"Private Endgeräte im Job
BYOD – Bring your own device
Auf dem eigenen Notebook, Tablet oder Smartphone was
Dienstliches geschrieben oder fotografiert und dann per Mail, USB-Stick
oder Messenger ins Office übertragen?
In der Vergangenheit war das wohl
eher noch die Ausnahme, nun aber in Zeiten der Coronavirus-Krise ganz
sicher weit verbreitet.
„Bring Dein eigenes Gerät mit“, kurz: BYOD
(„Bring Your Own Device“), meint die Nutzung privater Endgeräte im
Dienst. Die ist oft komfortabler, dienstlich manchmal einfach sinnvoller
und in einer Ausnahmesituation wie der jetzigen weit verbreitet.
Viele
sitzen im Homeoffice an ihren eigenen Geräten.
Auch hierfür gibt es –
wie überall – Regeln, deren Einhaltung vor allem dem Datenschutz und der
IT-Sicherheit aller Beteiligten dient.
t@cker hat sich mit BYOD
beschäftigt und zeigt auf, was zu beachten ist.
Fehlende Regelungen bergen großes Risiko
Fehlende Regelungen für BYOD stellen ein großes
Risiko dar – man denke nur an Viren, Hacks und Daten-Leaks. Die oft
ungesicherten privaten Geräte und Anwendungen von Beschäftigten können
im schlimmsten Fall Einfallstor und leichte Ziele für Angreifer Sein.
Ganz zu schweigen von den rechtlichen Konsequenzen, die seit
Inkrafttreten der Datenschutzgrundverordnung (DSGVO) insbesondere für
öffentliche Behörden und Verwaltungen schwerwiegend sein können. Im
schlimmsten Fall müssen die Beschäftigten bei nicht bestehenden
Regelungen die rechtlichen Risiken selbst schultern – Unwissenheit
schützt vor Strafe nicht. Also besteht dringender Handlungsbedarf, den
Einsatz von BYOD im Job zu regeln.
Arbeitnehmer- und Arbeitgeberhaftung
Was passiert, wenn es keine BYOD-Regelung gibt, es
in der Praxis aber dennoch zum Einsatz von Privatgeräten kommt, zum
Beispiel bei einer vorübergehenden Rufbereitschaft? Schnell ist man da
bei Fragen der Arbeitnehmer- und Arbeitgeberhaftung. In punkto
Arbeitnehmerhaftung ist im Fall von BYOD klar, dass ein gesteigertes
Schadensrisiko besteht, insbesondere für die IT-Infrastruktur und den
Datenbestand des Arbeitgebers.
Bei Schadensersatzansprüchen des
Arbeitgebers gegen Beschäftigte gelten die Grundsätze der
Arbeitnehmerhaftung mit der abgestuften Haftungsprivilegierung.
Nach der
Rechtsprechung des Bundesarbeitsgerichts ist die Haftung der
Beschäftigten demzufolge – abhängig vom Verschuldensgrad – wie folgt
beschränkt:
Vorsätzlich verursachte Schäden hat der/die Beschäftigte in
vollem Umfang zu tragen. Gleiches gilt grundsätzlich auch für grob
fahrlässig verursachte Schäden. Haftungserleichterungen in Gestalt einer
Haftungsbegrenzung kommen in Betracht, wenn der Verdienst der/des
Beschäftigten in einem deutlichen Missverhältnis zum verwirklichten
Schadensrisiko steht. Bei einfacher und mittlerer Fahrlässigkeit haben
Beschäftigte und Arbeitgeber den Schaden anteilig zu tragen.
Für die
Anwendung von Haftungsbeschränkungen kommt es natürlich auch auf die
betriebliche Veranlassung einer Tätigkeit an. Als betrieblich veranlasst
sind solche Tätigkeiten anzusehen, die vertraglich übertragen worden
sind oder die die Beschäftigten im Interesse des Arbeitsgebers für den
Betrieb bzw. die Behörde ausführen.
Kommt es zu Schäden durch die
vertraglich geregelte Nutzung von privaten Endgeräten für dienstliche
Zwecke, dürften die Haftungsbeschränkungen auch ohne gesonderte
Haftungsvereinbarung Anwendung finden. Für den öffentlichen Dienst sind
Haftungserleichterungen etwa tarifvertraglich in TVöD, TV-L und TV-H
geregelt.
Für Beschäftigte stellt sich in Sachen BYOD die Frage nach Ersatzansprüchen gegen den Arbeitgeber im Falle von Verlust, Diebstahl oder Beschädigung des dienstlich genutzten Privatgeräts. Den Arbeitgeber treffen in Bezug auf das vom Arbeitnehmer berechtigterweise (weil notgedrungen, gestattet oder vereinbart) in den Betrieb eingebrachte Privateigentum Verwahrungspflichten, um es möglichst vor Verlust oder Beschädigung zu bewahren.
Für Beschäftigte stellt sich in Sachen BYOD die Frage nach Ersatzansprüchen gegen den Arbeitgeber im Falle von Verlust, Diebstahl oder Beschädigung des dienstlich genutzten Privatgeräts. Den Arbeitgeber treffen in Bezug auf das vom Arbeitnehmer berechtigterweise (weil notgedrungen, gestattet oder vereinbart) in den Betrieb eingebrachte Privateigentum Verwahrungspflichten, um es möglichst vor Verlust oder Beschädigung zu bewahren.
