Private Geräte im Büro: Unterschätzte Gefahr

16.12.2012 | 18:45 |  RAINER KNYRIM UND BERNHARD HORN (Die Presse)

Technische Geräte, die man sich privat zulegt, werden zunehmend auch beruflich eingesetzt. Doch das bringt Unternehmen nicht nur Vorteile, sondern birgt auch eine Reihe rechtlicher Risiken in sich.

Drucken Versenden AAA
Schriftgröße
Kommentieren

Wien. Die kleinen und die großen Buben und Mädchen bekommen zu Weihnachten vom Christkind tolle Geschenke. Die kleinen Buben und Mädchen dürfen ihre Lieblingsgeschenke mit in den Kindergarten und die Schule nehmen und dort herzeigen. „Show-and-tell-Tag“ heißt das auf Neudeutsch. Die großen Buben und Mädchen möchten ihre Geschenke – vor allem ihre neuesten Smartphones, Tablet-PCs oder Laptops – auch gern in die Arbeit mitnehmen. Nicht nur das, sie möchten diese, weil sie viel besser und neuer als die Geräte in der Firma sind, dort auch gleich für ihre Arbeit verwenden.

„Bring your own device“ (kurz „BYOD“) heißt dies dann in der Fachsprache. Immer mehr Unternehmen beugen sich auch in Österreich diesem neuen Trend und lassen die Nutzung von privater IT-Ausrüstung für dienstliche Zwecke (insbesondere für E-Mails) zu. Was ist dabei rechtlich zu beachten, damit dieser Trend nicht zu „Bring your own disaster“ wird?

So vorteilhaft und kostengünstig es für das Unternehmen zunächst auch scheinen mag, wenn Mitarbeiter aus eigener Initiative und darüber hinaus noch auf eigene Kosten mit den neuesten und trendigsten Geräten ihren Arbeitsalltag bewältigen, umso unangenehmer kann die Überraschung sein, wenn es im Zuge einer solchen dienstlichen Nutzung doch zu unerwarteten Mehrkosten, Verlust von Unternehmensdaten oder auch Urheberrechtsverletzungen kommt. So bereitwillig Mitarbeiter ihre privaten Geräte anfangs der Firma zur Erfüllung dienstlicher Agenden zur Verfügung stellen, so rasch kann sich diese Freigiebigkeit ins Gegenteil verkehren, wenn dem Mitarbeiter in der Folge doch Mehrkosten – etwa durch Datenroaminggebühren – entstehen. In solchen Fällen kann schnell Uneinigkeit darüber herrschen, wer für derartige Kosten in der Folge aufzukommen hat (siehe dazu den nebenstehenden Artikel).

 

Nur scheinbar Win-win-Situation

In der ersten Euphorie angesichts dieser (scheinbaren) Win-win-Situation wird auf Unternehmensseite oftmals übersehen, dabei auch den datenschutzrechtlichen und datensicherheitstechnischen Aspekten entsprechende Beachtung zu schenken. Immerhin kann es – je nach technischer Ausgestaltung – zu einer Speicherung von Unternehmensdaten auf mobilen Endgeräten und somit außerhalb der geschützten Unternehmensräumlichkeiten kommen. Dies betrifft neben dem Text dienstlicher E-Mails auch die im Anhang befindlichen Dokumente oder andere heikle Unternehmensdaten. Da es sich dabei regelmäßig um personenbezogene Daten handeln wird, trifft den Unternehmer als datenschutzrechtlichen Auftraggeber natürlich auch im Zuge von BYOD die Verpflichtung, angemessene Datensicherheitsmaßnahmen gegen den Verlust, die Zerstörung oder Kenntnisnahme solcher Daten durch unberechtigte Dritte zu ergreifen. Werden auch personenbezogene Daten des Mitarbeiters verarbeitet (z. B. IP-Adresse, Roamingstatus, Protokolldaten über Zugriffe), so zieht dies eine entsprechende Informationspflicht dem Mitarbeiter gegenüber nach sich.

 

Herrschaft über Daten verloren

Unter Umständen kann auch eine Registrierungspflicht beim Datenverarbeitungsregister ausgelöst werden. Hausintern wird der datenschutzrechtlichen Verpflichtung zur Implementierung angemessener Zutritts- und Zugriffskontrollen in der Regel vorbildlich entsprochen, im Zusammenhang mit BYOD jedoch übersehen, dass das Unternehmen mit der dienstlichen Verwendung privater Geräte auch die faktische Herrschaft über deren Verbleib und Verwendung (einschließlich der darauf befindlichen Unternehmensdaten) verliert. Man ist somit auf einen verantwortungsvollen Umgang durch den jeweiligen Mitarbeiter angewiesen, um das Entstehen von Datensicherheitslücken zu verhindern. Dabei sei beispielsweise an eine sorgsame Verwahrung der Geräte, an die ausschließlich verschlüsselte Speicherung aller Unternehmensdaten und an den Einsatz adäquat sicherer und differenzierter Passwörter gedacht.

