Bring Your Own Device (BYOD)

Bring Your Own Device, abgekürzt als BYOD, steht für die Integration von privater mobiler Hardware, wie Laptops, Tablet PCs oder Smartphones, in das unternehmensinterne Netzwerk. Die für die Aufgabenbewältigung nötigen und verwendeten Geräte werden nicht mehr – oder zumindest nicht mehr ausschließlich – vom Arbeitgeber gestellt, sondern von den Mitarbeitern selbst. Wichtigstes Kriterium zur Abgrenzung zu anderen, ähnlichen Konzepten ist das Eigentum am Gerät, das in der BYOD-Konstellation beim Mitarbeiter liegt.
Den Mitarbeitern wird dabei mehr Flexibilität geboten, wodurch sich die Unternehmen eine stärkere Bindung und mehr Engagement der Mitarbeiter erhoffen. Auch die Kosteneinsparung kann für die Unternehmen ein positiver Nebeneffekt sein, da die Mitarbeiter zusätzlich ihre privaten Geräte nutzen und dadurch den Arbeitgeber bei der Anschaffung von Arbeitsgeräten entlasten. Diese „private Kostenübernahme“ und auch die erhöhte Erreichbarkeit, die mit der geschäftlichen Nutzung von privaten Geräten einhergeht, kann für die Mitarbeiter jedoch eine zusätzliche Belastung darstellen.
Das BYOD-Konzept birgt zudem ein hohes Gefahrenpotenzial. Grundproblem ist, dass das Eigentum an dem Gerät und das Verfügungsrecht über auf dem Gerät gespeicherte betriebliche Daten auseinander fallen. Auf den privaten Geräten sammeln sich sowohl Daten von Unternehmenskunden, Betriebs- und Unternehmensgeheimnisse, als auch die privaten Daten der Mitarbeiter selbst. Dabei Datensicherheit, Datenschutz, Urheberrechte usw. zu gewährleisten stellt eine große Herausforderung dar.
Am häufigsten wird BYOD in Verbindung mit Tablets, Smartphones oder Notebooks, sogenannten Consumer-Grade-Geräten, angewendet. Daher stammt der neue Begriff der „Consumerization“ der IT, der die Annäherung der dienstlichen IT an den Verbraucher beschreibt. „Consumerization der IT“ ist neben „Cloud Computing“ und „Social Media“ der Technologietrend schlechthin für Unternehmen im letzten Jahrzehnt. Und die Idee, eigene Endgeräte in die Firmenorganisation zu integrieren wird sich in den kommenden Jahren noch verstärken, da bereits in den Universitäten, wo die Arbeitnehmer von morgen sitzen, dieser Trend genährt wird.  Viele Unternehmen erwarten sich zum einen eine Steigerung der Mitarbeiterzufriedenheit und der Effizienz, sowie die Wahrnehmung als attraktiver und moderner Arbeitgeber (laut BITKOM-Umfrage 2012). Bis 2016 planen sogar knapp 40% der Unternehmen BYOD verbindlich in den Unternehmensprozess zu integrieren (laut einer Studie des Marktforschungsunternehmen Gartner 2013).
Oftmals verleiten die erwarteten Vorteile und der Hype die Unternehmen zu einer vorschnellen Integration des Konzepts und dabei werden die begleitenden Risiken leichtfertig übersehen. Das Gefahrenpotential entsteht durch eine enorme Breite an rechtlichen Bereichen, die durch das BYOD-Konzept gestreiften werden.

