nicht auf das vom Arbeitgeber zu tragende allgemeine Betriebsrisiko zurückzuführen ist. Diese Grundsätze berücksichtigen, dass der Arbeitnehmer im Normalfall seine Leistungen innerhalb einer fremdbestimmten Organisation erbringt, die der Arbeitgeber steuert und für die er daher die Verantwortung trägt. Bei BYOD könnte dies jedoch anders sein, da nicht der Arbeitgeber, sondern der Arbeitnehmer das Endgerät auswählt. Es ist denkbar, dass dies Auswirkungen auf den Haftungsmaßstab des Arbeitnehmers hat. Gerichtliche Entscheidungen liegen hierzu noch nicht vor.- Würden Sie Mandanten dazu raten, den Mitarbeitern die Nutzung privater Hardware zu ermöglichen?Es ist zu erwarten, dass der Arbeitgeber die Nutzung privater Hardware auf Dauer ebenso wenig verhindern kann, wie er eine private Nutzung von Telefon und E-Mail im Unternehmen verhindern kann. Es kommt also darauf an, die Nutzung durch eine BOYD-Richtlinie zu regeln, um Schaden vom Unternehmen möglichst abzuhalten.—-Dr. Matthias Scholz ist Partner im Bereich IT-Recht bei Baker & McKenzie. Die Fragen stellte Andreas Hippin.