Dieser Pflicht genügt der Arbeitgeber, wenn er
die Maßnahmen trifft, die ihm unter Berücksichtigung der besonderen
betrieblichen und örtlichen Verhältnisse zugemutet werden können.
Die
Schutzpflicht wird in ihrem Umfang umso mehr abgeschwächt, je weniger
der betreffende Gegenstand mit dem betrieblichen Geschehen im
Zusammenhang steht.
Interessant ist hier die Frage, ob die Arbeitnehmerin oder der Arbeitnehmer auch Ansprüche gegen den Arbeitgeber geltend machen kann, wenn das private Gerät ohne schuldhafte Einwirkung des Arbeitgebers beschädigt wird?
Interessant ist hier die Frage, ob die Arbeitnehmerin oder der Arbeitnehmer auch Ansprüche gegen den Arbeitgeber geltend machen kann, wenn das private Gerät ohne schuldhafte Einwirkung des Arbeitgebers beschädigt wird?
Die verschuldensunabhängige Arbeitgeberhaftung kann
abbedungen werden, wenn die Arbeitnehmerin oder der Arbeitnehmer für die
Gefahrtragung eine entsprechende Abgeltung erhält. Eine solche
gesonderte Risikoprämienzahlung müsste nach der Höhe so bemessen sein,
dass die Arbeitnehmerin oder der Arbeitnehmer zumindest eine zur
Risikoabdeckung ausreichende Geräteversicherung abschließen kann.
Alternativ könnte der Arbeitgeber selbst eine Geräteversicherung für
Schäden und Verlust von Privatgeräten abschließen.
Sensibilisieren, schulen, technische Lösungen
Folgendes liegt also auf der Hand: BYOD macht, wer
rechtlich auf der sicheren Seite sein will, nicht mal einfach so,
sondern nach festgelegten Regelungen.
Für die mit der Nutzung von
Privatgeräten verbundenen Risiken müssen Beschäftigte, Arbeitgeber und
Dienstherrn gleichermaßen sensibilisiert und geschult werden.
Eine auch rechtlich saubere Lösung bieten schon heute technische Anwendungen.
Eine auch rechtlich saubere Lösung bieten schon heute technische Anwendungen.
Ihre Bedienung folgt der Erkenntnis, dass jede
Sicherheitsregel nur so viel wert ist wie ihre Anwendbarkeit. Wenn
Regeln Mitarbeitende zu sehr einschränken, umgehen sie sie.
Mit der
richtigen Technologie aber werden Sicherheitsmaßnahmen so umgesetzt,
dass die Mitarbeitenden im Grunde gar nicht anders können als sie
einzuhalten.
Ein mittlerweile gängiger Ansatz hierfür ist die so
genannte Container-Technologie.
Als Container-App auf dem Smartphone
oder Tablet bietet die Technologie einen abgeschotteten Bereich auf
privaten Geräten, in dem sich alle wichtigen Arbeitsfunktionen befinden:
E-Mails, Kontakte, Kalender, Aufgaben, Notizen, Dokumente, Browser und
Kamera in einem gewohnten Design, so dass die Nutzer kein aufwendiges
Training benötigen und sofort App produktiv und sicher arbeiten können –
auf dem eigenen Gerät. Der private Teil des Gerätes bleibt außerhalb
des Containers komplett unberührt und kann uneingeschränkt von den
Beschäftigten genutzt werden.
Damit lassen sich nicht nur
Sicherheitsrichtlinien umsetzen, sondern auch dienstliche Daten und die
Privatsphäre der Mitarbeitenden trennen und entsprechend schützen.
Rechtliche Regelung ist Voraussetzung
Voraussetzung von BYOD, auch unter Einsatz von
Container-Lösungen, sind allerdings zwingend rechtliche Regelungen. BYOD
kann nicht allein durch eine Weisung des Arbeitgebenden vorgeschrieben
werden. Auch eine Einführung ausschließlich durch den Abschluss einer
Betriebsvereinbarung ist nicht möglich. Vielmehr ist eine individuell
rechtliche Regelung Voraussetzung. Eine solche kann etwa bei
Angestellten im Arbeitsvertrag getroffen werden, ist aber bislang eher
die Ausnahme. Auch eine regelmäßige „betriebliche Übung“ kann nicht als anspruchsberechtigende Grundlage gelten.
Viele Fragen rund um BYOD sind von der Rechtsprechung noch nicht abschließend geklärt worden. Klare Regelungen und Absprachen zwischen Beschäftigten und Arbeitgeber sind daher umso notwendiger. Und dabei hilft die Kommunikation zwischen den Parteien, um klarzustellen, welche Ziele alle Betroffenen jeweils verfolgen. Im Rahmen einer vertraglich geregelten Genehmigung können und sollten jedenfalls Risiken ausgeschlossen werden. Regulieren statt ignorieren lautet das BYOD-Gebot der Stunde."
Quelle: t@cker-tipps 5/2020, S. 14/15
Keine Kommentare:
Kommentar veröffentlichen