BYOD kann in erster Linie ein Sicherheitsrisiko für Unternehmen darstellen. Da die privaten Geräte nicht, oder zumindest nicht vollkommen, überwachbar sind, kann das Unternehmen keine Sicherheit derjenigen Daten gewährleisten, die mit diesen Endgeräten verarbeitet werden. Auch das Risiko einer Infiltrierung oder Spionage besteht. Erfahrungsberichte sprechen für sich. Ungefähr ein Drittel der Unternehmen, die ihren Mitarbeitern die Benutzung privater Geräte erlaubt haben, berichten über Datenverlust oder falschen Umgang mit den privaten Geräten. Sicherheitsprobleme sind vorhanden und werden verhältnismäßig wenig durch Richtlinien oder technische Maßnahmen behoben. Dennoch berichten Unternehmen von positiven Erfahrungen, wenn ein Sicherheitssystem wirksam implementiert wurde. Mehr Engagement und Effizienzsteigerung der Mitarbeiter zum einen und Kostensenkung (z.B. Telefonkosten) zum anderen, stellen beobachtete positive Entwicklungen dar.
Weitere Herausforderungen bringt die Diversität der Geräte mit sich. Verschiedene Modelle, Lebenszyklen und damit verbunden Wartungsaufgaben machen einen einheitlichen Support innerhalb des Unternehmens nahezu unmöglich. Diese Aspekte widersprechen eher der aktuellen Idee der Simplifizierung der IT-Infrastruktur. Auch die Kompatibilität der verschiedenen Geräte und deren Betriebssystemen untereinander ist nicht grundsätzlich gewährleistet.
Auch die rechtmäßige Lizensierung stellt die Unternehmen vor eine Herausforderung. Oftmals wird übergangen, dass private Endgeräte meist auch nur für den privaten Gebrauch lizensiert sind. Folge ist eine regelmäßige Lizenzüberschreitung bzw. –Verletzung.

Dem Thema BYOD wurde lange skeptisch begegnet. Tendenziell ist zu raten, den Einsatz von BYOD so restriktiv wie möglich zu gestalten, um das weite Spektrum an rechtlichen Problemen, die weit ins Datenschutz-, Arbeits-, Urheberrecht und einer Reihe weiteren Rechtsgebiete hineinreichen, zu umgehen. Die nachfolgende Übersicht stellt die rechtlichen Gefahrenpunkte dar, die Grund für diese Skepsis und Zurückhaltung sind.

•    Datenschutzrecht

Datenschutzrechtlich liegt das Grundproblem beim BYOD-Konzept im Verschwimmen der Grenzen zwischen privaten und betrieblichen Daten. Werden personenbezogene Daten, oder auch betriebs- und geschäftsspezifische geheime Daten, mit den privaten Endgeräten verarbeitet, muss dabei gewährleistet sein, dass die Daten nicht verloren gehen, an unberechtigte Dritte gelangen oder unzulässig erhoben, genutzt oder verarbeitet werden (§ 4 BDSG). Bei etwaigen Verletzungen der datenschutzrechtlichen Bestimmungen (BDSG) muss geregelt sein, wer haftet. Die Haftung trifft normalerweise das Unternehmen, da es gemäß § 7 BDSG als verantwortliche Stelle handelt. Anders kann sich die Situation jedoch darstellen, wenn die Geräte im Eigentum der Arbeitnehmer sind.

Auch der Konflikt zwischen Datensicherheit und dem privaten Recht auf Datenschutz, das sich aus dem Recht auf informationelle Selbstbestimmung gemäß Art. 2 Abs. 1 GG i.V.m. Art 1 Abs. 1 GG ergibt, stellt ein Problem dar. Um Daten auf einem privaten Endgerät zu sichern, muss der Arbeitgeber auf die Geräte zugreifen. Um dabei eine Verletzung des Rechts auf informationelle Selbstbestimmung zu vermeiden, sollten diese Eingriffe mit dem Arbeitnehmer abgesprochen und in Richtlinien und betrieblichen Vereinbarungen niedergeschrieben werden. Vertragliche Vereinbarungen zwischen Arbeitgeber und Arbeitnehmer sind dabei essentiell. Der Arbeitgeber kann sich durch die Einwilligung bzw. Abtretung der Rechte des Arbeitnehmers größte Sicherheit verschaffen.

Des Weiteren ist der Arbeitnehmerdatenschutz gemäß § 32 BDSG als Konkretisierung des Allgemeinen Persönlichkeitsrechts zu beachten. Ebenso das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität von informationstechnischen Systemen. Personenbezogene Daten, die bei einer potentiellen Überwachung der Mitarbeiter erhoben werden, unterliegen diesem Schutz. Unter anderem bei Kontrollen durch Mobile Device Management (MDM)-Einrichtungen werden personenbezogene Daten erhoben und sogar teilweise komplette Bewegungsprofile erstellt. Um Betriebs- und Unternehmensdaten zu sichern, werden immer häufiger sogenannte „Data Loss Prevention“ Systems implementiert. Dabei wird mittels Keyword Matching, Session tracking oder linguistischer Analyse die Datensicherheit überprüft. Diese bergen jedoch wiederum das Risiko der unzulässigen verdachtsunabhängigen Mitarbeiterüberwachung. Aus rechtlicher Sicht sollte der Arbeitnehmer auf dieses Recht erst wirksam verzichten, bevor der Arbeitgeber eine Nutzung privater Geräte erlaubt.
Der Arbeitgeber ist zudem als verantwortliche Stelle im Sinne des § 9 S. 1 BDSG verpflichtet, technische und organisatorische Maßnahmen, die zur Erfüllung des BDSG Gesetzes und dessen Anforderungen dienen, zu implementieren. Das heißt, dass wirksame Kontrollen zum Zugriff, Zugang, Eingabe und Weitergabe der Daten eingeführt werden müssen. Private und geschäftliche Daten sind zu trennen und eine Verschlüsselung der Daten auf dem Gerät und an den Schnittstellen ist erforderlich. Vor allem, da die Geräte meist mobil sind, stellt das für den Arbeitgeber eine Herausforderung dar.

