Technische Geräte, die man sich privat zulegt, werden zunehmend auch beruflich eingesetzt. Doch das bringt Unternehmen nicht nur Vorteile, sondern birgt auch eine Reihe rechtlicher Risiken in sich.
Wien. Die kleinen und die großen Buben und Mädchen bekommen zu Weihnachten vom Christkind tolle Geschenke. Die kleinen Buben und Mädchen dürfen ihre Lieblingsgeschenke mit in den Kindergarten und die Schule nehmen und dort herzeigen. „Show-and-tell-Tag“ heißt das auf Neudeutsch. Die großen Buben und Mädchen möchten ihre Geschenke – vor allem ihre neuesten Smartphones, Tablet-PCs oder Laptops – auch gern in die Arbeit mitnehmen. Nicht nur das, sie möchten diese, weil sie viel besser und neuer als die Geräte in der Firma sind, dort auch gleich für ihre Arbeit verwenden.
„Bring your own device“ (kurz „BYOD“) heißt dies dann in der Fachsprache. Immer mehr Unternehmen beugen sich auch in Österreich diesem neuen Trend und lassen die Nutzung von privater IT-Ausrüstung für dienstliche Zwecke (insbesondere für E-Mails) zu. Was ist dabei rechtlich zu beachten, damit dieser Trend nicht zu „Bring your own disaster“ wird?
So vorteilhaft und kostengünstig es für das Unternehmen zunächst auch scheinen mag, wenn Mitarbeiter aus eigener Initiative und darüber hinaus noch auf eigene Kosten mit den neuesten und trendigsten Geräten ihren Arbeitsalltag bewältigen, umso unangenehmer kann die Überraschung sein, wenn es im Zuge einer solchen dienstlichen Nutzung doch zu unerwarteten Mehrkosten, Verlust von Unternehmensdaten oder auch Urheberrechtsverletzungen kommt. So bereitwillig Mitarbeiter ihre privaten Geräte anfangs der Firma zur Erfüllung dienstlicher Agenden zur Verfügung stellen, so rasch kann sich diese Freigiebigkeit ins Gegenteil verkehren, wenn dem Mitarbeiter in der Folge doch Mehrkosten – etwa durch Datenroaminggebühren – entstehen. In solchen Fällen kann schnell Uneinigkeit darüber herrschen, wer für derartige Kosten in der Folge aufzukommen hat (siehe dazu den nebenstehenden Artikel).
Nur scheinbar Win-win-Situation
In der ersten Euphorie angesichts dieser (scheinbaren) Win-win-Situation wird auf Unternehmensseite oftmals übersehen, dabei auch den datenschutzrechtlichen und datensicherheitstechnischen Aspekten entsprechende Beachtung zu schenken. Immerhin kann es – je nach technischer Ausgestaltung – zu einer Speicherung von Unternehmensdaten auf mobilen Endgeräten und somit außerhalb der geschützten Unternehmensräumlichkeiten kommen. Dies betrifft neben dem Text dienstlicher E-Mails auch die im Anhang befindlichen Dokumente oder andere heikle Unternehmensdaten. Da es sich dabei regelmäßig um personenbezogene Daten handeln wird, trifft den Unternehmer als datenschutzrechtlichen Auftraggeber natürlich auch im Zuge von BYOD die Verpflichtung, angemessene Datensicherheitsmaßnahmen gegen den Verlust, die Zerstörung oder Kenntnisnahme solcher Daten durch unberechtigte Dritte zu ergreifen. Werden auch personenbezogene Daten des Mitarbeiters verarbeitet (z. B. IP-Adresse, Roamingstatus, Protokolldaten über Zugriffe), so zieht dies eine entsprechende Informationspflicht dem Mitarbeiter gegenüber nach sich.
Herrschaft über Daten verloren
Unter Umständen kann auch eine Registrierungspflicht beim Datenverarbeitungsregister ausgelöst werden. Hausintern wird der datenschutzrechtlichen Verpflichtung zur Implementierung angemessener Zutritts- und Zugriffskontrollen in der Regel vorbildlich entsprochen, im Zusammenhang mit BYOD jedoch übersehen, dass das Unternehmen mit der dienstlichen Verwendung privater Geräte auch die faktische Herrschaft über deren Verbleib und Verwendung (einschließlich der darauf befindlichen Unternehmensdaten) verliert. Man ist somit auf einen verantwortungsvollen Umgang durch den jeweiligen Mitarbeiter angewiesen, um das Entstehen von Datensicherheitslücken zu verhindern. Dabei sei beispielsweise an eine sorgsame Verwahrung der Geräte, an die ausschließlich verschlüsselte Speicherung aller Unternehmensdaten und an den Einsatz adäquat sicherer und differenzierter Passwörter gedacht.
Auch die Installation dubioser Softwareprodukte oder gar die Manipulation des Betriebssystems zur Erweiterung des Funktionsumfangs („jailbreaking“ bzw. „rooting“) sollte jedenfalls unterbunden werden. Entsprechender Support und Kontrolle sollten daher vom Unternehmen durchgeführt werden, was jedoch einen erheblichen organisatorischen und finanziellen Aufwand nach sich ziehen kann.
Problem mit den Lizenzen
Die Praxis hat gezeigt, dass auch dem Thema Lizenzmanagement in diesem Zusammenhang kaum bis gar keine Beachtung geschenkt wird, obwohl der Unternehmensinhaber letztendlich auch für Urheberrechtsverletzungen haften kann, die von seinen Mitarbeitern im Zuge des dienstlichen Betriebs begangen werden. Nur allzu leicht kann es vorkommen, dass Mitarbeiter Apps für die Erfüllung dienstlicher Zwecke verwenden, deren Verwendung nur zum privaten Gebrauch (kostenlos) gestattet ist. Damit könnte ein Urheberrechtsverstoß vorliegen.
Um böse nachweihnachtliche Überraschungen zu vermeiden, ist die schriftliche Vereinbarung entsprechender „BYOD-Nutzungsbedingungen“ für die Verwendung privater Endgeräte zu dienstlichen Zwecken mehr als empfehlenswert.
Pflichten verdeutlichen
Es sollte den Mitarbeitern durch diese verdeutlicht werden, dass eine dienstliche Verwendung privater Geräte nicht nur eine angenehme und nützliche Unterstützung im Arbeitsalltag ist, sondern zum Schutz der Interessen des Unternehmens auch entsprechende Verpflichtungen mit sich bringt. Eine solche Vereinbarung dient somit nicht nur zur Information und Bewusstseinsbildung bei den betreffenden Mitarbeitern, sondern soll auch die mit BYOD verbundenen Rechte und Pflichten klar regeln.
Darüber hinaus ist eine solche Vereinbarung für das Unternehmen ein notwendiges Instrument, um gesetzliche Verpflichtungen wirksam erfüllen und Organisationsverschulden ausschließen zu können.
Dr. Rainer Knyrim ist Rechtsanwalt und Partner, Dipl.-Ing. Mag. Dr. Bernhard Horn ist Rechtsanwaltsanwärter bei Preslmayr Rechtsanwälte, Wien.
("Die Presse", Print-Ausgabe, 17.12.2012)