28. Juli 2015
BYOD, Datenschutzrecht
Datenschutzrecht

BYOD und Datenschutz: Private Smartphones dienstlich genutzt

BYOD (Bring Your Own Device) ist um Zusammenhang mit Datenschutz ein wichtiges Thema bei vielen Unternehmen. Wir beleuchten die rechtlichen Stolpersteine.

Die wichtigsten datenschutzrechtlichen und arbeitsrechtlichen Stolpersteine bei der Einführung von „Bring Your Own Device“ (BYOD) für Arbeitnehmer.

Um dem Wunsch nach besserer Erreichbarkeit nachzukommen, nutzen immer mehr Arbeitnehmer beruflich Smartphones, von denen auf dienstliche Mails und Datenbanken zugegriffen und Telefonate geführt werden können. Auch privat nutzen mittlerweile die meisten Arbeitnehmer Smartphones. Um die vielfach als unbequem und altmodisch empfundene parallele Nutzung zweier Geräte zu verhindern, bietet sich die Bündelung in einem einzigen zugleich dienstlich und privat genutzten Gerät an.

Unter dem Stichwort „Bring Your Own Device“ (BYOD) bieten Arbeitgeber ihren Arbeitnehmern Zugriff auf dienstliche Daten vom privaten Gerät des Arbeitnehmers. Hierbei stellen sich neben Problemen im Bereich Datenschutz auch solche aus dem Arbeitsrecht, die der Arbeitgeber bei der Einführung beachten muss.

1. Datenschutzrechtliche Dimension des BYOD

Die Unternehmensdaten, auf die der Arbeitnehmer Zugriff erhält, stellen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person dar. Der Arbeitnehmer kann z.B. E-Mail-Adressen, Vertretungsverhältnisse juristischer Personen und Telefonnummern natürlichen Personen zuordnen. Hierbei handelt es sich um personenbezogene Daten, so dass die Vorschriften des Bundesdatenschutzgesetzes (insb. § 9 BDSG) beachtet werden müssen, wenn BYOD möglich gemacht werden soll. Dem Arbeitgeber obliegt als verantwortlicher Stelle die Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe- und Auftragskontrolle. Diese Pflichten beinhalten u.a. die Einführung eines Verschlüsselungssystems und die Trennung von zu unterschiedlichen Zwecken erhobenen Daten.

Besondere rechtliche Bedeutung hat der Umstand, dass das BYOD-Gerät im Alleineigentum des Arbeitnehmers steht. Eine rechtliche Zugriffsmöglichkeit des Arbeitgebers, die erforderlich ist, um den vorgenannten Pflichten nachzukommen, besteht ohne entsprechende vertragliche Absprachen nicht. Arbeitgeber sollten bei der Vereinbarung zur Einführung von BYOD auf die Vereinbarung entsprechender Zugriffsrechte achten.

In technischer Hinsicht sollten sog. Container-Apps genutzt werden. Sie ermöglichen die Trennung privater und dienstlicher Inhalte, indem getrennte Arbeits- und Datenbereiche auf dem Gerät geschaffen werden. Der dienstliche Datenverkehr findet ausschließlich mit dem dienstlichen „Container“ statt, so dass Kontroll- und Schutzpflichten wie bei reinen Dienstgeräten nachgekommen werden kann.

Aufgrund der strikten Trennung der Datensätze ist eine Rechtfertigung der (dienstlichen) Datenerhebung nach dem BDSG (§ 32 Abs. 1 S. 1) im Bereich der dienstlichen Daten ohne weiteres möglich. Informationen, die den beruflichen Sachverhalten zuzuordnen sind, können für das Arbeitsverhältnis von Bedeutung sein und dürfen erhoben und verarbeitet werden. Informationen aus der Privat- oder Intimsphäre des Arbeitnehmers, die sich außerhalb des dienstlichen  „Containers“ befinden, dürfen hingegen nicht erhoben werden.

Eine weitere Möglichkeit zur Rechtfertigung der Datenerhebung stellt der Abschluss von Tarifverträgen oder Betriebsvereinbarungen dar. Vorteil einer solchen Regelung ist die kollektive Gültigkeit der Rechtfertigung.

Bei der Rechtfertigung im Wege einer Einwilligung des einzelnen Arbeitnehmers (§ 4a BDSG) sollte der Arbeitgeber besondere Vorsicht walten lassen. Der Arbeitnehmer könnte annehmen, die Teilnahme an BYOD sei vom Arbeitgeber „gern gesehen“ und eine Verweigerung den Aufstiegschancen abträglich. Die Besorgnis solcher Nachteile lässt die für die Einwilligung erforderliche Freiwilligkeit zumindest fraglich erscheinen. Entsprechende Schriftstücke sollten daher so ausgestaltet sein, dass der Freiwilligkeitscharakter deutlich hervorgehoben wird.