•    Arbeitsrecht

Eine Verpflichtung zur Nutzung der privaten Geräte kann der Arbeitgeber über sein Direktionsrecht aus § 106 GewO gegenüber dem Arbeitnehmer nicht erreichen, da die Privatsphäre und privates Eigentum nicht erfasst werden. Zusätzlich ist der Arbeitgeber grundsätzlich dafür verantwortlich, dem Arbeitnehmer die Betriebsmittel zur Verfügung zu stellen. Folglich bleibt BYOD für den Arbeitnehmer ein freiwilliges Konzept.
Für den Arbeitgeber meist unerlässlich sind die individualarbeitsrechtlichen Vereinbarungen mit dem Arbeitnehmerm, sprich der Arbeitsvertrag. Dieser muss sowohl den datenschutzrechtlichen Anforderungen des BDSG als auch dem AGB-Recht entsprechen. Es dürfen vor allem keine überraschenden, § 305 c BGB, und für den Arbeitnehmer unvorteilhaften Klauseln, § 307 BGB, enthalten sein. Geregelt werden sollte insbesondere auch, in welchem Umfang der Arbeitnehmer das Gerät während der Arbeitszeit zu privaten Zwecken verwenden darf. Ebenso spielt der Umgang mit den Daten, sprich etwaige Herausgabe nach Beendigung des Arbeitsverhältnisses eine Rolle in den Vereinbarungen. Wie oben bereits erwähnt, sollte sich der Arbeitgeber auch Rechte zum Eingriff vom Arbeitnehmer einräumen lassen.

Zudem ist auch der Betriebsrat mit einzubeziehen. Der Katalog des § 87 Abs. 1 BetrVG beschreibt die Umstände in denen die Zustimmung des Betriebsrats eingeholt werden muss. Da bei der Implementierung des BYOD-Konzepts sowohl die Ordnung des Betriebs (Nr. 1), die Arbeitszeit (Nr. 2), als auch Überwachungsmaßnahmen (Nr. 6) betroffen sind, liegt diese Mitbestimmungspflicht vor. Demnach muss der Betriebsrat bei entsprechenden Maßnahmen miteinbezogen werden und seine Zustimmung geben. Gemäß § 77 BetrVG kann auch eine Betriebsvereinbarung zu diesem Thema getroffen werden. Dieser bleibt jedoch der private Bereich entzogen (z.B. Wartung, privater Gebrauch). Folglich kann meistens auf eine arbeitsvertragliche Vereinbarung nicht verzichtet werden.

Dem Thema sollte auch insofern Aufmerksamkeit gewidmet werden, da aus betrieblicher Übung ein Recht auf die Nutzung privater Geräte entstehen kann, ohne, dass der Arbeitgeber entsprechende Sicherheitsmaßnahmen getroffen hat. Ein unkontrollierter Auswuchs sollte folglich vermieden werden.
Im Hinblick auf die gesetzlichen Regelungen zur Arbeitszeit in § 3 ArbZG sollte auch die etwaige Bearbeitung dienstlicher Aufgaben außerhalb der Arbeitszeit beachtet werden. Eine Arbeitszeitüberschreitung wird durch die ständige Verfügbarkeit wahrscheinlicher, folglich sollte der Arbeitnehmer auf einen Verzicht der dienstlichen Nutzung bei übermäßiger Stundenzahl hingewiesen werden.
Des Weiteren zu vereinbaren ist die Beteiligung des Arbeitgebers an den Anschaffungs- und Nutzungskosten und die Haftungsübernahme. Normalerweise ist der Arbeitgeber für die Beschaffung und Instandhaltung der Betriebsmittel verantwortlich und kommt auch für Verlust oder Schäden auf. Diese Belastung im BYOD-Konzept ersatzlos auf den Arbeitnehmer abzuwälzen wäre nicht akzeptabel. Die erbrachten Aufwendungen (z.B. für Telefonate oder Datentransfer) müssen folglich vom Arbeitgeber entweder durch das Gehalt abgegolten werden oder separat ersetzt werden.