Auch die Installation dubioser Softwareprodukte oder gar die Manipulation des Betriebssystems zur Erweiterung des Funktionsumfangs („jailbreaking“ bzw. „rooting“) sollte jedenfalls unterbunden werden. Entsprechender Support und Kontrolle sollten daher vom Unternehmen durchgeführt werden, was jedoch einen erheblichen organisatorischen und finanziellen Aufwand nach sich ziehen kann.

 

Problem mit den Lizenzen

Die Praxis hat gezeigt, dass auch dem Thema Lizenzmanagement in diesem Zusammenhang kaum bis gar keine Beachtung geschenkt wird, obwohl der Unternehmensinhaber letztendlich auch für Urheberrechtsverletzungen haften kann, die von seinen Mitarbeitern im Zuge des dienstlichen Betriebs begangen werden. Nur allzu leicht kann es vorkommen, dass Mitarbeiter Apps für die Erfüllung dienstlicher Zwecke verwenden, deren Verwendung nur zum privaten Gebrauch (kostenlos) gestattet ist. Damit könnte ein Urheberrechtsverstoß vorliegen.

Um böse nachweihnachtliche Überraschungen zu vermeiden, ist die schriftliche Vereinbarung entsprechender „BYOD-Nutzungsbedingungen“ für die Verwendung privater Endgeräte zu dienstlichen Zwecken mehr als empfehlenswert.

 

Pflichten verdeutlichen

Es sollte den Mitarbeitern durch diese verdeutlicht werden, dass eine dienstliche Verwendung privater Geräte nicht nur eine angenehme und nützliche Unterstützung im Arbeitsalltag ist, sondern zum Schutz der Interessen des Unternehmens auch entsprechende Verpflichtungen mit sich bringt. Eine solche Vereinbarung dient somit nicht nur zur Information und Bewusstseinsbildung bei den betreffenden Mitarbeitern, sondern soll auch die mit BYOD verbundenen Rechte und Pflichten klar regeln.

Darüber hinaus ist eine solche Vereinbarung für das Unternehmen ein notwendiges Instrument, um gesetzliche Verpflichtungen wirksam erfüllen und Organisationsverschulden ausschließen zu können.

Dr. Rainer Knyrim ist Rechtsanwalt und Partner, Dipl.-Ing. Mag. Dr. Bernhard Horn ist Rechtsanwaltsanwärter bei Preslmayr Rechtsanwälte, Wien.

("Die Presse", Print-Ausgabe, 17.12.2012)

Testen Sie "Die Presse" 3 Wochen lang gratis: diepresse.com/testabo

Mehr aus dem Web

4 Kommentare

ergänzend

Koennte man beindiesem thema behandeln:

Was passiert mit den privaten endgeräten bei

diebstahl --> zahlt der chef, seine versicherung, hat er eine?
pfändung --> heben sie ihre rechnung auf, sonst nimmt d gerichtsvollzieher auch ihren laptop mit!
Etc...

Re: ergänzend

Bei uns können Endgeräte recht günstig über die Firma bezogen werden gehen aber ins Eigentum des Benutzers über und dieser ist selbst für das Gerät verantwortlich.

SIM-Karte und Datentarif stellt die Firma.

Zwei Leihgeräte und Reserve-SIMs haben wir immer in der Firma wenn was kaputt geht oder gfladert wird.

Diese wären im Schadensfalle der Firma aber vollumfänglich zu ersetzen.

Notebooks gehören immer der Firma, Privatgeräte werden aus Sicherheitsgründen nur bei einem kleinem Personenkreis akzeptiert.

Es gibt ausschließlich Thinkpads bzw. Macs für Leute die viel im östlichem Ausland sind (wegen Viren und Trojanern)

Mitarbeiter sind angehalten private Gegenstände in der Firma entsprechend zu kennzeichnen.

Im Zweifelsfalle gehört alles was in einer der Firmenräumlichkeiten steht und nicht gekennzeichnet ist der Firma.

Arbeitskleidung wie Hemd, Krawatte oder Blaumann gehören nach Übergabe dem Mitarbeiter und er kann dies behalten auch wenn er die Firma verlässt.

Irgendwelche spezielle Ausrüstung (Fallsicherungen, Atemschutz, etc.) ausgenommen.

Eigentlich ganz einfach.


BYOD

Ohne Virtualisierung ist das nicht zu machen.
Doch bringt die Virtualisierung einige Einschränkungen in der Nutzung mit sich, wenn zum Bespiel aus dem Firmenadressbuch "hinaustelefoniert" werden muss, die Sandbox des Virtual Clients aber einen Zugriff auf die Telefonie-App verhindert.
Die meisten Unternehmen schauen einfach weg, bis zum bitteren Erwachen.

Re: BYOD

Korrekt, weil Sie sich über die Tragweite dieser Entscheidung gar nicht bewusst sind.

AnmeldenAnmelden