t@cker-tipps 5/2020: Private Endgeräte im Job BYOD – Bring Your Own Device

t@cker-tipps 5/2020: Private Endgeräte im Job  BYOD – Bring Your Own Device

"Private Endgeräte im Job

BYOD – Bring your own device

Auf dem eigenen Notebook, Tablet oder Smartphone was Dienstliches geschrieben oder fotografiert und dann per Mail, USB-Stick oder Messenger ins Office übertragen? 

In der Vergangenheit war das wohl eher noch die Ausnahme, nun aber in Zeiten der Coronavirus-Krise ganz sicher weit verbreitet. 

„Bring Dein eigenes Gerät mit“, kurz: BYOD („Bring Your Own Device“), meint die Nutzung privater Endgeräte im Dienst. Die ist oft komfortabler, dienstlich manchmal einfach sinnvoller und in einer Ausnahmesituation wie der jetzigen weit verbreitet. 

Viele sitzen im Homeoffice an ihren eigenen Geräten. 

Auch hierfür gibt es – wie überall – Regeln, deren Einhaltung vor allem dem Datenschutz und der IT-Sicherheit aller Beteiligten dient. 

t@cker hat sich mit BYOD beschäftigt und zeigt auf, was zu beachten ist.

Fehlende Regelungen bergen großes Risiko

Fehlende Regelungen für BYOD stellen ein großes Risiko dar – man denke nur an Viren, Hacks und Daten-Leaks. Die oft ungesicherten privaten Geräte und Anwendungen von Beschäftigten können im schlimmsten Fall Einfallstor und leichte Ziele für Angreifer Sein. Ganz zu schweigen von den rechtlichen Konsequenzen, die seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) insbesondere für öffentliche Behörden und Verwaltungen schwerwiegend sein können. Im schlimmsten Fall müssen die Beschäftigten bei nicht bestehenden Regelungen die rechtlichen Risiken selbst schultern – Unwissenheit schützt vor Strafe nicht. Also besteht dringender Handlungsbedarf, den Einsatz von BYOD im Job zu regeln.

Arbeitnehmer- und Arbeitgeberhaftung

Was passiert, wenn es keine BYOD-Regelung gibt, es in der Praxis aber dennoch zum Einsatz von Privatgeräten kommt, zum Beispiel bei einer vorübergehenden Rufbereitschaft? Schnell ist man da bei Fragen der Arbeitnehmer- und Arbeitgeberhaftung. In punkto Arbeitnehmerhaftung ist im Fall von BYOD klar, dass ein gesteigertes Schadensrisiko besteht, insbesondere für die IT-Infrastruktur und den Datenbestand des Arbeitgebers. 

Bei Schadensersatzansprüchen des Arbeitgebers gegen Beschäftigte gelten die Grundsätze der Arbeitnehmerhaftung mit der abgestuften Haftungsprivilegierung. 

Nach der Rechtsprechung des Bundesarbeitsgerichts ist die Haftung der Beschäftigten demzufolge – abhängig vom Verschuldensgrad – wie folgt beschränkt: 

Vorsätzlich verursachte Schäden hat der/die Beschäftigte in vollem Umfang zu tragen. Gleiches gilt grundsätzlich auch für grob fahrlässig verursachte Schäden. Haftungserleichterungen in Gestalt einer Haftungsbegrenzung kommen in Betracht, wenn der Verdienst der/des Beschäftigten in einem deutlichen Missverhältnis zum verwirklichten Schadensrisiko steht. Bei einfacher und mittlerer Fahrlässigkeit haben Beschäftigte und Arbeitgeber den Schaden anteilig zu tragen. 

Für die Anwendung von Haftungsbeschränkungen kommt es natürlich auch auf die betriebliche Veranlassung einer Tätigkeit an. Als betrieblich veranlasst sind solche Tätigkeiten anzusehen, die vertraglich übertragen worden sind oder die die Beschäftigten im Interesse des Arbeitsgebers für den Betrieb bzw. die Behörde ausführen. 

Kommt es zu Schäden durch die vertraglich geregelte Nutzung von privaten Endgeräten für dienstliche Zwecke, dürften die Haftungsbeschränkungen auch ohne gesonderte Haftungsvereinbarung Anwendung finden. Für den öffentlichen Dienst sind Haftungserleichterungen etwa tarifvertraglich in TVöD, TV-L und TV-H geregelt.
Für Beschäftigte stellt sich in Sachen BYOD die Frage nach Ersatzansprüchen gegen den Arbeitgeber im Falle von Verlust, Diebstahl oder Beschädigung des dienstlich genutzten Privatgeräts. Den Arbeitgeber treffen in Bezug auf das vom Arbeitnehmer berechtigterweise (weil notgedrungen, gestattet oder vereinbart) in den Betrieb eingebrachte Privateigentum Verwahrungspflichten, um es möglichst vor Verlust oder Beschädigung zu bewahren. 