•    Steuerrecht / Handelsrecht

Dokumentationspflichten finden sowohl im Handels- als auch im Steuerrecht ihre Grundlagen (u.a. § 239, 257 HGB; § 147 AO; § 14b UStG). Unternehmensrelevante Daten müssen gespeichert und nachvollziehbar dokumentiert werden können. Das Unternehmen muss dafür sorgen, dass Daten, die auf den privaten Geräten bearbeitet und gespeichert werden, auch nach der Verwendung im Unternehmen verbleiben und gespeichert werden. Dem sollte bereits auf technischer Ebene durch dementsprechende Synchronisierungssoftware begegnet werden.
Bei der Trennung von Lohnsteuer und Umsatzsteuer birgt BYOD ebenfalls rechtliche Herausforderungen. Das grundlegende Problem stellt die Abgrenzung der Aufwendungen des Arbeitnehmers von denen des Arbeitgebers dar. Je nach Ausgestaltung der Vergütung für die privaten Geräte, kann das Gerät vom Eigentümer steuerlich abgesetzt werden oder eben nicht. In diesem Zusammenhang ist eine klare vertragliche Regelung zu BYOD-Vergütung notwendig, um steuerrechtlich Eindeutigkeit zu schaffen.

•    Lizenzrecht / Urheberrecht

Vor allem auch dem lizenzrechtlichen und urheberrechtlichen Aspekt muss bei diesem Thema besondere Aufmerksamkeit gewidmet werden. Bei der Softwarelizenzierung ist auf die Ausgestaltung zu achten. Die Lizenz kann sowohl vom Arbeitgeber als auch vom Arbeitnehmer erworben und zur Verfügung gestellt werden. Dabei kann die Lizenz gerätebezogen oder personenbezogen sein und sich auf den privaten oder gewerblichen Gebrauch beziehen. Auch Softwarepakete oder Mehrplatzlizenzen sind eine häufig gewählte Variante. Das Bewusstsein über diese Unterscheidung ist wichtig, um nicht einer etwaigen Lizenzverletzung zu unterliegen und ggf. hohen Schadensersatz leisten zu müssen.

Nutzt der Arbeitnehmer die eigene Software auf seinem Consumer-Gerät, ist diese meist nicht für den gewerblichen Gebrauch ausgelegt. Tut der Eigentümer dies dennoch, verstößt er gegen die Urheberrechte des Softwareherstellers. Folglich kann eine zusätzliche Vergütungsforderung bei den Lizenzgebern entstehen und Lizenzen müssen erweitert werden. Bei einer Missachtung dieser Grenzen kann der Arbeitgeber haften, da er für die rechtmäßige Nutzung der Software und Geräte in seinem Unternehmen verantwortlich ist.
Zum Erwerb der Software wird in diesem Fall meistens der Unternehmer verpflichtet sein, da die Geräte der Mitarbeiter durch die Nutzung für dienstliche Zwecke sozusagen zu „unternehmenseigener IT“ werden können, bezüglich derer der Unternehmer lizenzrechtlich verantwortlich ist.

•    Haftung

In diesem Zusammenhang stellen sich, wie bereits kurz angesprochen, noch weitere Haftungsfragen. Beispielfälle können unter anderem der Verlust des Gerätes oder dessen Beschädigung sein. Hat der Arbeitgeber Schuld an Verlust oder Beschädigung, ist die Haftungslage nach §§ 280, 241 BGB klar. Erfolgt der Verlust oder die Beschädigung aber durch Einwirkung des Arbeitnehmers, muss nach Risikobereich unterschieden werden.

Auch lizenzrechtlich kann der Arbeitgeber in Haftung genommen werden. Gemäß § 99 UrhG haftet das Unternehmen verschuldensunabhängig für die Urheberrechtsverletzungen der Arbeitnehmer, sofern diese im Rahmen ihrer Unternehmenstätigkeit handeln.
Datenschutzrechtlich kann der Arbeitgeber gemäß §§ 7, 43, 44 BDSG haftbar gemacht werden. Der Arbeitgeber ist im Sinne des § 7 BDSG als verantwortliche Stelle zu sehen und für Verstöße, auch durch seine Mitarbeiter, verantwortlich.