2. Arbeitsrechtliche Dimension des BYOD

In arbeitsrechtlicher Hinsicht ist bereits die Einführung von BYOD nicht einseitig durch den Arbeitgeber möglich. Den Arbeitgeber trifft grds. die Pflicht, die zur Arbeitsleistung erforderlichen Mittel zur Verfügung zu stellen. Die Anschaffung eines entsprechenden Geräts würde den Pflichtenkreis des Arbeitnehmers erweitern und nicht bloß konkretisieren, so dass eine Einführung durch bloße Weisung (§ 106 GewO) ausscheidet.

Bei einer arbeitsvertraglich vereinbarten Verpflichtung zu BYOD sollte eine Gegenleistung vorgesehen werden, um den Anforderungen des AGB-Rechts zu genügen. Insbesondere der vorgenannte Grundsatz der vom Arbeitgeber zur Verfügung zu stellenden Arbeitsmittel erlangt hier Bedeutung (§ 307 Abs. 2 Nr. 1 BGB) für die Zulässigkeit der Klausel. Die Gegenleistung kann z.B. in einer Beteiligung an den Anschaffungs- oder Vertragskosten liegen. Die Gewährung einer Gegenleistung ist hingegen nicht erforderlich, wenn die Teilnahme an BYOD für den Arbeitnehmer freiwillig ist.

Die Container-Apps stellen aufgrund ihrer Protokollierungsmöglichkeiten eine technische Einrichtung zur Überwachung der Arbeitnehmer dar. Bei ihrer Einführung besteht daher ein Mitbestimmungsrecht des Betriebsrates (§ 87 Abs. 1 Nr. 6 BetrVG).

Eine weitere Facette findet sich im Arbeitszeitrecht. Arbeitnehmer werden ihr privates Smartphone natürlich auch außerhalb der eigentlichen Arbeitszeiten mit sich führen. Durch die Verbindung zur dienstlichen IT-Infrastruktur besteht damit eine ständige Erreichbarkeit. Es stellt sich somit die Frage, welche Zeiträume vergütungspflichtige Arbeitszeit darstellen. Die ständige Erreichbarkeit weist eine Nähe zur Rufbereitschaft auf, bei der der Arbeitnehmer jederzeit erreichbar sein muss, um die Arbeit zeitnah aufnehmen zu können. Die zur Rufbereitschaft entwickelten Grundsätze können daher auch für BYOD herangezogen werden. Vergütungspflichtige Arbeitszeit liegt danach erst dann vor, wenn der Arbeitnehmer tatsächlich tätig wird.

Außerdem stellt sich die Frage, wann die gesetzlich vorgeschriebene ununterbrochene elfstündige Ruhezeit beeinträchtigt wird. Bloße Erreichbarkeit ohne tatsächliches Tätigwerden unterbricht die Ruhezeit jedenfalls nicht. Weniger eindeutig liegt der Fall bei bloß kurzen Unterbrechungen (sog. Bagatellfälle). Nach dem Gesetzeswortlaut kommt eine Kürzung der Ruhezeit nur in engen Grenzen in Betracht. Sollte die Arbeitsaufnahme jedoch nur von kurzer Dauer sein und die Erheblichkeitsschwelle nicht erreichen, ist es sachgerecht, keine Unterbrechung der Ruhezeit anzunehmen. Bagatellfälle stehen dem Sinn und Zweck der Ruhezeit nicht entgegen, da sie die Gesundheit des Arbeitnehmers nicht gefährden.

Fazit: technische Absicherung und sachgerechte Handhabung möglich

Die Vorteile von BYOD im Hinblick auf Kosten, Image und Effizienz dürften dafür sorgen, dass der Trend zu dieser Gestaltungsform anhält. Arbeitgeber sollten beim Zugriff auf personenbezogene Daten restriktiv vorgehen und die erforderlichen technischen Maßnahmen ergreifen. Die anspruchsvolle Aufgabe der rechtssicheren Einführung lässt sich mit einem kooperativen Betriebsrat über eine Betriebsvereinbarung sachgerecht erreichen.

Für eine vertiefende Lektüre empfehlen wir Wisskirchen/Schiller (Der Betrieb 2015, S. 1163).

Tags: BYOD Datenschutzrecht & Recht der IT-Sicherheit