Dieser Pflicht genügt der Arbeitgeber, wenn er die Maßnahmen trifft, die ihm unter Berücksichtigung der besonderen betrieblichen und örtlichen Verhältnisse zugemutet werden können. 

Die Schutzpflicht wird in ihrem Umfang umso mehr abgeschwächt, je weniger der betreffende Gegenstand mit dem betrieblichen Geschehen im Zusammenhang steht.
Interessant ist hier die Frage, ob die Arbeitnehmerin oder der Arbeitnehmer auch Ansprüche gegen den Arbeitgeber geltend machen kann, wenn das private Gerät ohne schuldhafte Einwirkung des Arbeitgebers beschädigt wird? 

Die verschuldensunabhängige Arbeitgeberhaftung kann abbedungen werden, wenn die Arbeitnehmerin oder der Arbeitnehmer für die Gefahrtragung eine entsprechende Abgeltung erhält. Eine solche gesonderte Risikoprämienzahlung müsste nach der Höhe so bemessen sein, dass die Arbeitnehmerin oder der Arbeitnehmer zumindest eine zur Risikoabdeckung ausreichende Geräteversicherung abschließen kann. Alternativ könnte der Arbeitgeber selbst eine Geräteversicherung für Schäden und Verlust von Privatgeräten abschließen.

Sensibilisieren, schulen, technische Lösungen

Folgendes liegt also auf der Hand: BYOD macht, wer rechtlich auf der sicheren Seite sein will, nicht mal einfach so, sondern nach festgelegten Regelungen. 

Für die mit der Nutzung von Privatgeräten verbundenen Risiken müssen Beschäftigte, Arbeitgeber und Dienstherrn gleichermaßen sensibilisiert und geschult werden.
Eine auch rechtlich saubere Lösung bieten schon heute technische Anwendungen. 

Ihre Bedienung folgt der Erkenntnis, dass jede Sicherheitsregel nur so viel wert ist wie ihre Anwendbarkeit. Wenn Regeln Mitarbeitende zu sehr einschränken, umgehen sie sie. 

Mit der richtigen Technologie aber werden Sicherheitsmaßnahmen so umgesetzt, dass die Mitarbeitenden im Grunde gar nicht anders können als sie einzuhalten. 

Ein mittlerweile gängiger Ansatz hierfür ist die so genannte Container-Technologie. 

Als Container-App auf dem Smartphone oder Tablet bietet die Technologie einen abgeschotteten Bereich auf privaten Geräten, in dem sich alle wichtigen Arbeitsfunktionen befinden: E-Mails, Kontakte, Kalender, Aufgaben, Notizen, Dokumente, Browser und Kamera in einem gewohnten Design, so dass die Nutzer kein aufwendiges Training benötigen und sofort App produktiv und sicher arbeiten können – auf dem eigenen Gerät. Der private Teil des Gerätes bleibt außerhalb des Containers komplett unberührt und kann uneingeschränkt von den Beschäftigten genutzt werden. 

Damit lassen sich nicht nur Sicherheitsrichtlinien umsetzen, sondern auch dienstliche Daten und die Privatsphäre der Mitarbeitenden trennen und entsprechend schützen.

Rechtliche Regelung ist Voraussetzung

Voraussetzung von BYOD, auch unter Einsatz von Container-Lösungen, sind allerdings zwingend rechtliche Regelungen. BYOD kann nicht allein durch eine Weisung des Arbeitgebenden vorgeschrieben werden. Auch eine Einführung ausschließlich durch den Abschluss einer Betriebsvereinbarung ist nicht möglich. Vielmehr ist eine individuell rechtliche Regelung Voraussetzung. Eine solche kann etwa bei Angestellten im Arbeitsvertrag getroffen werden, ist aber bislang eher die Ausnahme. 
Auch eine regelmäßige „betriebliche Übung“ kann nicht als anspruchsberechtigende Grundlage gelten.
 
Viele Fragen rund um BYOD sind von der Rechtsprechung noch nicht abschließend geklärt worden. Klare Regelungen und Absprachen zwischen Beschäftigten und Arbeitgeber sind daher umso notwendiger. Und dabei hilft die Kommunikation zwischen den Parteien, um klarzustellen, welche Ziele alle Betroffenen jeweils verfolgen. Im Rahmen einer vertraglich geregelten Genehmigung können und sollten jedenfalls Risiken ausgeschlossen werden. Regulieren statt ignorieren lautet das BYOD-Gebot der Stunde."

Quelle: t@cker-tipps 5/2020, S. 14/15