Der große Überbegriff der im Rahmen der Bewältigung von technischen Problemen und Risiken bei BYOD genannt wird ist Mobile Device Management (MDM). Darunter werden jegliche technische Maßnahmen verstanden, die die Sicherheit bei der Nutzung von privater Hardware gewährleisten sollen. Dazu zählen zum Beispiel die sogenannten „Data Loss Prevention“ Systems, Verschlüsselungssoftware (sogenannte Information Rights Management) und Synchronisationssoftware oder Theft-Recovery, um nur wenige zu nennen. Dabei ist eine einheitliche Verwaltung ratsam, um den Überblick zu bewahren und Doppelbearbeitung zu vermeiden. Säuberungsfunktionen oder Virtualisierungsfunktionen können zum Beispiel dafür sorgen, dass auf den Geräten selbst keine Daten gespeichert werden. Dazu gehört auch Software, die keine dauerhafte Speicherung von Daten auf den Geräten zulässt, sondern diese nach einem festgelegten Zeitraum automatisch löscht. Das kann einen Datenverlust, unter anderem auch beim Ausscheiden des Mitarbeiters, vermeiden. Auch Festplattenverschlüsselungen können die Sicherheit diesbezüglich erhöhen. Das Sortieren der Daten in Containern nach privaten und dienstlichen Inhalten kann den richtigen und rechtmäßigen Zugriff durch den Arbeitgeber erleichtern. Um dem Problem der Kompatibilität zu begegnen, können browserbasierte Applikationen installiert werden, die plattformübergreifend genutzt werden können.

Auch in der Organisation des Unternehmens müssen Maßnahmen getroffen werden. Wichtiger erste Schritt in diesem Zusammenhang sind vor allem unternehmensinterne Richtlinien. Diese sollen den Mitarbeitern verdeutlichen, was sie bei der Nutzung der privaten Geräte für dienstliche Zwecke und vor allem auch bei der Verarbeitung von unternehmensinternen Daten durch diese Geräte zu beachten haben. Eine Sensibilisierung für Unternehmensdaten und Inhalte im Internet führt zu einer verbesserten Risikoeinschätzung durch die Mitarbeiter. Dies ist die Grundlage für ein sichereres Arbeiten. Die Richtlinien sollten dabei insbesondere Regelungen enthalten, die dem Mitarbeiter zum Einsatz spezieller Sicherheits-Tool verpflichten, sowie zur Verhinderung der Nutzung des Gerätes durch Dritte. Auch Art und Umfang der Nutzung der Geräte sollte Bestanteil der Richtlinie sein.

Ein weiterer wichtiger Bestandteil der Prävention sind Schulungen. Die Mitarbeiter müssen unter anderem lernen, sichere Passwörter zu erstellen, die Geräte nicht an Dritte weiter zu geben, auf aktuelle Schutzsoftware des Gerätes zu achten, und nur lizensierte Software zu verwenden. Durch die Sensibilisierung durch Trainings können einige Risiken von Anfang an vermieden werden.
Vertragliche Vereinbarungen, in denen die Mitarbeiter auf einen Teil ihrer Rechte verzichten und damit dem Arbeitgeber Kontrolle der Daten erlauben sind ebenso beinahe unausweichlich. Erfolgt dies über Betriebsvereinbarungen, die jedoch in ihrem Regelungsinhalt beschränkt sind, ist zudem die betriebliche Mitbestimmung zu beachten.  
Eine Umfrage der Mitarbeiter vor der Einführung von BYOD verdeutlicht dem Unternehmen, inwieweit die Mitarbeiter bereit sind sich auf Sicherheitsmaßnahmen einzulassen und erlaubt eine Abwägung von Kosten, Risiken und Nutzen bevor das Konzept implementiert werden soll.
Nachträglich sollten in regelmäßigen Abständen Audits und Kontrollen erfolgen, die die Einhaltung der internen Regeln und externen Gesetze sicherstellen und überprüfen, ob die Mitarbeiter Ihre Verantwortung verstanden haben und dieser gewachsen sind. Diese Kontrollmaßnahmen können sich an den Vorgaben zu Compliance Systemen orientieren.